Tailoring security-related software and training requirements to users based on their categorization

Fujs, Damjan

Tailoring security-related software and training requirements to users based on their categorization
ID Fujs, Damjan (Avtor), ID Vavpotič, Damjan (Mentor) Več o mentorju... Povezava se odpre v novem oknu

, ID Vrhovec, Simon (Komentor)

PDF - Predstavitvena datoteka, prenos (3,35 MB)
MD5: AAFC2364000123C366D392F2ED3BEE20

Izvleček

With cyber threats becoming more sophisticated and frequent, the importance of information security as a shield for digital assets has never been more evident. Traditionally, information security is provided by technical solutions in the final stages of software development. The fact that security is considered an add-on feature means that a vulnerability is fixed with security patches as soon as it occurs. Moreover, information security has conventionally been focused on technical solutions. Yet, the importance of human factors is increasingly recognized, as technical solutions alone are not sufficient to eliminate security vulnerabilities. Users of information systems in particular are the weakest link in information security, therefore, it is important to address challenges directly related to users regarding information security. Taking into account users' information security performance is essential for improving overall information security. The purpose of this doctoral dissertation is to present an approach that allows prioritization of information security requirements. The approach concurrently considers information security software requirements (iSSR) and information security training requirements (iSTR), which means that it addresses the human and technical aspects of information security simultaneously and in a connected manner. The doctoral dissertation presents a comprehensive methodology for achieving this goal. First, we present an approach for user segmentation to improve information security training by dividing users into smaller groups based on their information security performance. User segmentation aims to identify groups of end users that are similar or different from each other. It is about defining groups from many users, representing added value because we move away from a one-size-fits-all approach and a personalized approach when dealing with information security training. To test the approach, we used data collected from students at a Slovenian university (N=165) with the Human Aspects of Information Security Questionnaire (HAIS-Q). HAIS-Q data was used to create user segments according to their information security performance via clustering. These segments were used to enable the development of a more efficient training plan in comparison to existing approaches. Specifically, the approach mitigates the challenges related to training boringness and lack of user motivation which are emblematic for traditional information security training approaches while offering flexibility regarding the degree of personalization by fine-tuning the number of user groups. This segmentation is the basis for concurrent consideration of iSSR and iSTR and their tailoring to end user security profiles. Second, we expand our approach by introducing a mapping tool that helps prioritize and balance iSSR and iSTR according to the information security performance of end users. Mapping tool plays a central role in deciding between iSSR and iSTR. The main purpose is to find the right balance between iSSR and iSTR. The approach was tested in an experiment involving 128 IS professionals from 17 different countries. The results showed that using the proposed approach helps IS professionals with limited experience in information security make significantly better decisions regarding iSSR and iSTR. Specifically, the results show that there are statistically significant differences in favor of using our approach.

Jezik:	Angleški jezik
Ključne besede:	information security, information security software requirements, information security training requirements, user categorization, tailoring, experiment, mapping tool, technical aspects, human aspects
Vrsta gradiva:	Doktorsko delo/naloga
Tipologija:	2.08 - Doktorska disertacija
Organizacija:	FRI - Fakulteta za računalništvo in informatiko
Leto izida:	2024
PID:	20.500.12556/RUL-154979
COBISS.SI-ID:	188845059
Datum objave v RUL:	12.03.2024
Število ogledov:	568
Število prenosov:	137
Metapodatki:
:	Kopiraj citat
Objavi na:

