Tjm Pemantauan Keamanan Dan Perilaku Jaminan Keamanan Informasi Di Antara Karyawan.docx

Pemantauan keamanan dan perilaku jaminan keamanan informasi di antara karyawan Analisis empiris Zauwiyah Ahmad Faculty of Business, Multimedia University, Melaka, Malaysia Thian Song Ong and Tze Hui Liew Faculty of Information Science and Technology, Multimedia University, Melaka, Malaysia, and Mariati Norhashim Faculty ofManagement, Multimedia University, Cyberjaya, Malaysia Abstrak Tujuan - Tujuan dari penelitian ini adalah untuk menjelaskan pengaruh pemantauan keamanan informasi dan faktor-faktor pembelajaran sosial lainnya pada perilaku jaminan keamanan karyawan. Perilaku jaminan keamanan mewakili tindakan yang disengaja dan upaya karyawan yang bertujuan untuk melindungi sistem informasi. Perilaku ini sangat diinginkan karena menangani faktor manusia dalam kerangka kerja keamanan informasi. Para penulis berpendapat bahwa perilaku jaminan keamanan adalah perilaku yang dipelajari yang dapat ditingkatkan dengan penerapan pemantauan keamanan informasi. Desain / metodologi / pendekatan - Kerangka teoritis yang mendasari penelitian ini ada enam konstruksi yaitu, norma subyektif, harapan hasil, pemantauan keamanan informasi, kebijakan keamanan informasi, efikasi diri dan ketidaknyamanan yang dirasakan, diidentifikasi sebagai signifikan dalam menentukan perilaku jaminan keamanan karyawan (SAB). Pengaruh konstruksi ini pada SAB dapat dijelaskan oleh teori kognitif sosial dan secara empiris didukung oleh penelitian sebelumnya. Survei kuesioner online sebagai instrumen penelitian utama diadopsi untuk memperoleh informasi tentang enam konstruk yang diuji dalam penelitian ini. Opini dari panel pakar industri dan akademis tentang relevansi dan validitas wajah dari kuesioner diperoleh sebelum administrasi survei. Temuan - Temuan dari penelitian ini menunjukkan bahwa organisasi akan mendapat manfaat dari pemantauan keamanan informasi dengan mendorong perilaku keamanan yang melampaui kebijakan keamanan. Studi ini juga menunjukkan bahwa karyawan cenderung meninggalkan perilaku keamanan ketika perilaku tersebut dianggap tidak nyaman. Oleh karena itu, organisasi harus menemukan cara untuk mengurangi ketidaknyamanan yang dirasakan menggunakan berbagai metode otomasi keamanan dan pelatihan keamanan khusus. Mengurangi ketidaknyamanan yang dirasakan adalah tantangan bagi praktisi keamanan informasi. Keterbatasan / implikasi penelitian - Ada beberapa keterbatasan dalam pekerjaan yang ada yang dapat diatasi dalam studi masa depan. Salah satunya adalah bias keinginan sosial yang mungkin karena ukuran yang dilaporkan sendiri diadopsi dalam penelitian ini. Meskipun penulis telah melakukan segala upaya untuk mengumpulkan tanggapan representatif melalui survei anonim, masih mungkin bahwa responden tidak dapat mengungkapkan perilaku yang sebenarnya karena perilaku yang baik umumnya diinginkan. Hal ini dapat menyebabkan bias terhadap perilaku yang menguntungkan.

Implikasi praktis - Secara umum, penelitian ini memberikan sejumlah wawasan penting dan informasi berharga terkait dengan perilaku jaminan keamanan di antara karyawan. Temuan utama dapat membantu para pakar dan organisasi keamanan untuk mengembangkan strategi dan kebijakan yang lebih baik untuk perlindungan keamanan informasi. Temuan penelitian ini juga menunjukkan bahwa organisasi akan mendapat manfaat dari pemantauan keamanan informasi dengan mendorong perilaku keamanan yang melampaui kebijakan keamanan. Implikasi sosial - Dalam penelitian ini, teori pembelajaran kognitif sosial digunakan untuk menjelaskan pengaruh pemantauan keamanan informasi dan faktor-faktor pembelajaran sosial lainnya pada perilaku jaminan keamanan karyawan; temuan tersebut menyiratkan bahwa pemantauan menekankan perilaku yang diharapkan dan membantu memperkuat norma-norma organisasi. Pemantauan juga dapat mempercepat pembelajaran ketika karyawan sangat memperhatikan perilaku mereka. Oleh karena itu, penting bagi organisasi untuk mengomunikasikan