Winnaar René Olthuisprijs 2017 bekend

Donderdag 29 maart werd op de Bernhardkazerne in Amersfoort, onder toeziend oog van de leden van de VID, de René Olthuis scriptieprijs 2017 uitgereikt aan Dennis van Wissen. Dennis kreeg de prijs voor zijn Master Thesis ‘Meten van informatiebeveiligingsbewustzijn’ aan de Open Universiteit.

Hieronder treft u de samenvatting van zijn thesis:

Het belang van informatiebeveiliging neemt toe. Het wordt ook steeds duidelijker dat beveiligingsincidenten niet kunnen worden voorkomen met enkel technische maatregelen, omdat de mens de zwakste schakel is. Daarom is informatiebeveiligingsbewustzijn van groot belang. Door informatiebeveiligingsbewustzijn te meten kunnen organisaties gericht verbeteren, om uiteindelijk een betere informatiebeveiliging te bewerkstelligen. Voor het uitvoeren van deze metingen bestaat nog geen breed erkend en goed gevalideerd instrument.

In de laatste jaren zijn wel enkele methoden ontwikkeld die verder moeten worden gevalideerd. De beste methode is op dit moment de Human Aspects of Information Security Awareness Questionnaire (HAIS-Q). Bij deze methode moet de respondent van 63 stellingen aangeven in hoeverre hij of zij het met de stelling eens is, op basis van een vijfpunts-likertschaal. De stellingen zijn opgedeeld in focus area’s (hoofdonderwerpen) en dimensies (kennis, houding en gedrag). HAIS-Q
is de afgelopen jaren al beproefd, maar alleen door de ontwikkelaars van de methode en alleen binnen Australië. In dit onderzoek is HAIS-Q verder gevalideerd door het binnen een Nederlandse organisatie te beproeven en te beoordelen op betrouwbaarheid, validiteit en presteren in de praktijk. Binnen de Nederlandse organisatie is de survey uitgevoerd met een totale respons van 58 personen. Daarnaast zijn zes deskundigen in deze organisatie geïnterviewd.

De betrouwbaarheid is getest door Cronbach’s alfa te bepalen. De interne consistentie valt met 0,89 hoog uit en duidt op redundantie. De herhaling in de vragenlijst wordt echter niet aangegrepen voor een betrouwbaarheidscontrole middels de ‘alternatieve vorm’. Uit de interviews blijkt bij de organisatie een reëel risico op sociaal wenselijk antwoorden aanwezig. Angst voor negatieve gevolgen is daarentegen geen noemenswaardig probleem. Over het algemeen is de betrouwbaarheid van HAIS-Q in orde. De test-hertestbetrouwbaarheid kon binnen de beperkingen van dit onderzoek niet worden bepaald.

De validiteit is bepaald door interviews en op basis van feedback van de respondenten. Uit de interviews blijkt dat de inhoudsvaliditeit goed is, want de meeste vragen zijn essentieel of nuttig. Er ontbreken nog wel onderwerpen, maar de vragenlijst is grotendeels compleet. Zowel deskundigen als respondenten bevestigen dat er vragen niet juist of niet van toepassing zijn binnen de organisatie, wat kan leiden tot foutieve meetresultaten. De context van de stellingen is soms ook onvoldoende duidelijk. HAIS-Q is dus niet universeel toepasbaar. Binnen dit onderzoek is het niet mogelijk gebleken om predictieve validiteit en constructvaliditeit vast te stellen.

De indeling in focus area’s en dimensies is volgens de deskundigen nuttig en met een gemiddelde duur van bijna zestien minuten blijkt HAIS-Q voor de respondenten acceptabel. Daarentegen vinden respondenten de vraagstelling onprettig of onduidelijk, doordat stellingen in een andere vorm worden herhaald of door de negatieve formulering.

Door de vaste vragenlijst en eenvoudige opzet is HAIS-Q een zeer praktisch meetinstrument voor het meten van informatiebeveiliging, maar geeft geen verklaring voor de scores. Daarvoor is een combinatie met andere onderzoekstechnieken nodig. HAIS-Q kan verder worden geëvalueerd door het te beproeven in andere omgevingen met extra aandacht voor test-hertestbetrouwbaarheid, predictieve validiteit en constructvaliditeit. Aandachtspunten voor doorontwikkeling zijn sociaalwenselijk antwoorden, redundantie, gebruik van de ‘alternatieve vorm’. Daarnaast nog de toepasbaarheid, context en formulering van de stellingen.