ju.se
EnglishSvenskaNorsk
Change search
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
Users perception of using CBMT for information security training
Högskolan i Skövde, Institutionen för informationsteknologi.ORCID iD: 0000-0003-2084-9119
Högskolan i Skövde, Institutionen för informationsteknologi.
Högskolan i Skövde, Institutionen för informationsteknologi.ORCID iD: 0000-0001-5962-9995
2019 (English)In: Proceedings of the Thirteenth International Symposium on Human Aspects of Information Security & Assurance (HAISA 2019) / [ed] Steven M. Furnell; Nathan L. Clarke, University of Plymouth Press , 2019, p. 122-131Conference paper, Published paper (Refereed)
Abstract [en]

It is well established that user behavior is a crucial aspect of information security and archivingsecure behavior through awareness and security training is the go-to solution proposed bypractitioners as well as the research community. Thus, there is a dire need for efficient trainingmethods for use in the security domain. This paper introduces ContextBased MicroTraining(CBMT), a framework for information security training that dictated that information securitytraining should be delivered to end users in short-sequences when the users are in a situationwhere the training is needed. Further, the users' perception of CBMT in evaluated in an onlinesurvey where about 200 respondents are subjected to training material and asked about how theyperceived them. The results show that users like the training material designed according to theCBMT framework and would prefer to use CBMT over other traditional methods of informationsecurity training.
Place, publisher, year, edition, pages
University of Plymouth Press , 2019. p. 122-131
Keywords [en]
information security, training, learning, user behavior, micro training, ContextBased MicroTraining, CBMT
National Category
Computer Sciences
Research subject
INF301 Data Science; Information Systems
Identifiers
URN: urn:nbn:se:hj:diva-62742ISBN: 978-0-244-19096-5 (print)OAI: oai:DiVA.org:hj-62742DiVA, id: diva2:1806918
Conference
Human Aspects of Information Security & Assurance (HAISA 2019) International Symposium on Human Aspects of Information Security & Assurance (HAISA 2019), Nicosia, Cyprus, July 15-17, 201
Available from: 2019-07-18 Created: 2023-10-24 Last updated: 2023-11-03Bibliographically approved
In thesis
1. Context-Based Micro-Training: Enhancing cybersecurity training for end-users
Open this publication in new window or tab >>Context-Based Micro-Training: Enhancing cybersecurity training for end-users
2022 (English)Doctoral thesis, comprehensive summary (Other academic)
Abstract [en]

This research addresses the human aspect of cybersecurity by developing a method for cybersecurity training of end-users. The reason for addressing that area is that human behaviour is widely regarded as one of the most used attack vectors. Exploiting human behaviour through various social engineering techniques, password guessing, and more is a common practice for attackers. Reports even suggest that human behaviour is exploited in 95% of all cybersecurity attacks. 

Human behaviour with regard to cybersecurity has been long discussed in the research. It is commonly suggested that users need support to behave securely. Training is often suggested as the way to improve user behaviour, and there are several different training methods available. The available training methods include instructor-led training, game-based training, eLearning, etc. However, even with the diversity of existing training methods, the effectiveness of such training has been questioned by recent research. Research suggests that existing training does not facilitate knowledge retention and user participation to a high enough degree.    

This research aims to address the problems with current training practices by developing a new method for cybersecurity training of end-users. The research used a design science (DS) approach to develop the new method in three increasingly complex design cycles. Principles for cybersecurity training were developed based on previous research and the Technology Acceptance Model and made the theoretical foundation of the reserach. The result is a theoretically grounded method for cybersecurity training that outlines goals and guidelines for how such training should be implemented. It has been evaluated in several steps with more than 1800 survey participants and 300 participants in various experiments. The evaluations have shown that it can both support users towards secure behaviour and be appreciated by its users.  