praktik pemantauan yang dilaksanakan, bahkan lebih penting setiap kali pemantauan keamanan yang dilakukan tidak mengganggu. Meskipun demikian, caremust harus diambil dalam komunikasi ini untuk menghindari kebencian dan ketidakpercayaan di antara karyawan. Orisinalitas / nilai - Studi ini signifikan dalam beberapa cara. Pertama, penelitian ini menyoroti anteseden yang signifikan dari perilaku jaminan keamanan, yang membantu organisasi untuk menilai praktik mereka saat ini, yang dapat memelihara atau menekan keamanan informasi. Kedua, menggunakan perspektif pengguna, penelitian ini memberikan rekomendasi yang berkaitan dengan pemantauan sebagai bentuk tindakan keamanan informasi. Ketiga, penelitian ini memberikan kontribusi teoritis pada literatur keamanan informasi yang ada melalui penerapan teori pembelajaran kognitif sosial. Kata kunci Keamanan informasi, Telekomunikasi, Pemantauan karyawan, Perilaku jaminan keamanan Jenis artikel Artikel penelitian 1. Pendahuluan Keamanan informasi adalah masalah umum di kalangan pakar dan organisasi keamanan. Sebanyak masalah teknologi, keamanan informasi juga merupakan perilaku. Studi sebelumnya telah melaporkan bahwa hampir setengah dari insiden keamanan terjadi dari dalam organisasi, bukan disebabkan oleh peretas eksternal (Crossler et al., 2013; D'Arcy dan Greene, 2014). PricewaterhouseCoopers (2017) melaporkan bahwa karyawan saat ini tetap sebagai sumber utama insiden keamanan dengan 30 persen dari insiden tersebut disebabkan oleh karyawan saat ini. Laporan lain mengungkapkan bahwa 64 persen dari pelanggaran data disebabkan oleh perilaku karyawan dan gangguan sistem (Kennedy, 2016). Sebuah survei oleh Kaspersky Lab (2017) menunjukkan bahwa 59 persen insiden keamanan informasi disebabkan oleh tindakan karyawan yang ceroboh atau tidak mendapat informasi. Temuan ini menunjukkan bahwa aspek perilaku keamanan informasi harus lebih diperhatikan oleh organisasi dan peneliti. Guo (2013) mengkonseptualisasikan empat kategori perilaku yang berhubungan dengan keamanan, yaitu, perilaku jaminan keamanan (SAB), perilaku sesuai keamanan, perilaku mengambil risiko keamanan dan perilaku merusak keamanan. Penulis menggambarkan SAB sebagai "... perilaku yang paling diinginkan dari perspektif manajemen keamanan IS (p. 248)". SAB mewakili tindakan yang disengaja dan upaya karyawan yang bertujuan melindungi sistem informasi, misalnya, menggunakan kata sandi yang kuat untuk akses komputer, melakukan pencadangan data secara teratur dan memeriksa daftar penerima sebelum

mengirim email. Chen dan Li (2017) mengaitkan perilaku jaminan dengan tindakan yang melindungi atau mempertahankan keamanan informasi. Dalam Parsons et al. (2014) dan Parsons et al. (2017), perilaku itu disebut sebagai perilaku sadar keamanan. Dalam Boss et al. (2015), istilah perilaku perlindungan keamanan digunakan. Studi sebelumnya, khususnya Yoon et al. (2012) dan Vance et al. (2014), menggunakan istilah perilaku keamanan informasi yang lebih umum. Karena konten kebijakan keamanan informasi sering bervariasi dan mungkin tidak memadai (Doherty et al., 2009), SAB melampaui yang ditentukan dalam kebijakan keamanan informasi organisasi. Kami memilih istilah SAB untuk membedakan penelitian ini dari penelitian lain yang menguji kepatuhan karyawan terhadap kebijakan keamanan informasi (ISP) yang diterapkan oleh organisasi. Istilah ini juga sejalan dengan kategorisasi menurut Guo (2013). Dengan demikian, kami berteori bahwa SAB adalah perilaku yang dipelajari yang dapat ditingkatkan jika faktor manusia ditangani dengan tepat oleh organisasi. Faktor manusia dalam kerangka kerja keamanan informasi sebagian besar berkaitan dengan perilaku pengguna. Alhogail (2015) menyoroti empat domain faktor manusia dalam kaitannya dengan keamanan informasi, yaitu: 1) 2) 3) 4)

kesiapsiagaan (aspek kesadaran dan kompetensi); tanggung jawab (aspek pemantauan dan kontrol); manajemen (aspek kebijakan dan praktik); dan masyarakat dan peraturan (aspek sosial, budaya dan peraturan).

