Por: Dra. Sandra Iris Santos Nieves, Catedrática UPR-RCM
 
Disertación Presentada como Requisito para la Obtención del Grado de Doctor en Gerencia de Sistemas de Información en la Universidad del Turabo, Escuela de Negocios y Empresarismo, Gurabo, P.R.
Resumen
El objetivo de esta investigación fue medir el impacto de la percepción de la participación de la gerencia por los empleados, la concientización de la seguridad de Tecnologías de Información (TI), y la influencia que tienen las sanciones de disuasión y el contexto laboral, en la intención de los empleados en cumplir con las prácticas de seguridad de TI en las organizaciones en Puerto Rico.
La muestra utilizada para el desarrollo de un modelo de ecuación estructural consistió de 463 participantes, empleados de ambos géneros en organizaciones en Puerto Rico, entre las edades de 21 y 65 años, que trabajaban con las TI dentro o fuera de las facilidades físicas de la empresa, como parte de su trabajo diario, y pertenecían a diferentes departamentos en empresas e industrias.
Esta investigación demostró que la percepción de la participación de la gerencia por parte de los empleados, impacta positivamente las sanciones de disuasión y a través de estas impacta la intención de los empleados en cumplir con las prácticas de seguridad de TI en la empresa.  La concientización de la seguridad impacta las sanciones informales y la intención de los empleados en cumplir con las prácticas de seguridad de TI en la empresa.
Palabras claves: cumplimiento del empleado con la seguridad, concientización de la seguridad de información, manejo de la seguridad de la información, política de seguridad de la información.
Antecedentes
Las tecnologías de información (TI) han adquirido mucha relevancia en las empresas en la era de la información y de la globalización (Turban et al., 2013), razón por la cual las empresas han recurrido a maximizar la adopción de diversas TI, para mantenerse competitivas a nivel doméstico, internacional, y global (Turban et al., 2013).
Los investigadores han identificado la seguridad y privacidad entre las primeras 10 preocupaciones que han permanecido constantes entre los gerentes de TI, en cada uno de los estudios realizados por Luftman (Luftman y Ben-Zvi (2011), Luftman et al. (2012) y Luftman y Derksen (2014). Los incidentes y las violaciones de seguridad a los sistemas y recursos de TI han aumentado cada año, haciendo que los gerentes de TI y su personal de seguridad inviertan mucho tiempo en resolver estos problemas (Susanto, Almunawar1, Tuan, 2012).  Susanto et al. (2012) afirmó que la seguridad en el nivel de confianza y la credibilidad de información forman parte de los indicadores de éxito de una empresa.
Las amenazas internas de los empleados, son el principal desafío para las organizaciones, debido a las muchas formas en que un empleado puede llevar a cabo una actividad o acto malicioso (Boyle & Panko, 2015). Los empleados en las organizaciones son considerados el eslabón más débil (the weakest link) en el manejo de la seguridad de los sistemas de información (Aurigemma, 2013; Boyle & Panko, 2015; Bulgurcu, Cavusoglu, y Benbasat, 2010; D’Arcy & Devaraj, 2012; Guo, Yuan, Archer & Connelly, 2011; Hu, Dinev, Hart, & Cooke, 2012).
Turban et al. (2013) afirmaron que la gerencia es la responsable de la gobernanza de la seguridad de las TI.  Los investigadores también indicaron que el éxito de cualquier tipo de proyecto de TI, incluyendo aquel de aspecto de seguridad de TI, depende del compromiso y la participación de la gerencia (Turban et al., 2013).  Cuando la gerencia muestra compromiso con la seguridad informática, los empleados perciben que las políticas de seguridad son importantes y llevan a cabo su cumplimiento, ya que el incumplimiento no será tolerado (Turban et al., 2013).
Problema
Si los empleados no cumplen con las prácticas de seguridad de TI, la organización no podrá proteger la información y las TI, garantizando su confiabilidad, integridad y disponibilidad en la organización (CIA por sus siglas en inglés).
Objetivo Principal y Justificación
Desarrollar un modelo predictivo para medir el impacto de la percepción de los empleados sobre la participación de la gerencia, la concientización de la seguridad de TI, y la relación que tienen las sanciones de disuasión y el contexto laboral, en la intención de los empleados en cumplir con las prácticas de seguridad de TI en las empresas en Puerto Rico.
