Razvoj i validacija Upitnika znanja i rizičnog ponašanja korisnika informacijskog sustava (UZPK) ; Development and Validation of Users' Information Security Awareness Questionnaire (UISAQ) ; Desarrollo y validación del Cuestionario sobre el saber y la conducta de riesgo de los usuarios del sistema de informaciones (CSCU)

Dosadašnja su istraživanja pokazala kako je čovjek najslabija karika u sigurnosnom sustavu te kako ne postoji pouzdan način mjerenja rizičnosti čovjekova ponašanja u vidu narušavanja sigurnosti informacijskog sustava. Cilj je istraživanja bio razviti valjan i pouzdan instrument koji će mjeriti utjecaj korisnika na sigurnost informacijskog sustava. U tu je svrhu kreiran Upitnik znanja i rizičnog ponašanja korisnika informacijskog sustava (UZPK; Velki i Šolić, 2014; prema Velki, Šolić i Očević, 2014). Istraživanje je provedeno u tri vala prikupljanja podataka. Prvi se uzorak sastojao od 135 studenata druge godine preddiplomskog studija na kojem je provjerena konstruktna valjanost, pouzdanost i osjetljivost pojedinih subskala te odabrane odgovarajuće čestice. Drugi se uzorak sastojao od 211 studenata i zaposlenika, a na njemu su provjerene metrijske karakteristike poboljšanog instrumenta te je dobivena konačna verzija UZPK (k=33), koja se dijeli na dvije skale: Skala rizičnog ponašanja računalnih korisnika (k=17) [sastoji se od tri supskale: Supskala uobičajenih rizičnih ponašanja korisnika računala (k=6), Supskala održavanja osobnih računalnih sustava (k=6) i Supskala posuđivanja pristupnih podataka (k=5)] te Skala znanja o informacijskoj sigurnosti (k=16) (također se sastoji od tri supskale: Supskala stupnja sigurnosti računalne komunikacije (k=5), Supskala uvjerenja o sigurnosti računalnih podataka (k=5) i Supskala važnosti pravilne pohrane računalnih podataka (k=6). Treći se uzorak sastajao od 152 zaposlenika i na njemu je validiran UZPK. Dobivena je dobra konstruktna valjanost, sve skale i supskale imaju zadovoljavajuće metrijske karakteristike (pouzdanost i osjetljivost) te je dobivena i dobra kriterijska valjanost. Može se zaključiti kako Upitnik predstavlja valjan i pouzdan mjerni instrument, zadovoljavajućih psihometrijskih karakteristika. ; Previous researches have shown that information systems' users are still the weakest link in information security area. Scientists did not yet develop some reliable instruments that measure the level of user's influence on information systems' security. The aim of the research was to develop a reliable and valid instrument for measuring a level of users' security awareness and its potentially risky behaviour. For research purposes, Users' Information Security Awareness Questionnaire (UISAQ; Velki & Solic, 2014; according to Velki, Šolić, & Očević, 2014) was developed and with that questionnaire data were collected in three waves. Participants in the first wave were 135 second-year students of undergraduate study on who we tested the construct validity, reliability and sensitivity of individual subscales, and from which we choose items. In the second wave, we had a sample of 211 both students and employees. In this wave, metric characteristics of improved version of UISAQ have been examined. Result was final version of UISAQ (k=33) split into two scales: Scale of computer users' potentially risky behaviour (k=17) [split into three subscales: Subscale of computer users' usual behaviour (k=6), Subscale of personal computer systems' maintenance (k=6) and Subscale of access data lending (k=5)] and Scale of information security knowledge (k=16) [split into three subscales: Subscale of level of security in communications (k=5), Subscale of belief into data security status (k=5) and Subscale of backup importance (k=6)]. The third wave was conducted on 152 employees and in this wave validation was concluded. We obtained good constructive validity, where all scales and subscales have good metric characteristics, and good criterion validity. This newly developed questionnaire has proved to be a reliable and valid instrument with proper psychometric characteristics. ; Las investigaciones anteriores han mostrado que el hombre es el vínculo más débil del sistema de seguridad y que no existe una manera fiable de medir el riesgo de la conducta humana para no romper la seguridad del sistema de informaciones. El objetivo de esta investigación fue desarrollar un instrumento válido y fiable que mediría la influencia que tiene el usuario sobre la seguridad del sistema de informaciones. Con este fin fue creado el Cuestionario sobre el saber y la conducta de riesgo de los usuarios del sistema de información (CSCU; Velki i Šolić, 2014). La investigación fue realizada en tres fases de recolección de datos. La primera muestra constaba de 135 estudiantes del 2º año de estudios de grado y en ella se controlaba la validez de constructo, fiabilidad y sensibilidad de ciertas subescalas. También fueron elegidas partículas correspondientes. La segunda muestra constaba de 211 estudiantes y empleados. En ella se comprobaban características métricas del instrumento mejorado y se obtuvo la versión final del CSCU (k=33) que se divide en dos escalas: la Escala de conducta de riesgo de los usuarios (k=17) [consta de tres subescalas: la Subescala de conductas de riesgo habituales (k=6), la Subescala de mantenimiento de los sistemas de ordenadores personales (k=6) y la Subescala de prestación de datos de acceso (k=5)] y la Escala del saber sobre la seguridad de informaciones (k=16) [que también consta de tres subescalas: la Subescala de grado de seguridad de la comunicación (k=5), la Subescala de creencia sobre la seguridad de datos (k=5) y la Subescala de importancia del almacenamiento correcto de datos (k=6)]. La tercera muestra constaba de 152 empleados y en ella se validó el CSCU. Se obtuvo una validez de constructo muy buena, todas las escalas y subescalas tienen características métricas satisfactorias (fiabilidad y sensibilidad) y se obtuvo buena validez de criterio. Se puede concluir que el Cuestionario recién desarrollado representa un instrumento métrico válido y fiable, con características psicométricas satisfactorias.