Studi sebelumnya telah memeriksa domain kesiapsiagaan dalam hal kesadaran dan pelatihan keamanan (D'Arcy et al., 2009; Jenkins et al., 2013; da Veiga dan Martins, 2014), dan domain manajemen dalam hal kebijakan keamanan sistem informasi kepatuhan (Guo et al., 2011; Aurigemma, 2013; Cheng et al., 2013; Siponen et al., 2014; Ifedo, 2014). Ranah tanggung jawab dan ranah masyarakat dan peraturan kurang mendapat perhatian di antara para peneliti. Sementara domain masyarakat dan regulasi cukup signifikan, kami memfokuskan studi ini pada domain tanggung jawab karena aspek-aspek dalam domain ini lebih dekat dan lebih dapat dikendalikan oleh organisasi. Dalam domain tanggung jawab, penelitian sebelumnya telah memeriksa sanksi (Hu et al., 2012; Cheng et al., 2013) dan penghargaan (Hu et al., 2012; Posey et al., 2015) sebagai sarana untuk mengendalikan perilaku karyawan berkaitan dengan keamanan informasi dan memastikan kepatuhan kebijakan. Aspek pemantauan, sejauh ini, telah lolos dari pengawasan peneliti. Literatur yang ada tentang pemantauan, secara umum, lebih terkonsentrasi pada masalah privasi karyawan (Oz et al., 1999; Snyder, 2010; Chory et al., 2016), reaksi sikap dan persepsi (Alder, 2001; Spitzmüller dan Stanton , 2006; Alder et al., 2008; Workman, 2009; Paczkowski dan Kuruzovich, 2016); pencurian dan produktivitas (Lamar et al., 2013); dan kepuasan kerja (Chalykoff dan Kochan, 1989; Samaranayake dan Gamage, 2012). Studi-studi ini telah mendokumentasikan bahwa pemantauan dapat sangat merugikan karena bermanfaat bagi organisasi. Literatur tentang studi perilaku lebih terkonsentrasi pada kepatuhan karyawan terhadap kebijakan keamanan informasi yang diterapkan oleh organisasi, dengan tujuan untuk menentukan faktor-faktor yang akan meningkatkan kepatuhan karyawan dengan kebijakan keamanan informasi organisasi seperti penghargaan dan hukuman (Moody et al., 2018 ; Chen et al., 2012; Herath dan Rao, 2009), kesadaran kebijakan keamanan informasi, biaya kepatuhan dan manfaat (Bulgurcu et al., 2010), kesadaran (Chul et al., 2018; Bélanger et al., 2017; Tsohou et al., 2015), budaya (da Veiga dan Martins, 2015), sikap (Safa et al., 2016) dan norma-norma (Yazdanmehr dan Wang, 2016). Sejauh ini, penelitian tentang pengaruh pemantauan keamanan informasi pada perilaku keamanan informasi karyawan masih kurang. Studi

terbatas telah mengaitkan keamanan informasi dan pemantauan karyawan. Sejauh ini, tiga studi telah meneliti dampak pemantauan karyawan pada penyalahgunaan sistem informasi (D'Arcy et al., 2009; Trinkle et al., 2014; Deranek et al., 2015), yang menunjukkan perlunya studi formal di bidang ini. Dipasangkan dengan faktor pembelajaran sosial lainnya dalam organisasi, kami mendalilkan bahwa pemantauan keamanan informasi meningkatkan SAB di antara karyawan. Pemantauan keamanan, dalam konteks penelitian ini, mengacu pada langkah-langkah yang diambil oleh organisasi untuk mengamati perilaku karyawan ketika menggunakan fasilitas informasi organisasi. Oleh karena itu penelitian ini bertujuan untuk memperkaya literatur keamanan informasi dengan memeriksa pengaruh pemantauan keamanan informasi pada SAB karyawan. Studi ini signifikan dalam beberapa cara. Pertama, penelitian ini menyoroti anteseden SAB yang signifikan, yang membantu organisasi untuk menilai praktik mereka saat ini yang dapat memelihara atau menekan keamanan informasi. Kedua, menggunakan perspektif pengguna, penelitian ini memberikan rekomendasi yang berkaitan dengan pemantauan sebagai bentuk tindakan keamanan informasi. Ketiga, penelitian ini memberikan kontribusi teoritis pada literatur keamanan informasi yang ada melalui penerapan teori pembelajaran kognitif sosial (SCT). Dengan berfokus pada persepsi dan perilaku karyawan, kami bertujuan untuk memperluas pekerjaan sebelumnya dan memberikan wawasan baru tentang dampak tindakan keamanan pada karyawan yang merupakan pengguna akhir secara umum. Bagian selanjutnya membahas pemantauan karyawan sebagai langkah kontrol, diikuti dengan diskusi tentang landasan teori yang mendasari penelitian ini. Makalah ini juga menyajikan metodologi penelitian, validasi dan analisis data, dan akhirnya diskusi dan kesimpulan. 