Muy pocos estudios han explorado la variable de alta gerencia en conjunto con las variables de concientización de la seguridad de TI, sanciones de disuasión y contexto laboral e intención de los empleados en cumplir con las prácticas de seguridad de TI.
Revisión de Literatura
La Tabla 1 muestra los constructos de la investigación, la evidencia empírica, autor y teoría adoptada en la investigación, y la definición de los constructos.
Tabla 1
Constructo, evidencia empírica/autor teoría y definición
Constructo
EVIDENCIA EMPíRICA / Autor Teoría
Definición
Percepción de la Participación de la Gerencia
Hu et al., 2012 / Teoría de Conducta Planificada (Ajzen, 1991)
Intervención de la alta gerencia en asuntos de seguridad de TI desde la perspectiva de los empleados.
Concientización de la Seguridad de TI
Bulguru et al., 2010 / Teoría de Conducta Planificada (Ajzen, 1991)
Conocimientos generales de un empleado sobre seguridad de la información y su conocimiento de las políticas de seguridad de TI de su organización.
Sanciones Formales de Disuasión
D’Arcy & Devaraj, 2012 / Teoría de Disuasión General (Gibbs, 1975)
Certeza percibida y la gravedad percibida por los empleados, de las sanciones impuestas por la organización por el mal uso, o uso no autorizado de las TI.
Sanciones Informales de Disuasión
Hu et al., 2012 / Teoría de Conducta Planificada (Ajzen, 1991)
Costos sociales y autoimpuestos por los empleados, tomados en consideración por éstos antes de tomar decisiones de no cumplir con las políticas de seguridad de TI, se le refiere por Individual Beliefs).
Contexto Laboral
D’Arcy & Devaraj, 2012 / Teoría de Disuasión General y Teoría de Conducta Planificada (Ajzen, 1991; Gibbs, 1975)
Contexto inmediato de empleo (nivel de empleo) y las características del trabajo (estado virtual).
Intención de los Empleados en Cumplir con las Políticas de Seguridad de TI
Hu et al., 2012; D’Arcy & Devaraj, 2012; Bulguru et al., 2010 / Teoría de Disuasión General y Teoría de Conducta Planificada)
Intención de los empleados en cumplir con las políticas de seguridad de TI.
Preguntas de Investigación e Hipótesis
  • ¿Cuál es el impacto entre la percepción de la participación de la gerencia y las sanciones formales e informales de disuasión?
H1: La percepción de los empleados sobre la participación de la gerencia impacta positivamente las sanciones formales de disuasión.
H2: La percepción de los empleados sobre la participación de la gerencia impacta positivamente las sanciones informales de disuasión.
  • ¿Cuál es el impacto entre la concientización de la seguridad de TI y las sanciones informales de disuasión?
H3: La concientización de la seguridad de TI impacta positivamente las sanciones informales de disuasión.
  • ¿Cuál es el impacto entre las sanciones formales e informales de disuasión y la intención de los empleados en cumplir con las prácticas de seguridad de TI?
H4a: Las sanciones formales de disuasión impactan positivamente la intención de los empleados en cumplir con las prácticas de seguridad de TI.
H4b: Las sanciones informales de disuasión impactan positivamente la intención de los empleados en cumplir con las prácticas de seguridad de TI.
  • ¿El contexto laboral modera el impacto entre las sanciones formales e informales de disuasión, y la intención de los empleados en cumplir con las prácticas de seguridad de TI?
H5a: El contexto laboral modera el impacto entre sanciones formales de disuasión, y la intención de los empleados en cumplir con las prácticas de seguridad de TI.
H5b: El contexto laboral modera el impacto entre sanciones informales de disuasión, y la intención de los empleados en cumplir con las prácticas de seguridad de TI.
  • ¿Cuál es el impacto entre la concientización de la seguridad de TI y la intención de los empleados en cumplir con las prácticas de seguridad de TI?
H6: La concientización de la seguridad de TI impacta positivamente la intención de los empleados en cumplir con las prácticas de seguridad de TI.
  • ¿Cuál es el impacto entre la percepción de la participación de la gerencia y la intención de los empleados en cumplir con las políticas de seguridad de TI?
H7: La percepción de los empleados sobre la participación de la gerencia impacta positivamente la intención de los empleados en cumplir con las prácticas de seguridad de TI.
  • ¿Cuál es el impacto entre contexto laboral y la intención de los empleados en cumplir con las prácticas de seguridad de TI?
