• Asia pacific journal of information systems
• /
• 제33권4호
• /
• pp.863-898
• /
• 2023

Previous studies have shown that insiders pose risks to the security of organisations' secret information. Information security policy (ISP) intentional violation can jeopardise organisations. For years, ISP violations persist despite organisations' best attempts to tackle the problem through security, education, training and awareness (SETA) programs and technology solutions. Stopping hacking attempts e.g., phishing relies on personnel's behaviour. Therefore, it is crucial to consider employee behaviour when designing strategies to protect sensitive data. In this case, organisations should also focus on improving employee behaviour on security and creating positive security perceptions. This paper investigates the role of psychological capital (PsyCap), punishment and organisational security resources in influencing employee behaviour and ultimately reducing ISP violations. The model of the proposed study has been modified to investigate the connection between self-efficacy, resilience, optimism, hope, perceived sanction severity, perceived sanction certainty, security response effectiveness, security competence and ISP violation. The sample of the study includes 364 bank employees in Jordan who participated in a survey using a self-administered questionnaire. The findings show that the proposed approach acquired an acceptable fit with the data and 17 of 25 hypotheses were confirmed to be correct. Furthermore, the variables self-efficacy, resilience, security response efficacy, and protection motivation directly influence ISP violations, while perceived sanction severity and optimism indirectly influence ISP violations through protection motivation. Additionally, hope, perceived sanction certainty, and security skills have no effect on ISP infractions that are statistically significant. Finally, self-efficacy, resiliency, optimism, hope, perceived severity of sanctions, perceived certainty of sanctions, perceived effectiveness of security responses, and security competence have a substantial influence on protection motivation.

• 정보보호학회논문지
• /
• 제28권1호
• /
• pp.269-281
• /
• 2018

정보화 사회에서 핵심 가치로 평가받고 있는 자원은 정보 그 자체이다. 이런 이유로 기업의 가치 있는 정보를 노리는 시도가 많아지며 정보보안 사고가 급증하고 있다. 기업에서는 정보보안 사고를 예방하기 위해 다양한 정보보안 부문에 투자하고 있으나, 어떤 부문에 대한 투자가 정보보안 사고를 감소시키는 데에 직접적으로 기여하는지는 잘 알지 못한 채 투자하고 있다. 기업의 대표적인 정보보안 투자 부문인 제품뿐만 아니라 대표적인 정보보안 서비스 사업으로 각광받고 있는 정보보안 교육 및 훈련, 보안관제 서비스, 그리고 취약점 분석의 투자 효용을 알아보기 위해 본 연구를 진행하였다. 한국 인터넷 진흥원의 2014년 정보보호 실태 조사의 원자료를 이용하고, 총 정보보안 사고건수를 종속변수로 두고 음이항분포 회귀분석을 실시한 결과 교육 서비스와 취약점 분석 서비스가 정보보안 사고를 줄이는 데에 유의미하게 기여하는 것으로 판단되었다. 이 연구는 학문적으로는 정보보안 경제학을 이론적 배경으로하여 정보보안 투자 부문의 실제 효용을 파악한 연구이며, 실증적으로는 조직에서 한정된 자원을 정보보안 투자에 배분할 때 효율적인 의사결정을 하는 데에 지침을 제공할 수 있는 연구이다.