2. Literatur Review Pemantauan keamanan informasi diimplementasikan terutama untuk melindungi informasi, menjaga terhadap pencurian, dan memelihara catatan perusahaan (Hoffman et al., 2003; Samaranayake dan Gamage, 2012). Pemantauan semacam itu juga dilakukan oleh organisasi untuk tujuan kepatuhan, dan untuk mendeteksi penyalahgunaan sistem informasi (D'Arcy et al., 2009). Contoh-contoh pemantauan keamanan informasi termasuk kegiatan logging jaringan, melacak penggunaan internet karyawan, melakukan audit keamanan dan meninjau konten email karyawan. Meskipun manajemen merasa bahwa pemantauan karyawan adalah hak mereka, para pembela hak-hak sipil dan para pemimpin buruh berpendapat bahwa praktik tersebut merusak martabat dan privasi karyawan (Oz et al., 1999) dan pada saat itu mungkin tidak mendorong perilaku positif. Kecenderungan pemantauan keamanan informasi di tempat kerja meningkat. Pada awal abad ke-21, pemantauan keamanan sudah ada meskipun tidak tersebar luas. Di AS, White dan Pearson (2001) melaporkan kurang dari 40 persen perusahaan yang disurvei memantau aktivitas komputer karyawan mereka seperti memantau unduhan perangkat lunak bajakan (38 persen), sur-ng sur-ng terkait dan unduhan (17 persen ) dan email (21 persen). Di Inggris, Watson (2002) menyampaikan bahwa kurang dari 65 persen perusahaan konsultan yang disurvei memantau email karyawan mereka, di mana hanya 28,6 persen yang memeriksa konten email. Menurut Hoffman et al. (2003), 90 persen perusahaan yang disurvei memantau aktivitas online karyawan mereka di tempat kerja. Pemantauan keamanan informasi telah meningkat secara signifikan dalam hal prevalensi dan metode pemantauan, terutama karena kecanggihan teknologi (Workman, 2009) Meskipun pemantauan keamanan meluas di kalangan pengusaha dalam beberapa waktu terakhir, karyawan tampaknya tidak menyadari praktik tersebut. Pada 2016, hanya 8 persen dari karyawan yang disurvei oleh ObserveIT (2016) melaporkan bahwa mereka mengetahui beberapa bentuk pemantauan

keamanan informasi dilaksanakan oleh organisasi mereka. Implementasi pemantauan keamanan, jika ada, bersifat ad hoc menggunakan sistem manual atau buatan sendiri, dengan fokus pada pengguna istimewa. Oleh karena itu, karyawan percaya bahwa pemantauan keamanan tidak dapat mendeteksi perilaku pengguna yang berisiko. Ketidaksadaran di antara karyawan bisa disebabkan oleh kemajuan teknologi yang memungkinkan perangkat pemantauan dan aplikasi untuk berbaur dengan lingkungan tempat kerja dan menjadi tidak mengganggu (Workman, 2009). Pemantauan elektronik adalah salah satu metode pemantauan yang tidak mencolok (Wells et al., 2007), menjadikannya salah satu tema yang lebih banyak diteliti dalam konteks pemantauan karyawan. Mereka yang menentang pemantauan keamanan berpendapat bahwa pemantauan dapat merusak moral dan meningkatkan ketidakpercayaan di antara karyawan (Watson, 2002), menyebabkan ketegangan antara manajer dan pekerja (Oz et al., 1999; Lee dan Kleiner, 2003; Smith dan Tabak, 2009; Snyder, 2010), meningkatkan stres dan mengurangi produktivitas (Alder, 2001; Lee dan Kleiner, 2003; Smith dan Tabak, 2009). Studi-studi ini menunjukkan bahwa pemantauan keamanan dapat merusak organisasi, terutama ketika karyawan marah terhadap praktik dan tidak mempercayai organisasi. Meskipun demikian, juga telah dilaporkan bahwa pendukung percaya pemantauan dapat meningkatkan kualitas layanan dan mendorong penilaian kinerja yang objektif dan umpan balik (Alder, 2001). Pemantauan keamanan juga dipandang sebagai perlindungan dari litigasi dan mencegah distribusi materi sensitif yang tidak sah (Watson, 2002). Kesimpulan umum yang diperoleh dari studi ini adalah bahwa penerimaan karyawan terhadap pemantauan keamanan dapat ditingkatkan melalui komunikasi yang tepat tentang tujuan pemantauan keamanan dan jaminan manajemen atas privasi karyawan. Ketika pemantauan keamanan menjadi lebih lazim, terutama melalui sarana elektronik, studi tentang dampak pemantauan terhadap variabel terkait pekerjaan secara bertahap muncul. Studi-studi ini membentuk aliran kedua penelitian pemantauan keamanan. Wells et al. (2007) dan Samaranayake dan Gamage (2012) menemukan bahwa kepuasan kerja karyawan dipengaruhi oleh sikap mereka terhadap pemantauan keamanan, setiap kali pemantauan dilaksanakan. Sikap positif terhadap pemantauan tampaknya meningkatkan kepuasan kerja. Ketidakpuasan terjadi ketika pemantauan dikaitkan dengan hasil negatif seperti meningkatnya kompleksitas pekerjaan. Dalam penelitian lain, telah ditemukan bahwa kesadaran pemantauan keamanan berkontribusi positif terhadap budaya keamanan organisasi (Yan