[论文解读] Automating the Communication of Cybersecurity Knowledge: Multi-Case Study
本文提出 CYSEC,一款专为中小型企业(SMBs)设计的 DIY 网络安全评估与改进工具,通过运用自我决定理论(SDT)自动化实现专家级辅导,以提升用户动机与采纳率。多案例研究显示,有效的自动化网络安全沟通取决于定制化的评估问题、自适应的改进建议、实践操作技能、工具的适应性,以及用户对机密数据文档化的意愿,其成功关键在于满足用户在胜任感、自主性和关联感方面的心理需求。
Cybersecurity is essential for the protection of companies against cyber threats. Traditionally, cybersecurity experts assess and improve a company's capabilities. However, many small and medium-sized businesses (SMBs) consider such services not to be affordable. We explore an alternative do-it-yourself (DIY) approach to bringing cybersecurity to SMBs. Our method and tool, CYSEC, implements the Self-Determination Theory (SDT) to guide and motivate SMBs to adopt good cybersecurity practices. CYSEC uses assessment questions and recommendations to communicate cybersecurity knowledge to the end-user SMBs and encourage self-motivated change. In this paper, the operationalisation of SDT in CYSEC is presented and the results of a multi-case study shown that offer insight into how SMBs adopted cybersecurity practices with CYSEC. Effective automated cybersecurity communication depended on the SMB's hands-on skills, tools adaptedness, and the users' willingness to documenting confidential information. The SMBs wanted to learn in simple, incremental steps, allowing them to understand what they do. An SMB's motivation to improve security depended on the fitness of assessment questions and recommendations with the SMB's business model and IT infrastructure. The results of this study indicate that automated counselling can help many SMBs in security adoption. The final publication is available at Springer via https://link.springer.com/chapter/10.1007%2F978-3-030-59291-2_8
研究动机与目标
- 解决由于资源和专业知识有限,导致 SMBs 难以主动采纳网络安全实践的问题。
- 探究自动化、DIY 网络安全沟通是否能有效支持 SMBs 进行能力评估与改进。
- 评估心理动机(特别是胜任感、自主性和关联感)在自我决定理论(SDT)框架下对用户参与度的驱动作用。
提出的方法
- CYSEC 是一种自主式、基于工具的方法,可自动化实现安全专家与 SMB 员工之间的对话式辅导。
- 通过在评估问题和改进建议中嵌入胜任感、自主性和关联感等构念,将自我决定理论(SDT)具体化实施。
- 该工具会根据每个 SMB 的业务模式和 IT 基础设施,生成个性化的评估问题和改进建议。
- 采用“出声思考”法和基于观察的数据收集方式,研究 CYSEC 在真实 SMB 环境中的实际使用情况。
- 数据通过模式匹配与解释建构法进行定性分析,并通过成员核对确保有效性。
- 该方法包含进度摘要、用于增强连接感的行动驾驶舱,以及能力领域映射,以提升用户参与度。
实验结果
研究问题
- RQ1CYSEC 的自动化沟通在多大程度上影响 SMB 对网络安全实践的采纳动机?
- RQ2定制化的评估问题与建议在多大程度上提升了用户参与度与行为改变?
- RQ3心理需求(胜任感、自主性、关联感)在自动化网络安全沟通有效性中发挥何种作用?
- RQ4保密顾虑与信任问题如何影响 SMB 对网络安全建议的采纳?
- RQ5在真实 SMB 环境中,哪些因素促进或阻碍 DIY 网络安全改进的成功实施?
主要发现
- 有效的自动化网络安全沟通取决于 SMB 的实践操作技能、工具的适应性,以及用户对机密信息文档化的意愿。
- SMB 更倾向于以简单、渐进的步骤学习,以便理解并掌控自身的安全改进过程。
- 用户提升安全性的动机强烈受到评估问题与建议是否与自身业务模式和 IT 基础设施相匹配的影响。
- 未满足的心理需求(尤其是胜任感与自主性)显著阻碍了网络安全行为的采纳。
- 保密顾虑成为主要障碍,用户即使在组织内部也倾向于不愿记录或分享与安全相关的信息。
- 研究发现,当自我决定理论(SDT)的构念被恰当实施时,可有效解释并增强自动化网络安全沟通在 SMB 中的效果。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。