Mixed-Methods Study of Cyber Security Awareness Training Course and Its Influencing Factors

No Thumbnail Available

URL

Journal Title

Journal ISSN

Volume Title

Perustieteiden korkeakoulu | Master's thesis

Authors

Date

2023-06-12

Department

Major/Subject

Human-Computer Interaction

Mcode

SCI3097

Degree programme

Master’s Programme in Computer, Communication and Information Sciences

Language

en

Pages

48+11

Series

Abstract

In an increasingly online organizational environment, the risk posed by cyber threats has become more prevalent. Organizations provide training to increase employee cyber security awareness as a non-technical and human-centered solution to mitigate these risks. Since the cyber security awareness training varies between organizations, there is no standardized evaluation methodology to be used to gauge the performance of these training. Without evaluation methodology, the quality assurance of cyber security awareness training becomes challenging. The objective of this thesis was to evaluate how Cyber Security Awareness Training course of Wärtsilä performs according to established best practices, and to examine the influence of employee demographics on the completion rates. A mixed-methods approach was utilized in this thesis. Possible employee demographic factors that influence the completion rates were analysed using quantitative methods, specifically statistical analysis. Following this, evaluation criteria for analysing the course was created using existing literature on the challenges regarding Security Awareness Training programs. Then qualitative analysis in the form of content analysis was used to evaluate how the course performs using the previously created criteria as the reference point. The results could then be used to find possible areas of improvement within the course and its delivery. The created evaluation methods could also benefit other organizations that employ similar cyber security awareness training for their employees. The results of the mixed-method study show that location and thus culture have little to no effect on the employees' likelihood to complete the Cyber Security Awareness Training course, whereas colleagues and supervisors through employee-specific subsidiary do have an effect. Additionally, this study presents a five-category evaluation framework as a result. Evaluation that was completed using this framework revealed problems in the tailoring of the course to fit all employees and the evaluation criteria used to measure the learning efficiency of the course.

Organisaatiot tukeutuvat enenevissä määrin internetin verkkopalveluihin, jonka myötä organisaatioita uhkaavat kyberuhat ovat yleistyneet. Ihmiskeskeisenä ratkaisuna tähän ongelmaan organisaatiot tarjoavat koulutusta parantaakseen työntekijöidensä tietoturvatietoisuutta ja lieventääkseen riskiä, jonka nämä uhkatekijät aiheuttavat. Koska tietoturvatietoisuuskoulutukset vaihtelevat organisaatioittain, ei ole olemassa standardoitua arviointimenetelmää, jota voitaisiin käyttää näiden koulutuksien arviointiin ja suorituskyvyn mittaamiseen. Ilman sopivaa arviointimetodologiaa tietoturvatietoisuuskoulutuksen laadunvarmistus on haastavaa. Tämän diplomityön tavoitteena oli arvioida, kuinka hyvin Wärtsilän Cyber Security Awareness Training -kurssi suoriutuu alan vakiintuneiden ja parhaiden käytänteiden mukaisesti, sekä tutkia kuinka työntekijöihin liittyvät demografiset muuttujat vaikuttavat kurssin suorittamiseen. Tämä diplomityö on monimenetelmällinen. Ensin kvantitatiivisia tilastollisia menetelmiä käyttäen analysoitiin, mitkä Wärtsilän työntekijöiden demografiset ominaisuudet vaikuttivat kurssin suorituksen todennäköisyyteen. Seuraavaksi kurssin arviointia varten kehitettiin arviointikriteerit olemassa olevan tutkimuksen pohjalta. Tämän jälkeen käytettiin kvalitatiivista sisältötutkimusta kurssin arvioimiseksi. Diplomityön tutkimuksen pohjalta oli mahdollista löytää mahdollisia kehityskohteita kurssin sisällössä, toimituksessa ja suunnittelussa. Arviointikriteerit, jotka kehitettiin aiemman tutkimuksen pohjalta voisivat myös tukea muita organisaatioita vastaavanlaisten tietoturvatietoisuuskurssien arvioinnissa. Tämän monimenetelmällisen tutkimuksen tulokset osoittavat, että sijainnilla ja siten kulttuurilla on hyvin vähän vaikutusta työntekijöiden todennäköisyyteen suorittaa Cyber Security Awareness Training -kurssi loppuun. Vastaavasti työntekijän palkanneella tytäryhtiöllä ja sen yrityskulttuurilla oli merkitystä. Näiden tuloksien lisäksi tämä tutkimus esittelee viiden kategorian viitekehyksen, jolla suoritettu kurssin arviointi paljasti ongelmia kurssin räätälöinnissä ja kurssin oppimistehokkuutta mittaavissa arviointikriteereissä.

Description

Supervisor

Suoranta, Sanna

Thesis advisor

Ward, Paul

Keywords

cyber security awareness training, security awareness training, cyber awareness, usable security

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202306184113

Collections

[dipl] Perustieteiden korkeakoulu / SCI