et al., 2015). Studi yang menyelidiki efektivitas pemantauan keamanan dalam memodifikasi perilaku dan memastikan perlindungan informasi masih sangat langka. Studi yang ada meliputi D'Arcy et al. (2009), Zoghbi Manrique-de-Lara (2011), Trinkle et al. (2014), Bhave (2014), Deranek et al. (2015), dan Pierce et al. (2015). D'Arcy et al. (2009) menemukan bahwa pemantauan menyangkal penyalahgunaan sistem informasi. Para penulis berpendapat bahwa pemantauan mencegah perilaku buruk dengan meningkatkan persepsi karyawan bahwa perilaku buruk akan terdeteksi. Demikian pula, Zoghbi-Manrique-de-Lara (2011) menemukan bahwa pemantauan dapat memengaruhi penyimpangan karyawan dengan meningkatkan persepsi keadilan prosedural. Pada 2014, Trinkle et al. menemukan bahwa praktik pemantauan mengurangi kemungkinan karyawan bermain game jejaring sosial online di komputer kantor, terutama karena tidak adanya kebijakan jejaring sosial. Hasil ini diperoleh dari studi eksperimental yang melibatkan sampel karyawan kerah putih. Hasil yang sebanding juga ditemukan di Deranek et al. (2015), meskipun sampel yang digunakan adalah mahasiswa sarjana. Pemantauan juga ditemukan untuk mengurangi pencurian dan peningkatan produktivitas di Pierce et al. (2015). Meskipun demikian, Bhave

(2014) menemukan bahwa pemantauan tidak mengurangi perilaku buruk meskipun praktik tersebut tampaknya meningkatkan perilaku dan kinerja karyawan yang baik. Tinjauan literatur telah menemukan bahwa studi yang berfokus pada pemantauan keamanan informasi dan pengaruhnya terhadap perilaku karyawan masih dalam tahap awal meskipun teknologi pendukung telah menjadi lebih canggih. Ini membentuk celah utama dalam literatur yang ada. Studi sebelumnya tidak secara khusus menguji pengaruh pemantauan pada SAB karyawan. Sebaliknya, fokusnya lebih ke arah penyalahgunaan sistem informasi umum (D'Arcy et al., 2009; Trinkle et al., 2014; Deranek et al., 2015), kinerja (Bhave, 2014) dan pencurian dan produktivitas (Pierce et al. ., 2015). Studi-studi ini juga tidak secara ekstensif membahas hubungan yang diusulkan dari perspektif teoritis. Dalam penelitian ini, kami percaya bahwa pemantauan keamanan dapat menjadi mekanisme yang efektif untuk mempromosikan SAB, sebanyak cara untuk mencegah perilaku buruk. Pemantauan pengguna yang efektif akan mengurangi risiko ketergantungan yang berlebihan pada mekanisme keamanan yang ada seperti sistem kata sandi. Bagian selanjutnya membahas teori yang mendasarinya, dengan upaya untuk mengidentifikasi faktor penentu SAB dan pengaruh pemantauan keamanan. 3. Kerangka teori dan perumusan hipotesis Minat utama penelitian ini adalah SAB, perilaku yang diinginkan dimana karyawan secara sadar mengambil upaya yang diperlukan untuk melindungi sistem informasi (Guo, 2013). Kami berpendapat bahwa SAB adalah perilaku yang dipelajari, dikondisikan oleh lingkungan tempat kerja. Lingkungan ini dibentuk oleh berbagai faktor, termasuk pemantauan keamanan informasi. Proses pembelajaran yang terjadi dalam organisasi dijelaskan dengan baik oleh SCT. SCT menunjukkan bahwa perilaku individu dipengaruhi oleh kondisi lingkungan serta atribut pribadi (Bandura, 1977; Manz dan Sims, 1980; Bandura, 1986; Holtbrügge et al., 2015). Menurut teori tersebut, pembelajaran terjadi ketika individu secara langsung mengalami hubungan dan penguatan dengan lingkungan. Perilaku dipengaruhi oleh interaksi antara tiga faktor penentu utama, yaitu, faktor perilaku, faktor kognisi dan faktor lingkungan. Teori ini telah diterima secara luas untuk memprediksi perilaku dan mengidentifikasi metode memodifikasi atau mengubah perilaku, bahkan dalam penelitian sistem informasi (Qin et al., 2011). Wang dan Lin (2012) berpendapat bahwa SCT telah terbukti membantu untuk memahami penggunaan teknologi komputer oleh orang lain, selain menjelaskan kinerja akademik dan pekerjaan. Kami telah membangun kerangka teori yang mendasari penelitian ini seperti yang digambarkan dalam Gambar 1. Enam konstruksi diidentifikasi sebagai signifikan dalam menentukan SAB karyawan, sesuai dengan unsur-unsur dalam SCT, khususnya, perilaku (self-efficacy), kognisi (hasil harapan, persepsi ketidaknyamanan dirasakan ) dan lingkungan (norma subyektif, pemantauan keamanan informasi, kebijakan keamanan informasi). Subbagian berikutnya membahas konstruksi ini dan dukungan yang tersedia. 3.1. Norma subjektif Dalam lingkungan bersama, seperti tempat kerja, pembelajaran perwakilan terjadi ketika seseorang mengamati perilaku orang lain yang signifikan dan konsekuensi yang dihasilkan dari perilaku tersebut (Bandura, 1986; Bommer et al., 2003). Orang lain yang signifikan dalam lingkungan adalah panutan perilaku yang dapat diterima. Lingkungan kerja menentukan standar perilaku yang harus diikuti oleh setiap karyawan agar menjadi bagian dari unit kerja. Penyimpangan dari norma-norma akan menghasilkan

