Digital risk management : investigating human-factor security with a behaviourist approach

Date
2022-04
Journal Title
Journal ISSN
Volume Title
Publisher
Stellenbosch : Stellenbosch University
Abstract
ENGLISH SUMMARY: The successful digitisation of modern organisations relies on the cohesion between information technology and the workforce responsible for managing and operating it. Without proper management and operation, even the most sophisticated technologies may become vulnerable when operated by a low skilled worker. Numerous studies acknowledge human vulnerability in cyber security, also known as human-factor security, as the “weakest link” in a digitised organisation’s security posture. Existing literature suggests that there is a lack of focus on the impact of human-factor security on information and data security in organisations. The focus is on the risks posed by technologies, whereas the risks presented by workers implementing, managing, or interacting with these technologies are neglected. In addition, existing literature proposes risk management frameworks to aid in digital risk management as a whole. Thus, the need to investigate how risk management frameworks could be applied to human-factor security in digitised organisations arise. This paper provides a comprehensive understanding of the behavioural and cognitive science of people in relation to digital threat awareness and response. This is achieved through a qualitative assessment of responses to survey questions on an authentic dataset. This authentic dataset consists of South African employees working in digitised orginisations. The survey questions utilise the Behaviourist Learning Theory. The Behaviourist Learning Theory relies on understanding human behaviour by investigating the person’s behvioural response when exposed to environmental stimuli. For this survey, the behaviour is understood by investigating the partcipants’ behvioural response when exposed to digital threats. The survey results give an indication of the strength of the security posture of the dataset. Additionally, from the survey results, insight is gained on how the human-factor security may be improved. Therefore, a risk management plan is presented to assist in managing human-factor security. The risks management plan involves the identification, assessment, response to the risks found in the behaviour from the dataset. Thus, this research project provides security- and risk managers with insight into human vulnerabilities and behaviour when interacting with information systems and technology in digitised organisations. The insights presented in this paper may be utilised to enhance the organisation’s security posture through the implementation of a risk management plan. From the survey responses, it is evident that most respondents show a high level of awareness of security and competence when exposed to potential threats. However, there can be observed that few employees do portray risky behaviour. The risky behviour may still result in devastating consequences, regardless of the low probability of occurrence.
AFRIKAANSE OPSOMMING: Die suksesvolle digitalisering van moderne maakstappye steun op die kohesie tussen informasie tegnologie en die werksmag verantwoordelik vir die bestuur en bedryf daarvan. Sonder behoorlike bestuur en bedrywing kan selfs die mees gesofistikeerde tegnologieë kwesbaar wees in die hande van 'n onbekwame werker. Talle studies toon dat menslike kwesbaarheid in kuber-sekuriteit die “swakste-skakel” in 'n digitale maatskappy is. Menslike kwesbaarheid in kuber-sekuriteit is ook bekend as menslike-faktor sekuriteit. Die literatuur stel voor dat daar 'n tekort ontstaan van die fokus op die impak wat menslike-faktor sekuriteit op inligting and data sekuriteit in organisasies het. Die fokus word meestal geplaas op die risiko wat tegnologie bring en daardeur skep dit die risiko wat die werksmag bring af, wat hoofsaaklik hierdie tegnologieë bestuur en bedryf. Verder stel bestaande literatuur risiko bestuurs raamwerke voor met die doel om risiko bestuur as 'n geheel te verbeter. Daardeur onstaan die behoefte na die ondersoek oor hoe risiko bestuurs raamwerke toegepas kan word in menslike-faktor sekuriteteit in maatskappye. Hierdie projek bied 'n omvattende begrip van die gedrags en kognitiewe wetenskap in verband met die bewustheid en reaksie op digitale bedreigings. Verder is daar 'n risiko-bestuurs plan opgestel wat ondersteuning bied vir die bestuur van menslike-faktor sekuriteit. Dit word bereik deur 'n kwalitatiewe assessering van antwoorde op opnamevrae op 'n unieke datastel. Hierdie unieke datastel bestaan uit Suid-Afrikaanse werknemers wat in gedigitaliseerde organisasies werk. Die opnamevrae gebruik die Behaviorist Learning Theory. Die Behaviorist Learning Theory maak staat op die verstaan van menslike gedrag deur die persoon se gedragsreaksie te ondersoek wanneer dit aan omgewingstimuli blootgestel word. Die antwoorde op die opnamevrae gee ’n indikasie van die sekuriteitspostuur van die datastel. Die opname resultate bied insig oor hoe die menslike faktor sekuriteit verbeter kan word. Daarom word 'n risikobestuursplan aangebied om te help met die bestuur van menslike faktorsekuriteit. Die risikobestuursplan behels die identifikasie, assessering, reaksie op die risiko's wat in die gedrag van die datastel gevind word. Hierdie navorsings projek voorsien sekuriteits bestuurders met waardevolle insig. Hierdie insig ondersteun die begrip van die gedrag en kwesbaarheid wat die werksmag toon teenoor die bedrywing van tegnologieë en inligtingstels in maatskappye. Hierdie insig kan aangewend word om 'n organisasie se sekure postuur te verbeter deur 'n risiko bestuursplan aan te wend. Deur die opname is dit duidelik dat die meerderheid van die werskmag reeds 'n hoë vlak van risiko bewustheid en reaksie toon in die moontlike blootstelling aan bedreidings. Alhoewel, daar kan gesien word dat sommige werkers wel hoë-risiko gedrag toon, wat ‘n bedreiging vir ’n maatskappy se digitale sekuriteit kan wees. Hierdie hoë-risiko kan na groot skade vir 'n maatskappy lei, ongeag van die lae waarskynlikheid dat dit sal plaasvind.
Description
Thesis (MPhil)--Stellenbosch University, 2022.
Keywords
Computer security -- South Africa, Information storage and retrieval systems -- South Africa, Technology -- Risk assessment -- South Africa, Industrial safety -- Management -- South Africa, Human-computer interaction -- South Africa, UCTD
Citation