Een Nieuwe Blik op Shadow IT en Cybersecurity: Onderzoek naar het Opslaan van Gegevens op Organisatiesoftware door de Medewerker
Het opslaan van gevoelige bedrijfsgegevens op niet-goedgekeurde hardware, software en services, zoals Dropbox of Google Drive, gebeurt vaak, ondanks de veiligheidsrisico’s. Dit fenomeen heet Shadow IT.
Shadow IT-gedrag brengt grote veiligheidsrisico’s met zich mee, doordat gevoelige gegevens opgeslagen wordt op onveilige locaties. Tegelijkertijd beschikken organisaties niet over methoden om deze risico’s adequaat te monitoren en beheersen.
Doel
Dit onderzoek richt zich op het ontwikkelen van een langetermijn gedragsinterventie voor Shadow IT-gedrag van medewerkers gebruikmakend van Mechanisms of Action. Daarnaast streeft dit project ernaar de wetenschappelijke domeinen van gedragsverandering en cybersecurity nauwer met elkaar te verbinden en elkaar te versterken.
Dit leidt tot de onderzoeksvraag: Welke Mechanisms (of Action) kunnen (C)ISO's gebruiken om de opslag van gegevens op bedrijfssoftware op de langetermijn te verhogen?
Resultaten
- Ontwikkelen van een multidisciplinair framework van de invloedfactoren op shadow IT-gedrag en de bijbehorende Mechanisms of Action;
- Ontwikkelen van een gerangschikte lijst van clusters van Mechanisms of Action gebaseerd op langetermijneffect, en implementatie en onderhoud, en;
- Ontwikkelen en valideren van technische en niet-technische meetinstrumenten en een evidence-based gedragsinterventie om mate van opslag op bedrijfssoftware te bepalen en verhogen.
Aanpak
De literatuur review zal de drijfveren achter schaduw-IT-gedrag analyseren en verbinden met mechanisms of action. Binnen de nominale groepstechniek zullen CISO’s en cybersecurity gedragsveranderdeskundigen deze mechanismen clusteren en rangschikken. De longitudinale studie zal vervolgens technische, gebruikmakend van loggegevens en niet-technische meetinstrumenten ontwikkelen op basis van de mechanismen die in de interventie worden gebruikt. De longitudinale studie zal over drie maanden worden uitgevoerd en omvat een controle-, benchmark- en interventiegroep.
Looptijd
01 september 2024 - 02 februari 2029
Zie jij een rol voor jezelf?
Het promotietraject loopt naar verwachting van 1 september 2024 tot en met 2 februari 2029. Gedurende deze periode zijn wij voortdurende op zoek naar samenwerkingspartners met hun voeten in de klei en onderzoekers.
Gedurende het promotietraject zoeken we:
- CISO’s om te spreken over welke mechanismen invloed hebben op verhogen van de opslag van gegevens op bedrijfssoftware;
- Cybersecurity gedragsveranderaars om te spreken over welke mechanismen invloed hebben op verhogen van de opslag van gegevens op bedrijfssoftware, en;
- Bedrijven die de opslag van gegevens door medewerkers op bedrijfssoftware willen verhogen.
Zie je jezelf in een of meer van deze rollen, neem dan gerust contact met ons op! Heb je echter een uniek perspectief dat we over het hoofd hebben gezien? Neem dan ook contact met ons op! Zie contactgegevens onderaan de pagina.
Samenwerkingspartners
AWAREWAYS: Sjoerd van Veldhuizen & Maarten Timmerman
Radboud Universiteit: Prof. Dr. Ir. Wolter Pieters van het Behavioural Science Institute (BSI).
Fleur van leusden
"Dit is een uitstekend onderzoeksvoorstel dat zowel wetenschappelijk als praktisch zeer relevant is"
HU-voucher reviewers
Relevantie
Praktijk en wetenschap:
- Het interdisciplinaire framework van shadow IT-gedrag stelt toekomstige onderzoekers in staat hun monodisciplinaire studies te contextualiseren. Daarnaast biedt het framework een duidelijker en bruikbaar overzicht van het complexe besluitvormingsproces rondom shadow IT-gedrag;
- De benadering die wordt gebruikt voor het clusteren van de werkingsmechanismen (MoA’s) biedt een basis voor replicatie en verfijning voor zowel praktijkmensen als onderzoekers;
- De technische metingen bieden onderzoekers een methode om schaduw IT-gedrag te kwantificeren, en de interventie biedt (C)ISO’s een evidence-based gedragsinterventie om gegevensopslag op bedrijfssoftware te verhogen, en;
Onderwijs:
- De kennis die door dit onderzoek wordt gegenereerd, zal worden ingebed in de HU Master Digital Security. Daarnaast zal kennis primair beschikbaar worden gesteld via publicaties in vakbladen, zoals ISCACA en OWASP, en wetenschappelijke tijdschriften. Tenslotte zullen inzichten ook worden gedeeld binnen een LinkedIn-nieuwsbrief.