kesalahan dan membuang. Dalam lingkungan kerja, SCT menjelaskan sosialisasi karyawan di mana karyawan mempelajari perilaku yang dapat diterima melalui pengamatan dan pengalaman. Anggota signifikan dari unit kerja membentuk kelompok referensi yang menciptakan tekanan sosial untuk atau terhadap perilaku seseorang. Persepsi tekanan sosial ini disebut sebagai norma subyektif (Ajzen, 1991). Fogarty dan Dirsmith (2001) menegaskan bahwa anggota unit kerja berperilaku sesuai dengan norma-norma yang sesuai dengan unit dan organisasi dan akhirnya untuk memajukan karir mereka. Peneliti sebelumnya berpendapat bahwa norma subyektif secara signifikan mempengaruhi perilaku terkait keamanan informasi, termasuk kepatuhan kebijakan keamanan sistem informasi (Hu et al., 2012; Ifedo, 2014) dan pelanggaran (Cheng et al., 2013), perilaku perawatan keamanan informasi (Safa et al., 2015), penyalahgunaan sumber daya sistem informasi (Chu et al., 2015), dan pengaturan keamanan jejaring sosial (Foltz et al., 2016), dan lainnya. Mengingat temuan-temuan ini, maka hipotesis berikut dibangun:

H1. Norma subyektif memiliki pengaruh yang signifikan terhadap SAB. 3.2. Ekspektasi hasil Dalam lingkungan kerja, karyawan mengevaluasi perilaku orang lain yang signifikan dan konsekuensi dari perilaku tersebut menggunakan standar pribadi mereka sendiri. Berdasarkan pengamatan ini, karyawan membentuk ekspektasi yang relevan dengan perilaku (Bandura, 1986; Gibson, 2004). Kami menyebut ekspektasi ini sebagai ekspektasi hasil. Ekspektasi hasil, elemen penting SCT, berfungsi sebagai ekspektasi bahwa hasil yang diberikan disebabkan oleh perilaku tertentu (McAlister et al., 2008). Ekspektasi hasil telah digunakan untuk memprediksi berbagai perilaku, termasuk posting di media sosial (Yen, 2016), pilihan karir (Domene, 2012), dan perilaku inovatif (Yuan dan Woodman, 2010; Jose dan Babu, 2012),dan lainnya.

Norma subyektif membentuk harapan hasil (Bandura, 1986; Bommer et al., 2003). Nilai yang ditempatkan pada SAB oleh orang lain yang signifikan mempengaruhi penilaian individu tentang konsekuensi perilaku. Kesesuaian dengan norma dikaitkan dengan ekspektasi hasil yang positif seperti penerimaan dan penyimpangan sosial akan menghasilkan konsekuensi negatif seperti penghukuman dan ketidaksetujuan. SCT berpendapat bahwa orang lebih cenderung mengadopsi perilaku yang dianggap menghasilkan hasil positif (Bandura, 1986; Gibson, 2004). Oleh karena itu diduga bahwa ekspektasi hasil memancarkan dampak yang sama pada SAB. Hipotesis yang relevan dengan ekspektasi hasil adalah sebagai berikut: H2. Norma subyektif memiliki pengaruh yang signifikan terhadap ekspektasi hasil. H3. Ekspektasi hasil memiliki pengaruh yang signifikan terhadap SAB 3.3. Pemantauan keamanan informasi SCT menyarankan bahwa kondisi lingkungan memengaruhi perilaku karyawan (Bandura, 1977; Manz dan Sims, 1980; Bandura, 1986; Holtbrügge et al., 2015). Salah satu elemen yang menentukan kondisi lingkungan dalam organisasi adalah pemantauan keamanan informasi. Secara umum, pemantauan membatasi tindakan karyawan dan informasi yang dapat mereka akses (Jeske dan Santuzzi, 2015) dan akibatnya, memengaruhi perilaku. Studi yang ada telah menunjukkan pengaruh positif pemantauan keamanan pada perilaku karyawan, termasuk menghalangi penyalahgunaan sistem informasi (D'Arcy et al., 2009) dan mempengaruhi perilaku menyimpang (Zoghbi-Manrique-de-Lara, 2011; Trinkle et al., 2014) ; Pierce et al., 2015). Berdasarkan temuan ini, diharapkan pemantauan keamanan informasi akan mempengaruhi SAB. Kami mendalilkan bahwa karyawan yang dipantau akan lebih sadar dan menunjukkan perilaku perawatan yang lebih tinggi untuk menghindari kemungkinan konsekuensi negatif atau untuk menggambarkan diri mereka dengan baik. Selain itu, pemantauan keamanan informasi membantu untuk mengklarifikasi harapan manajemen dalam hal perilaku keamanan informasi dan menunjukkan pentingnya perlindungan keamanan