H8: El contexto laboral impacta positivamente la intención de los empleados en cumplir con las prácticas de seguridad de TI.
La Figura 1 muestra el modelo de la investigación sugerido con las 10 hipótesis.
Metodología
El diseño de esta investigación fue: no experimental, transversal, correlación-causal y descriptivo. El tamaño de la muestra fueron 463 (nivel de confianza = 95% y margen de error = 5%).  Éstos fueron adultos de 21 a 65 años, de ambos géneros y diferentes niveles de educación en Puerto Rico; empleados que trabajaban con TI en diferentes departamentos, empresas e industrias en P.R.
La muestra fue no probabilística (a conveniencia), utilizando cuestionario electrónico y en papel, diseñado por el investigador.  La recopilación de datos fue por contacto directo y e-mail. Estuvo compuesto de reactivos en escala Likert, rango de valores, perfil demográfico. El contenido del instrumento se validó por la literatura y por un panel de 10 expertos.
Se les garantizó la confidencialidad e integridad a los participantes, y la participación de éstos fue voluntaria. Obtuvo la aprobación de IRB de la Institución con el Protocolo 03-726-16. Se realizó una prueba piloto con 33 participantes. Se midió la consistencia interna por el coeficiente alfa de Cronbach = 0.779(> .70). Se utilizó SPSS para realizar análisis descriptivo univariado. Se obtuvo un Alfa de Cronbach = 0.947 (>.70).  Los Componentes Rotados con Varimax = 4 factores y Factorial Confirmatorio = 6 factores.  Kolmogorov-Smirnov = todos menores a .05 confirmando distribución no normal.  Se utilizó Smart PLS, para realizar análisis multivariante para validar la confiabilidad del modelo y probar las hipótesis.
Figura 1. Modelo de investigación sugerido.  Creado por la investigadora, adaptado de D’Arcy y Devaraj (2012), Hu’s et al. (2012) y Bulguru et al. (2010)
Resultados
Para procesar los datos y obtener los resultados de las pruebas realizadas, se utilizaron dos programas: SPSS v.20 y SmartPLS v.3.2.3.  Los resultados de la investigación basados en una muestra de 463 participantes revelaron que el 63% de los encuestados eran del género femenino.  La edad del 85% fluctuó entre 21 y 50 años.  El 85% de los participantes habían completado grados de bachillerato o maestría.  De las siete industrias listadas, el 53% señaló pertenecer a las industrias de servicios de salud, actividades financieras y a la industria de comercio, transportación y utilidades.
La industria de salud fue la de mayor representación, con un 21%. El 77% de los encuestados señaló que trabajaba en empresa privada y un 75% especificó que el tamaño para la empresa que trabajaba era grande, entiéndase que la empresa tenía más de 25 empleados y un ingreso bruto anual mayor a $10, 000,000.00.  El 79% indicó que llevaba laborando de uno a 20 años en la empresa y no trabajaba en el departamento de informática, sistemas de información o tecnologías de información, y el 73% no ocupaba un puesto gerencial.
El 83% trabajaban de 31 a 40 horas semanales realizando tareas de su puesto físicamente en la empresa.  El 46% trabajaban desde sus casas entre menos de una hora y 10 horas.  El 52% no trabajaban fuera de la empresa ni fuera de sus casas, y el 40% trabajaban fuera de la empresa y fuera de sus casas entre menos de una hora y 10 horas.
Para validar el modelo de investigación sugerido en la Figura 1, se utilizó la prueba PLS-SEM con la técnica de bootstrapping para apoyar o rechazar las hipótesis planteadas por la investigadora.  Todas las hipótesis fueron apoyadas con la excepción de la H5b, H7 y H8.  La Figura 2 muestra el modelo de la investigación validado.
Figura 2. Modelo de la Investigación. Creado por la investigadora, adaptado de D’Arcy y Devaraj (2012), Hu’s et al. (2012) y Bulguru et al. (2010)
Conclusiones
El modelo de investigación final pudo predecir el 70.6% de la intención de los empleados en cumplir con las prácticas de seguridad de TI, con las variables predictoras: sanciones formales e informales de disuasión, percepción de la participación de la gerencia y concientización de la seguridad de TI. Los hallazgos son significativos porque exponen el impacto de la percepción de la gerencia en forma directa sobre las sanciones formales e informales, y en forma indirecta (a través de las sanciones de disuasión) sobre la intención de los empleados de cumplir con las prácticas de seguridad de TI.  Otro hallazgo fue el impacto de la concientización de la seguridad de TI sobre las sanciones informales y sobre la intención de los empleados en cumplir con las prácticas de seguridad de TI.
