نقش آگاهی از امنیت اطلاعات کارکنان در پیشگیری از حملات مهندسی اجتماعی [نمونه موردی: کارمندان شهرداری تهران]

نوع مقاله : مقاله پژوهشی

نویسندگان

1 دانشجوی دکتری ، دانشگاه آزاد اسلامی واحد علوم تحقیقات.تهران، ایران

2 استادیار، دانشگاه آزاد اسلامی ، واحد تهران مرکز، تهران، ایران

چکیده

مهندسی اجتماعی شکلی از حمله است که به دنبال فریب کارکنان برای افشای اطلاعات محرمانه شان یا اجرای اقداماتی از جانب آنان است که امنیت سازمان را تهدید می کند. هدف این مقاله مطالعه عوامل سازمانی و فردی است که بر آگاهی از امنیت اطلاعات کارکنان تأثیرگذار بوده و این که چگونه این موجب پیشگیری از حملات مهندسی اجتماعی می شود. این تحقیق بر روی 1322 نفر از کارکنان شهرداری تهران انجام گرفته است. آگاهی از امنیت اطلاعات به عنوان یکی از عوامل اصلی در تأمین امنیت اطلاعات و ارتقای سطح آگاهی امنیت اطلاعات به عنوان یک عامل مهم در حفاظت از سازمان در برابر حملات احتمالی تأیید گردید. نظریه عمل منطقی و نظریه بسط یافته آن یعنی نظریه رفتار برنامه ریزی شده در این مطالعه مورد استفاده قرار گرفت. 12 فرضیه بر اساس نظرات کارشناسان و تحقیقات قبلی صورت گرفته طراحی شد که پیمایش صورت گرفته نشان داد که شش مورد از فرضیات تأیید، سه مورد از آنها تا حدودی تأیید و سه مورد از آنها رد شدند. نتایج تحقیق نشان داد که سیاستهای امنیت اطلاعات، برنامه های آگاه سازی، آموزشی و مهارت افزایی امنیتی و تأثیر آگاه سازی بر بینش و انگیزه کارکنان و تاثیر کنترل رفتار ادراکی بر انگیزه کارکنان در مقابله با مهندسی اجتماعی تأثیرات معناداری در پیشگیری از وقوع مهندسی اجتماعی دارد. ارتباط رهبری ، اعتماد و رفتارهای پرخطر با موضوع آگاهی از امنیت اطلاعات نیز سنجش و ارتباط ضعیفی میان آنها یافت گردید.

کلیدواژه‌ها

موضوعات


عنوان مقاله [English]

The role of employee information security awareness in preventing social engineering Attacks [Case example: Tehran Municipality employees]

نویسندگان [English]

  • Seyyedhasan Hoseini 1
  • nassim majidighahroodi 2
1 PhD student, Islamic Azad University, Department of Research Sciences, Tehran, Iran
2 Assistant Professor, Islamic Azad University, Central Tehran Branch, Tehran, Iran
چکیده [English]

Social engineering is a form of attack that seeks to trick employees into revealing their confidential information or performing actions on their behalf that threaten the security of the organization. The purpose of this article is to study the organizational and individual factors that influence employees' information security awareness and how this prevents social engineering attacks. This research was conducted on 1322 employees of Tehran Municipality. Awareness of information security was confirmed as one of the main factors in ensuring information security and raising the level of information security awareness as an important factor in protecting the organization against possible attacks. The theory of rational action and its expanded theory, i.e. the theory of planned behavior, were used in this study. 12 hypotheses were designed based on the opinions of experts and previous research, and the survey showed that six of the hypotheses were confirmed, three of them were partially confirmed, and three of them were rejected. The results of the research showed that information security policies, security awareness, training and skill enhancement programs and the effect of awareness on the insight and motivation of employees and the effect of perceptual behavior control on the motivation of employees in dealing with social engineering have significant effects in preventing the occurrence of social engineering. . The relationship between leadership, trust and risky behaviors with information security awareness was also measured and a weak relationship was found between them.

کلیدواژه‌ها [English]

  • awareness of information security
  • social engineering
  • subjective norm
  • perceptual behavior control
  • information security policies
دوره 12، شماره 3 - شماره پیاپی 47
شماره پیا پی 47 پاییز 1403
آبان 1403
  • تاریخ دریافت: 27 اردیبهشت 1403
  • تاریخ بازنگری: 09 شهریور 1403
  • تاریخ پذیرش: 06 مهر 1403
  • تاریخ انتشار: 01 آبان 1403