informasi. Dengan demikian hipotesis berikut dikonstruksi: H4. Pemantauan keamanan informasi memiliki pengaruh yang signifikan terhadap SAB. 3.4. Kemandirian Studi sebelumnya telah membahas kemandirian dalam kaitannya dengan kognisi sosial dan perilaku (Harrison et al., 1997; McCormick dan Martinko, 2004; Wang et al., 2015). kemandirian adalah penilaian seseorang pada kemampuannya untuk melakukan perilaku atau tugas tertentu (Bandura, 1997, 1982, 1986) dan telah ditemukan mempengaruhi berbagai perilaku yang berhubungan dengan keamanan informasi (Qin et al., 2011). Burr dan Cordery (2001) mencatat banyak penelitian yang telah menunjukkan hubungan positif antara tingkat self-efficacy yang tinggi dan kinerja di berbagai pengaturan dan pekerjaan. Individu cenderung mengatur perilaku, upaya, dan kegigihan mereka sesuai dengan kemandirian yang dirasakan. kemandirian meningkatkan kemungkinan karyawan memilih perilaku adaptif dalam menghadapi ancaman keamanan informasi (Cheolho et al., 2012) dan secara signifikan menentukan perilaku koping mereka (Kandemir et al., 2014; Kokkinos et al., 2015). Oleh karena itu kami berpendapat bahwa keamanan informasi diri karyawan memunculkan perilaku proaktif dalam melindungi aset informasi organisasi, yang direfleksikan dalam SAB. Hipotesis berikut dikonstruksi sesuai: H5. Kemandirian keamanan informasi memiliki pengaruh yang signifikan pada SAB

3.5. Kebijakan keamanan informasi Kebijakan memengaruhi lingkungan organisasi (Anderson dan West, 1998) dan membantu adaptasi karyawan. Organisasi terutama bergantung pada kebijakan keamanan dan pedoman untuk memandu dan mengendalikan perilaku karyawan (Bulgurcu et al., 2010; Chen et al., 2012; Lowry dan Moody, 2015). Beberapa penelitian telah menemukan pengaruh yang signifikan dari kebijakan keamanan informasi pada sikap dan persepsi karyawan, termasuk Bulgurcu et al. (2010), Guo et al. (2011) dan Han et al. (2017), dan lainnya. Kami mendalilkan bahwa kebijakan keamanan informasi memengaruhi efikasi keamanan informasi karyawan dan ekspektasi hasil. Pengaruh tersebut diyakini berasal dari dua aspek. Pertama, kebijakan keamanan informasi menjabarkan aturan dan kebijakan yang terkait dengan akses, penggunaan, dan tanggung jawab yang terkait dengan aset informasi organisasi (Yazdanmehr dan Wang, 2016). Dengan demikian, kebijakan keamanan informasi yang dikomunikasikan dengan benar diharapkan dapat meningkatkan kemandirian keamanan informasi karyawan. Karyawan yang sangat memahami kebijakan tersebut harus memiliki kepercayaan diri (kemandirian) dalam menangani insiden keamanan informasi. Kedua, kebijakan keamanan informasi menandakan ekspektasi dan konsekuensi manajemen dari perilaku karyawan. Konsekuensi dari pelanggaran kebijakan biasanya ditentukan dalam kebijakan (Yazdanmehr dan Wang, 2016). Ini membantu karyawan untuk menilai dampak perilaku mereka dan membentuk harapan hasil. Hipotesis yang relevan adalah sebagai berikut: H6. Kebijakan keamanan informasi memiliki pengaruh yang signifikan pada kemandirian keamanan informasi H7. Kebijakan keamanan informasi memiliki pengaruh yang signifikan terhadap ekspektasi hasil. 3.6. Ketidaknyamanan yang dirasakan Dalam kerangka SCT, para peneliti telah mengaitkan perilaku dengan persepsi individu (Wright, 2001; McCormick dan Martinko, 2004; Bozionelos et al., 2015; Consiglio et al., 2016; Mejia-Smith dan Gushue, 2017). Kami memperkirakan bahwa ketidaknyamanan yang dirasakan untuk memastikan keamanan informasi secara signifikan mempengaruhi ekspektasi hasil serta SAB. SAB melibatkan langkah-langkah tambahan yang diambil oleh karyawan dalam memastikan keamanan informasi. Langkah-langkah ini dapat memperlambat pekerjaan mereka dan karenanya menimbulkan ketidaknyamanan bagi karyawan. Studi sebelumnya telah menunjukkan bahwa orang cenderung mengabaikan upaya mereka atau mengubah perilaku mereka ketika dihadapkan dengan ketidaknyamanan (Rajamma et al., 2009; Cheng dan Liu, 2012; Liang et al., 2013; Barbarossa dan Pelsmacker, 2016). Oleh karena itu, kami mendalilkan bahwa ketidaknyamanan yang dirasakan secara signifikan mempengaruhi SAB dan ekspektasi hasil. Karyawan yang memandang SAB tidak nyaman lebih cenderung mengabaikan upaya tersebut. Demikian pula, setiap kali ketidaknyamanan yang dirasakan tinggi, ekspektasi hasil yang terkait dengan SAB kemungkinan besar negatif karena ketidakefisienan yang diantisipasi dan penurunan produktivitas. Hipotesis yang relevan adalah sebagai berikut: H8. Ketidaknyamanan yang dirasakan memiliki pengaruh yang signifikan terhadap ekspektasi hasil. H9. Ketidaknyamanan yang dirasakan memiliki pengaruh signifikan terhadap SAB. 4. Metoda penelitian