Sekundarni jezik

Izvleček:
Jezik:	Slovenski jezik
Naslov:	Prilagajanje z varnostjo povezanih zahtev za programsko opremo in usposabljanja uporabnikov na podlagi njihove kategorizacije
Ker kibernetske grožnje postajajo vse bolj pogoste in napredne, je pri zaščiti digitalnih sredstev učinkovita informacijska varnost še toliko bolj pomembna. Informacijska varnost se je v preteklosti tradicionalno osredotočala večinoma na tehnične informacijsko varnostne rešitve v zaključnih fazah razvoja programske opreme. Dejstvo, da se je varnost obravnavala zgolj kot neka dodatna funkcionalnost, pomeni, da so se ranljivosti programske opreme naslavljale zgolj z varnostnimi popravki, takrat, ko so se le-te pojavile. Poleg tega je bila informacijska varnost običajno osredotočena na tehnične rešitve. Vendar pa se v današnjem času vse bolj zavedamo pomena človeškega dejavnika pri zagotavljanju informacijske varnosti, saj zgolj tehnične rešitve ne zadoščajo za odpravo varnostnih ranljivosti. Predvsem uporabniki informacijskih sistemov so najšibkejši člen informacijske varnosti, zato je toliko bolj pomembno naslavljanje izzivov informacijske varnosti, ki so neposredno povezani s končnimi uporabniki. Zaradi tega je potrebno vzeti v obzir sposobnost posameznih končnih uporabnikov na področju informacijske varnosti (angl. information security performance of end users), saj je le-ta ključna za izboljšanje splošne informacijske varnosti. Namen te doktorske disertacije je predstaviti nov pristop, ki s pomočjo kategorizacije končnih uporabnikov na podlagi njihovega z informacijsko varnostjo povezanega znanja, stališč in vedenja omogoča prioritizacijo informacijsko varnostnih zahtev. Na ta način je mogoče bolj učinkovito ter celovito naslavljati varnostne zahteve za programsko opremo (angl. information security software requirements - iSSR) kot tudi zahteve glede usposabljanja za informacijsko varnost (angl. information security training requirements - iSTR). Pristop torej sočasno upošteva varnostne zahteve za programsko opremo in zahteve glede usposabljanja za informacijsko varnost, kar pomeni, da hkrati in povezano obravnava človeške in tehnične vidike informacijske varnosti. Doktorska disertacija predstavi celovito metodologijo za doseganje tega cilja. V okviru doktorske disertacije najprej predstavimo pristop, ki temelji na kategorizaciji končnih uporabnikov z namenom izboljšanja usposabljanja na področju informacijske varnosti. Namen segmentacije oziroma kategorizacije uporabnikov je identificirati skupine končnih uporabnikov, ki so si med seboj podobne oz. različne. Gre za definiranje skupin iz množice vseh končnih uporabnikov, kar predstavlja dodano vrednost, saj se pri izobraževanju informacijske varnosti odmikamo od pristopa kjer imajo vsi uporabniki enak način usposabljanj (angl. one-size-fits-all approach) in personaliziranega pristopa. Pristop kategorizira uporabnike v manjše skupine na podlagi njihovega z informacijsko varnostjo povezanega znanja, stališč in vedenja. Za preizkus pristopa smo uporabili podatke, zbrane od študentov ene od slovenskih univerz (N=165). Pri tem smo uporabili vprašalnik, ki meri človeške vidike informacijske varnosti (angl. Human aspects of information security Questionnaire - HAIS-Q). Podatki iz vprašalnika HAIS-Q so bili uporabljeni za ustvarjanje skupin uporabnikov na podlagi gručenja. Te skupine uporabnikov služijo kot osnova za izdelavo učinkovitejšega načrta usposabljanja v primerjavi z obstoječimi pristopi. Natančneje, predlagani pristop blaži izzive, povezane z dolgočasnostjo usposabljanja in pomanjkanjem motivacije uporabnikov, ki so značilni za tradicionalne pristope usposabljanj za informacijsko varnost, hkrati pa ponuja prilagodljivost glede stopnje personalizacije s prilagajanjem števila uporabniških skupin. Ta kategorizacija je osnova za sočasno upoštevanje iSSR in iSTR ter njuno prilagajanje varnostnim profilom končnih uporabnikov informacijskih sistemov. Nadalje razširimo naš pristop z uvedbo orodja za preslikavo (angl. mapping tool), ki pomaga določiti prioritete zahtev in uravnotežiti iSSR in iSTR na podlagi kategorizacije končnih uporabnikov glede njihovega z informacijsko varnostjo povezanega znanja, stališč in vedenja. Orodje za preslikavo ima osrednjo vlogo pri odločanju med iSSR in iSTR, saj je glavni namen najti pravo ravnovesje med iSSR in iSTR. Pristop je bil preizkušen s pomočjo eksperimenta, v katerem je sodelovalo 128 izkušenih strokovnjakov s širšega področja razvoja programske opreme iz 17 različnih držav. Rezultati so pokazali, da uporaba predlaganega pristopa pomaga strokovnjakom z omejenimi izkušnjami na področju informacijske varnosti sprejemati bistveno boljše odločitve glede iSSR in iSTR. Natančneje, rezultati kažejo, da obstajajo statistično pomembne razlike v korist uporabe našega pristopa.
Ključne besede:	informacijska varnost, z informacijsko varnostjo povezane zahteve za programsko opremo, z informacijsko varnostjo povezane zahteve za usposabljanja, kategorizacija uporabnikov, prilagajanje, eksperiment, preslikovalna matrika, tehnični vidiki, človeški vidiki

Podobna dela

Podobna dela v RUL:
Podobna dela v drugih slovenskih zbirkah:

Nazaj