许玮元:离散的负面情绪与员工信息安全违章行为之间的关系
发布时间:12-27-17

内部员工被认为是组织重要的安全威胁。大多数的研究强调威慑的重要性,但缺乏对员工内在动机的研究。基于认知倾向框架(Appraisal Tendency Framework),我们实证验证了员工在工作中的情绪如何影响他们的信息安全违章行为。我们对比了两种负面情绪,愤怒和害怕,对员工感知的正式和非正式惩罚,以及信息安全违章行为的影响。

 

随着企业日常工作对信息技术的依赖度越来越大,企业内部员工在完成工作的同时,往往会发生一些信息安全违章行为,比如内部人员可能会未经授权访问企业内部数据,将敏感的、受保护的企业数据披露给他人。来自企业内部员工的信息安全违章行为会对组织带来极大的危害。据PwC报道,2016年有40%以上的安全问题是由内部人员引起的,内部人员被认为是组织最严重的威胁之一。2016年Ponemon的全球安全报告显示,内部人员的恶意行为平均每年耗费费用为167,890美元。因而,防范和减轻内部威胁成为组织信息安全管理的重要研究问题。

 

在信息系统(IS)安全研究领域,大多数研究基于理性选择假设,认为个人根据成本与效益分析来决定自己的行为。威慑控制一度被认为可以有效地减少组织中信息安全违章行为的发生。威慑理论认为,个人会基于感知到的正式或非正式惩罚的确定性和严重性进而决定自己的安全行为。比如,正式惩罚包括个人感知到被抓的风险以及被抓后惩罚的严重程度。非正式惩罚包括个人失去他人尊重和认可的可能性和严重程度。然而,最近的研究得出不一致的结果,比如研究发现过于严格的信息安全政策反而会增加计算机滥用行为的发生。而且,对于表达性犯罪,威慑并不起作用。因此,为了进一步推动对于员工信息安全行为的研究,需要分析内部员工发生信息安全违章行为的内在动机。此研究,我们关注了表达性犯罪动机,也就是情绪,对员工信息安全违章行为的影响。

 

组织行为的研究表明,工作场所的情绪会影响员工的认知和工作行为,而情绪的产生取决于对事件的认知评估,比如对负面事件的评估会导致负面情绪的产生,负面情绪会引起工作场所偏离行为的发生。在IS领域,Beaudry和Pinsonneault将负面情绪分为失去的情绪,比如愤怒,以及威慑的情绪,比如害怕。愤怒和害怕,虽然都是负面情绪,在认知评估的确定性和控制维度上却不同,对于个人的认知和行为决策有着不同的作用。在IS安全领域,愤怒和害怕已经被认为会对员工安全行为产生影响,然而目前缺乏实证研究。因此,基于认知倾向框架(ATF),我们分析了愤怒和害怕对信息安全违章行为的直接作用以及通过感知惩罚的间接作用。

 

ATF认为不同的认知评估维度会导致产生不同的情绪,情绪会引发评估倾向,进而对未来的事件或环境进行评估。该理论认为,情绪对未来事件或环境的评估取决于诱发情绪产生的评估维度。另外,该理论认为情绪的评估倾向不仅会影响到情绪诱发的事件,而且会导致对不相关事件的认知和行为变化。不同的离散情绪由于评估维度的不同对未来事件的认知判断和选择具有独特的影响。

 

害怕是对失控和不确定性的情绪反应,评估倾向导致害怕的个人对未来的事件或环境感知到高度的不确定性和失控,产生较高的风险感知,进而采取风险厌恶行为。在IS安全的情境下,害怕会让个人感知到较高的犯罪成本,进而减少犯罪行为的发生。同时,害怕也会让个人感知到较高的失去他人尊重和认可的成本。因此,我们认为害怕的个人会对执行信息安全违章行为感知到较高的正式或非正式的惩罚,进而减少信息安全违章行为。愤怒是对个人控制和确定性的情绪反应,评估倾向导致愤怒的个人对新的事件或环境感受到高度的确定性和个人控制,产生较低的风险感知,并倾向于采取风险偏好行为。在IS安全的情境下,愤怒会让个人感知到较低的犯罪成本,增加犯罪的可能性。同时,愤怒会让个人感知到较低的失去他人尊重和认可的风险和成本。因此,我们认为愤怒的个人会对执行信息安全违章行为感知到较低的正式或非正式的惩罚,进而增加信息安全违章行为的发生。

 

我们通过第三方市场研究公司,给全职的企业使用计算机的人员发放问卷。研究公司一共向2,327名成员发送电子邮件邀请,以创建多样化的样本人口。作为回报参与,受访者获得积分奖励。在参加问卷调查之前,向与会者通知了本研究的目的。据统计,525位成员接受了邀请,并通过接受同意协议参加了调查。在525名受访者中,由于数据不完整和不可靠的答案(例如答案全部为7或6,或在很短的时间内完成的答案),140份问卷被取消。最后,数据分析中一共包含了385个有效样本。

 

我们的结果发现,正式和非正式惩罚对信息安全违章行为产生了显著的负面影响,这一结果与威慑理论的基本假设相一致,并得到ATF理论的支持,因为感知惩罚可能性和严重性程度较高的个人更有可能采取风险厌恶行为。而感知惩罚可能性和严重性低的个人更有可能采取风险偏好行为。另外,我们发现害怕和愤怒与感知正式或非正式惩罚,以及与计算机相关的偏离行为具有相反的作用。具体来看,害怕会增加对正式和非正式惩罚的感知,而愤怒会减少对正式或非正式惩罚的感知。因此,害怕和愤怒情绪不仅对于信息安全违章行为有直接影响,也通过感知惩罚间接影响信息安全违章行为。这一结果表明,情绪与认知都会影响员工的信息安全行为。未来研究需要更多关注情绪与认知的共同作用,考虑非理性和理性的双重视角。

 

我们的研究成果对于企业管理者有着重要的意义。第一,由于情绪会影响员工的安全行为,愤怒和害怕的情绪分别对信息安全违章行为产生影响,因此,考虑表达性动机的作用,对于组织的威慑控制可能会更有效。例如,害怕会导致企业内部员工更认真的考虑,增加对惩罚的感知成本。组织应该更加努力地提高潜在内部风险人员的害怕情绪,以增加其感知成本。例如,提醒企业内部员工,公司会使用电子监控对员工的日常行为进行监督,可能会增加内部员工感知到的害怕情绪,进而减少信息安全违章行为。第二,由于愤怒和害怕情绪对信息安全违章行为会产生相反的影响,因此,除了增加威慑控制中导致员工害怕情绪的因素外,组织应该更加注意愤怒情绪对信息安全违章行为的影响。比如,组织应努力减少安全防御措施实施不公平导致的员工愤怒情绪,进而减少对企业安全的负面影响。

今后的研究可以考虑其他更多离散情绪(如内疚,焦虑和开心等)以及其他安全行为(如角色外的安全行为)之间的关系。

 

作者:许玮元特聘教授、博导,同济大学经济与管理学院

 

 

关闭 微信扫一扫

X Thank you for your interest in Master of Global Management, Tongji University!