The main contribution of this research is the method for cybersecurity training, Context-Based Micro-Training (CBMT). CBMT is a theoretical contribution that describes good practices for cybersecurity training for end-users. Practitioners can adopt it as a guide on how to implement such training or to support procurement decisions. The research also shows the importance of integrating usability into the development of security practices. Users must positively receive both training and the guidelines imposed by training since positive user perception increases user adoption. Finally, the research shows that following security guidelines is difficult. While training is essential, this research suggests that training alone is not enough, and future research should consider the interplay between training and other support mechanisms.
Abstract [sv]

Denna forskning adresserar mänskliga aspekter på cybersäkerhet genom att utveckla en metod för cybersäkerhetsträning av användare. Forskningen motiveras med att användarbeteende anses vara en av de attackvektorer som angripare oftast använder. Att använda social manipulation, gissa lösenord och liknande för att utnyttja mänskligt beteende är vanligt. Vissa rapporter hävdar till och med att mänskligt beteende utnyttjas i 95% av alla cyberattacker.

Användarbeteende relaterat till cybersäkerhet har diskuterats i forskningen under lång tid. Det beskrivs ofta att användare behöver stöd för att agera säkert och träning föreslås ofta som sättet för att förbättra användarbeteenden. Det finns flera olika träningsmetoder att tillgå, bland annat lärarledd träning, spelbaserad träning och eLearning. Trots att det finns en mångfald av träningsmetoder har effektiviteten hos dessa metoder blivit ifrågasatt i samtida forskning. Forskning visar att existerande träningsmetoder inte ger tillräckligt bestående kunskap eller har tillräckligt hög användningsgrad.

Målet med denna forskning är att adressera problemen med existerande metoder för cybersäkerhetsträning genom att utveckla en ny metod för cybersäkerhetsträning av användare. Designbaserad forskning tillämpades för att utveckla den nya metoden i tre allt mer komplexa designcykler. Principer för cybersäkerhetsträning utvecklades baserat på tidigare forskning och teorin Technology Acceptance Model. Dessa principer utgjorde startpunkten för denna forskning. Resultatet är en teoretisk grundad metod för cybersäkerhetsträning vilken beskriver mål och riktlinjer för hur träning kan implementeras. Metoden har utvärderats i flera steg med fler än 1800 enkätdeltagare och 300 deltagare i olika experiment. Utvärderingarna visar att metoden kan stödja användare att agera säkert och att metoden uppskattas av användare.

Det huvudsakliga bidraget från denna forskning är metoden för säkerhetsträning, KontextBaserad MikroTräning (CBMT). CBMT är ett teoretiskt bidrag som beskriver mål och riktlinjer för säkerhetsträning av användare. Yrkesverksamma kan använda metoden som en guide för implementation av säkerhetsträning eller som ett stöd vid upphandling av säkerhetsträning. Forskningen visar också att det är viktigt att integrera användbarhet i utvecklingen av säkerhetsrutiner. När användare är positiva till träning, och de rutiner träningen förmedlar, ökar sannolikheten att användarna tillämpar rutinerna. Avslutningsvis påvisar forskningen att det är svårt för användare att följa säkerhetsråd. Även om träning är avgörande föreslår denna forskning att träning i sig inte är tillräckligt. Framtida forskning behöver studera samspelet mellan träning och andra stödfunktioner för användare.
Place, publisher, year, edition, pages
Skövde: University of Skövde, 2022. p. 139
Keywords
cybersecurity, training, usable, security, user, education, awareness
National Category
Computer Systems Information Systems
Research subject
Information Systems
Identifiers
urn:nbn:se:hj:diva-62714 (URN)978-91-984919-9-9 (ISBN)
Public defence
2022-10-17, Assar Industrial Innovation Arena, Kavelbrovägen 2B, Skövde, 13:15 (English)
Opponent
Supervisors
Available from: 2023-11-03 Created: 2023-10-24 Last updated: 2023-11-03Bibliographically approved

Open Access in DiVA

No full text in DiVA

Other links

Abstract

Authority records

Kävrestad, JoakimNohlberg, Marcus

Search in DiVA

By author/editor
Kävrestad, JoakimNohlberg, Marcus
Computer Sciences

Search outside of DiVA

GoogleGoogle Scholar

isbn
urn-nbn

Altmetric score

isbn
urn-nbn
Total: 164 hits
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
v. 2.45.0
|
WCAG
|
Jönköping University
|
Jönköping University Library