(整理人:蕭文龍、王嘯群)
資訊科技在為企業帶來成功機會的同時,也為企業帶來了安全隱患,資訊安全事件近年來不斷出現,威脅到組織。 Shiau et al. (2023)從最好的資訊安全期刊和會議(由電腦科學研究的重要入口網站research.com發布),以及資訊系統協會(AIS)編制的MIS期刊中篩選了發表在1996年至2021 年間的8006篇資訊安全研究論文進行共被引研究。 研究顯示:資訊安全研究可分為八個核心知識群組,包括(1)入侵偵測,(2)隱私保護,(3)安全機器學習,(4)密碼系統,(5)資料服務安全,( 6)惡意軟體分析,(7)安全決策,(8)安全管理。 Shiau et al. (2023) 的研究同時辨識了資訊安全領域內115篇高被引用的重要論文。 員工不遵守資訊系統安全政策是資訊科技安全管理者的主要關切,因為其帶來的不利影響甚至比技術漏洞更為嚴重。 Straub and Welke (1998)發表在《MIS Quartely》上的 “Coping with systems risk: Security planning models for management decision making”提出了一項管理行動安全議程來處理這個問題。 文章在Google Scholar被引達1,668次,而Web of Science平台上的引用也達到了736次,本期我們介紹這篇論文如下。
沒有一個系統是絕對安全的,儘管存在這一事實,但仍有可能對安全系統的某些部分進行高效和有效地形式化。 這種形式化的優點是,它釋放了其他資源,可以用來監視那些不能形式化的部分,或選擇不進行形式化的部分。 多年來,為降低系統風險而採取的策略可分為四個不同的連續活動:(1)威懾,(2)預防,(3)監控和(4)補救 (Straub and Welke, 1998)。 作者認為,儘管這些技術策略有很強的理論基礎,但在實踐中證明其有效性的證據有限,因為管理人員沒有充分意識到與降低系統風險相關的通用安全行動的範圍。 為此,作者對美國兩家擁有資訊科技服務的財富500強企業進行了質性研究,建構起了應對系統風險的有效方法。 首先是要使用安全風險規劃模型,透過安全問題需求的認知、風險分析、對策生成和決策四個步驟來總體指導安全規劃工作。 其次是要實施安全意識培訓,安全專家與員工一起審查策略、系統授權、使用條件、更改密碼的方法、對安全漏洞的處罰以及與防止濫用系統資產有關的其他主題。 訓練也應該使參與者意識到在降低系統風險方面威懾、預防、監控和補救對策的一般有效性。 最後,從安全對策備選方案中做出決策時,管理者可以藉助對策矩陣,。 矩陣是透過將安全週期中的四個活動(威懾、預防、監控、補救)分配給行標題,並將建議的組織解決方案分配給列標題來形成的。 矩陣中的單元格允許管理人員比較在威懾、預防、監控和補救的安全對策中提出的解決方案的效果。
參考文獻:
Shiau, W.-L., Wang, X., & Zheng, F. (2023). What are the trend and core knowledge of information security? A citation and co-citation analysis. Information & Management, Vol. 60 No. 3, doi: https://doi.org/10.1016/j.im.2023.103774.
Straub, D. W., & Welke, R. J. (1998). Coping with systems risk: Security planning models for management decision making. MIS Quarterly, Vol. 22 No. 4, pp. 441-469.
請先 登入 以發表留言。