Contribuciones a la Literatura
Este estudio permite un escenario distinto con la integración de la teoría de disuasión general, la teoría de conducta planificada y las variables de percepción de la participación de la gerencia, la concientización de la seguridad y el contexto laboral, las cuales no habían sido estudiadas en conjunto previamente.
Implicaciones Prácticas
La legitimidad, compromiso, equidad y justicia en el comportamiento de la gerencia para con las prácticas de seguridad de TI en la empresa, influencian: la definición, establecimiento y promoción de las políticas y prácticas de seguridad de TI en la empresa. Además, impactan positivamente la actitud, normas subjetivas y control percibido hacia el cumplimiento de los empleados con las prácticas de TI de la empresa. Por otra parte el modelaje y el cumplimiento, con las políticas y prácticas de TI, impactan positivamente la intención de los empleados en cumplir con las prácticas de TI de la empresa.
La empresas deberían enfatizar en sus planes operacionales, el monitoreo periódico y aplicación de sanciones formales con la certeza y severidad, justicia y equidad que corresponda a la violación.
Recabar sobre la importancia del modelaje de la gerencia en el cumplimiento con las políticas y prácticas de seguridad de TI.  También periódicamente deben ofrecer seminarios de concientización de la seguridad de TI, de valores éticos y talleres prácticos donde los empleados puedan identificar el comportamiento ético que se espera de ellos y las sanciones formales relacionadas.
Referencias
Aurigemma, S. (2013). A composite framework for behavioral compliance with information security policies. Journal of Organizational and End User Computing, 25(3), 32-51.
Boyle, R. J., & Panko, R. R. (2015). Corporate computer security (4th ed.). New Jersey, NJ: Pearson Education.
Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523-A7.
Chaudhry, P. E., Chaudhry, S. S., & Reese, R. (2012). Developing a model for enterprise information systems security. Economics, Management and Financial Markets, 7(4), 87-599.
D’Arcy, J., & Herath, T. (2011). A review and analysis of deterrence theory in the IS security literature: Making sense of the disparate findings. European Journal of Information Systems, 20(6), 643-658.
D’Arcy, J., & Devaraj, S. (2012). Employee misuse of information technology resources: Testing a contemporary deterrence model. Decision Sciences, 43(6), 1091-1124.
Guo, K. H., Yuan, Y., Archer, N. P., & Connelly, C. E. (2011). Understanding nonmalicious security violations in the workplace: A composite behavioral model. Journal of Management Information Systems, 28(2), 203-236.
Hu, Q., Dinev, T., Hart, P., & Cooke, D. (2012). Managing employee compliance with information security policies: The critical role of top management and organizational culture. Decision Sciences, 43(4), 615-660.
Hu, Q., Xu, Z., Dinev, T., & Ling, H. (2011). Does deterrence work in reducing information security policy abuse by employees? Communications of the ACM, 54(6), 34-60. doi:10.1145/1953122.1953142
Luftman, J., & Ben-Zvi, T. (2011). Key issues for IT executives 2011: Cautious optimism in uncertain economic times. MIS Quarterly Executive, 10(4), 203-212.
Luftman, J., Zadeh, H. S., Derksen, B., Santana, M., Rigoni, E. H., & Huang, Z. (2012). Key information technology and management issues 2011-2012: An international study. Journal of Information Technology, 27(3), 198-212. doi:10.1057/jit2012.14
Luftman, J., Derksen, B. (2014). European key IT and management issues & trends for 2014. CIONET Europe and Business & IT Trend Institute, 1-36.
Susanto, H., Almunawar1, M. N., & Tuan, Y. C. (2012). Information security challenge and breaches: Novelty approach on measuring ISO 27001 readiness level. International Journal of Engineering and Technology, 2(1), 67-75.
Turban, E., Volonino, L., & Wood, G. (2013). Information technology for management: Advancing sustainable profitable business growth (9th ed.). NJ: John Wiley & Sons, Inc.
Programa de Maestría en Administración de Información de Salud, Universidad de Puerto Rico, Recinto de Ciencias Médicas, Escuela de Profesiones de la Salud, San Juan, P.R., e-mail: sandra.santos@upr.edu