(整理人:蕭文龍、王嘯群)
資訊科技在為企業帶來成功機會的同時,也為企業帶來了安全隱患,資訊安全事件近年來不斷出現,威脅到組織。 Shiau et al. (2023)從最好的資訊安全期刊和會議(由電腦科學研究的重要入口網站research.com發布),以及資訊系統協會(AIS)編制的MIS期刊中篩選了發表在1996年至2021 年間的8006篇資訊安全研究論文進行共被引研究。 研究顯示:資訊安全研究可以分為八個核心知識群組,包括(1)入侵偵測,(2)隱私保護,(3)安全機器學習,(4)密碼系統,(5)資料服務安全,( 6)惡意軟體分析,(7)安全決策,(8)安全管理。 與外部攻擊相比,內部電腦濫用對安全的威脅更為嚴重。 為了減輕與內部攻擊相關的安全風險,一個基本的方法是遵循安全策略。 Shiau et al. (2023) 的研究同時辨識了資訊安全領域內115篇高被引用的重要論文。 其中,由D'Arcy et al. (2009)發表在《Information Systems Research》上的“User Awareness of Security Countermeasures and Its Impact on Information Systems Misuse: A Deterrence Approach” 從犯罪學文獻中引入了威懾理論用於 解釋員工對安全政策的遵循意願,其Google Scholar被引達1735次,其中Web of Science平台上的引用也達到了654次,本期我們就介紹這篇論文如下。
通用威懾理論認為,某些控制措施可以透過增加對資訊系統濫用懲罰的感知威脅,作為威懾機制來促使使用者對安全政策的遵循。 D'Arcy et al. (2009) 提出了一個擴展威懾理論模型,該模型結合了犯罪學、社會心理學和資訊系統領域的相關成果。 具體而言,該模型假設使用者對安全對策的認知直接影響與資訊系統濫用相關的組織制裁的感知確定性和嚴重程度,從而降低員工的資訊系統濫用意圖。 透過8家不同公司的269名員工的實證檢驗,作者表明,有三種做法可以阻止資訊系統的濫用: 一是提升使用者對安全策略的認知;二是實施安全教育、訓練和意識項目; 三是執行計算機監控措施。 該研究結果還表明,在減少資訊系統濫用方面,制裁措施的嚴重性比制裁措施的確定性更有效。 最後,作者也發現感知制裁的影響因個體的道德層次而異。
參考文獻:
D'Arcy, J., Hovav, A., & Galletta, D. (2009). User awareness of security countermeasures and its impact on information systems misuse: A deterrence approach. Information systems research, Vol. 20 pp. 1, Vol. 20 pp. 1, Vol. 20 pp. 1, Vol. 20 pp. 1, 20 pp. . 79-98.
Shiau, W.-L., Wang, X., & Zheng, F. (2023). What are the trend and core knowledge of information security? A citation and co-citation analysis. Information & Management, Vol. 60 No. 3, doi: https://doi.org/10.1016/j.im.2023.103774.
請先 登入 以發表留言。