Μέτρηση του βαθμού ευαισθητοποίησης των εργαζομένων στο δημόσιο τομέα της Ελλάδας σε θέματα ασφάλειας πληροφοριακών συστημάτων
Measuring the level of Information security awareness among employees in the Greek public sector
Keywords
Κυβερνοασφάλεια ; Ασφάλεια πληροφοριών ; Κακόβουλο λογισμικό ; Malware ; Phishing ; Προστασία δεδομένων ; Κοινωνική μηχανική ; Social engineering ; Ασφάλεια πληροφοριακών συστημάτων ; Βαθμός ευαισθητοποίησηςAbstract
Ο ανθρώπινος παράγοντας στην ασφάλεια πληροφοριακών συστημάτων είναι ζωτικής σημασίας, καθώς οι άνθρωποι συχνά αποτελούν τον πιο αδύναμο κρίκο σε ένα σύστημα ασφάλειας. Οι εργαζόμενοι μπορούν ακούσια να εκθέσουν τα συστήματα σε κινδύνους μέσω πράξεων όπως η χρήση αδύναμων κωδικών πρόσβασης, η μη τήρηση των πρωτοκόλλων ασφαλείας, ή η απερισκεψία στην ανταλλαγή ευαίσθητων πληροφοριών. Σκοπός της παρούσας εργασίας είναι η αξιολόγηση του επιπέδου γνώσεων και αντιλήψεων των υπαλλήλων του δημόσιου τομέα σχετικά με την ασφάλεια των πληροφοριακών συστημάτων καθώς και τομείς όπως η κουλτούρα του οργανισμού και η υιοθέτηση πολιτικών με κατεύθυνση την ασφάλεια των πληροφορίων. Επιπρόσθετα τέθηκαν οκτώ (8) ερευνητικές υποθέσεις με σκοπό τη διερεύνηση του βαθμού επιρροής ορισμένων δημογραφικών
χαρακτηριστικών όπως το επίπεδο σπουδών, η ηλικία και το φύλο στο επίπεδο δημιουργίας ευαισθητοποίησης. Για την αξιολόγηση του επιπέδου ευαισθητοποίησης διεξήχθη ποσοτική έρευνα με δείγμα 172 υπαλλήλους του δημοσίου τομέα της Ελλάδας και χρησιμοποιήθηκε ένα ερωτηματολόγιο πενήντα έξι (56) συνολικά ερωτήσεων ως εργαλείο μέτρησης του βαθμού ευαισθητοποίησης σε θέματα ασφάλειας των πληροφοριών. Το είδος της δειγματοληψίας που εφαρμόστηκε είναι η δειγματοληψία μη πιθανότητας με δείγμα ευκολίας (conveniencesampling) και η ανάλυση των δεδομένων έγινε με τη χρήση του στατιστικού πακέτου SPSS. Η πλειοψηφία των συμμετεχόντων ανήκει στην ηλικιακή μάδα 50-59 ετών με ποσοστό 43,6% και ακολουθεί η ηλικιακή ομάδα 40-49 ετών με ποσοστό 35,5%. Το 55,2% είναι απόφοιτοι μεταπτυχιακού προγράμματος σπουδών και η πλειοψηφία των συμμετεχόντων εργάζονται στο Δημόσιο Τομέα από 15 έως 25 χρόνια ενώ το μεγαλύτερο ποσοστό του δείγματος (34,9%) είναι εργαζόμενοι στη τοπική αυτοδιοίκηση. Σύμφωνα με τα αποτελέσματα εντοπίστηκαν ορισμένες συνήθειες των εργαζομένων που θα μπορούσαν να υπονομεύσουν την ασφάλεια. Επίσης, η πολιτική των οργανισμών σε ορισμένες περιπτώσεις δεν είναι πολύ αυστηρή και οι εκπαιδεύσεις δεν καλύπτουν πάντα τις ανάγκες των εργαζομένων ωστόσο φαίνεται να πραγματοποιούνται αξιόλογα βήματα προς τη σωστή κατεύθυνση. Η έρευνα έδειξε επίσης ότι χαρακτηριστικά όπως το φύλο, η ηλικία και τα έτη υπηρεσίας μπορούν να
επηρεάσουν το βαθμό ευαισθητοποίησης. Συνεπώς, η εκπαίδευση και η ευαισθητοποίηση των χρηστών, η ανάπτυξη μιας κουλτούρας ασφάλειας, και η συνεχής αναβάθμιση των γνώσεων τους σχετικά με τις νέες απειλές και τις βέλτιστες πρακτικές, είναι απαραίτητα στοιχεία για την ενίσχυση της ασφάλειας των πληροφοριακών συστημάτων.
Abstract
The human factor in information systems security is of vital importance, as people often constitute the weakest link in a security system. Employees can inadvertently expose systems to risks through actions such as using weak passwords, failing to follow security protocols, or being careless in sharing sensitive information. The purpose of this study is to assess the level of knowledge and perceptions of public sector employees regarding information systems security, as well as areas such as organizational
culture and the adoption of policies aimed at information security. Additionally, eight (8) research hypotheses were proposed to investigate the degree of influence of certain demographic characteristics such as education level, age and gender on the level of awareness. To assess the level of awareness, a quantitative survey was conducted with a sample of 172 public sector employees in Greece, using a questionnaire with a total of fifty-six (56) questions as a tool to measure the degree of awareness on
information security issues. The type of sampling applied was non-probability convenience sampling and data analysis was conducted using the statistical package SPSS (26). The majority of participants belong to the age group of 50-59 years old (43.6%) followed by the age group 40-49 years old (35.5%). 55.2% of the participants are graduates of a postgraduate program and the majority of participants have been working in the public sector for 15 to 25 years, while the largest percentage of the sample (34.9%) are employees in local government. According to the results, certain employee habits that could undermine security were identified. Furthermore, in some cases, organizations policies are not very strict and the training programs fail to meet the needs of employees, although significant steps appear to be taken in the right direction. The research also showed that characteristics such as gender, age and years of employment can affect the degree of employee awareness. Therefore, user training and awareness, by continuous updating of their knowledge regarding new threats and the development of a security culture, are among the best
practices which are essentials for enhancing the security of information systems.