重要的信息安全必读论文之三： “User Awareness of Security Countermeasures and Its Impact on Information Systems Misuse: A Deterrence Approach”

                                                            （整理人：萧文龙、王啸群）

信息技术在给企业带来成功机会的同时，也给企业带来了安全隐患，信息安全事件近年来不断出现，威胁到组织。 Shiau et al. (2023)从最好的信息安全期刊和会议（由计算机科学研究的重要门户research.com发布），以及信息系统协会(AIS)编制的MIS期刊中筛选了发表在1996年至2021年间的8006篇信息安全研究论文进行共被引研究。研究表明：信息安全研究可以划分为八个核心知识群组，包括(1)入侵检测，(2)隐私保护，(3)安全机器学习，(4)密码系统，(5)数据服务安全，(6)恶意软件分析，(7)安全决策，(8)安全管理。与外部攻击相比，内部计算机滥用对安全的威胁更为严重。为了减轻与内部攻击相关的安全风险，一个基本的方法是遵循安全策略。Shiau et al. (2023) 的研究同时识别了信息安全领域内115篇高被引的重要论文。其中，由D'Arcy et al. (2009)发表在《Information Systems Research》上的 “User Awareness of Security Countermeasures and Its Impact on Information Systems Misuse: A Deterrence Approach” 从犯罪学文献中引入了威慑理论用于解释员工对安全政策的遵循意愿，其Google Scholar被引达1735次，其中Web of Science平台上的引用也达到了654次，本期我们就介绍这篇论文如下。

通用威慑理论认为，某些控制措施可以通过增加对信息系统滥用惩罚的感知威胁，作为威慑机制来促使用户对安全政策的遵循。D'Arcy et al. (2009) 提出了一个扩展威慑理论模型，该模型结合了犯罪学、社会心理学和信息系统领域的相关成果。具体而言，该模型假设用户对安全对策的认知直接影响与信息系统滥用相关的组织制裁的感知确定性和严重程度，从而降低员工的信息系统滥用意图。通过对来自8家不同公司的269名员工的实证检验，作者表明，有三种做法可以阻止信息系统的滥用： 一是提升用户对安全策略的认知；二是实施安全教育、培训和意识项目；三是执行计算机监控措施。该研究结果还表明，在减少信息系统滥用方面，制裁措施的严重性比制裁措施的确定性更有效。最后，作者还发现感知制裁的影响因个体的道德水平而异。

参考文献：

D'Arcy, J., Hovav, A., & Galletta, D. (2009). User awareness of security countermeasures and its impact on information systems misuse: A deterrence approach. Information systems research, Vol. 20 No. 1, pp. 79-98.

Shiau, W.-L., Wang, X., & Zheng, F. (2023). What are the trend and core knowledge of information security? A citation and co-citation analysis. Information & Management, Vol. 60 No. 3, doi: https://doi.org/10.1016/j.im.2023.103774.