Penelitian ini mengadopsi pendekatan kuantitatif dengan menggunakan survei kuesioner online sebagai instrumen penelitian utama. Kuesioner ini memperoleh informasi tentang tujuh konstruk yang diuji dalam penelitian ini. Subbagian berikut membahas tentang sampel, pengukuran, dan analisis data. 4.1. Sampel Kami mengundang karyawan dari perusahaan telekomunikasi untuk berpartisipasi dalam penelitian ini karena pentingnya perusahaan-perusahaan ini dalam mengelola komunikasi dan infrastruktur informasi. Para undangan diberitahu bahwa partisipasi bersifat sukarela dan data akan dijaga kerahasiaannya dan akan digunakan untuk tujuan penelitian saja. Biasanya, perusahaan-perusahaan ini menangani volume data dan trafik informasi yang tinggi, menempatkan kebutuhan kritis akan keamanan informasi. Secara total, 626 karyawan perusahaan telekomunikasi telah menanggapi survei, di mana 151 di antaranya berasal dari departemen teknologi informasi. Kami membuang tanggapan dari kelompok responden ini karena fokus penelitian ini adalah pengguna akhir. Setelah mengecualikan kelompok ini, total 525 responden tetap dalam sampel. Karakteristik demografis diringkas dalam Tabel I. Sampel terdiri dari responden yang berusia 20-an (25 persen), 30-an (39 persen), 40-an (24 persen), dan 50-an (15 persen). Distribusi gender dalam sampel hampir sama dengan, 59 persen adalah perempuan dan 41 persen laki-laki. Mayoritas responden memegang kualifikasi sarjana (59 persen), dan berada di area penjualan dan pemasaran (45 persen), diikuti oleh operasi, produksi dan manajemen proyek (34 persen) dan akuntansi dan keuangan (19 persen). 4.2. Pengukuran Untuk menyelesaikan pengukuran, diskusi kelompok fokus dilakukan, yang melibatkan dua perwakilan Cybersecurity Malaysia, satu perwakilan dari perusahaan telekomunikasi dan dua pakar akademik dalam sistem informasi. Perwakilan industri terlibat dengan manajemen keamanan dalam organisasi mereka sementara para pakar akademis berspesialisasi dalam keamanan informasi. Selama diskusi, panel membahas kesesuaian dan signifikansi pengukuran yang diusulkan. Diskusi kelompok terarah membantu menilai dan memastikan validitas langkah-langkah tersebut. Setelah diskusi kelompok fokus, uji coba dilakukan untuk menilai keandalan instrumen. Kami juga melakukan analisis faktor pada data pilot untuk mengukur struktur internal pengukuran. Kuisioner kemudian ditingkatkan lebih lanjut dan diselesaikan.

Tujuh item digunakan sebagai ukuran untuk SAB, yang mencakup keamanan kata sandi, keamanan email, dan penyimpanan data. Tabel II menunjukkan tujuh item untuk penilaian SAB. Panel ahli sepakat bahwa perilaku ini berkontribusi signifikan terhadap praktik keamanan informasi. Tiga masalah keamanan kata sandi dibahas dalam penelitian ini, yang secara khusus berfokus pada perubahan kata sandi, pemilihan kata sandi, dan daur ulang kata sandi. Meskipun keamanan kata sandi biasanya dibahas dalam kebijakan keamanan, Campbell et al. (2011) telah menetapkan bahwa kebijakan kata sandi tidak mengurangi penggunaan kembali kata sandi atau penggunaan informasi pribadi yang bermakna dalam kata sandi. Mengenakan pembatasan kata sandi tidak selalu mengarah pada kata sandi yang lebih aman (Vu et al., 2007; Duggan et al., 2012). Selain itu, sistem berbasis kata sandi adalah metode utama otentikasi pengguna dan keamanan kata sandi biasanya dikompromikan oleh komposisi kata sandi yang tidak memadai dan praktik manajemen (Campbell et al., 2011). Kami juga menyertakan langkah-langkah keamanan yang terkait dengan enkripsi, mematikan komputer pada akhir hari dan cadangan data. Masalah-masalah ini cenderung tidak tercakup dalam kebijakan keamanan informasi (Fulford dan Doherty, 2003; Doherty et al., 2009). Perilaku ini dianggap diinginkan dalam memastikan keamanan informasi dan dapat melampaui persyaratan kebijakan. Responden diminta untuk menilai frekuensi melaksanakan setiap perilaku pada skala tipe-Likert, mulai dari 1, tidak pernah, hingga 6, sangat sering. Untuk mengukur harapan hasil (OE), responden ditanya kemungkinan hasil jika tujuh perilaku dipraktikkan di tempat kerja. Tanggapan berkisar dari 1, sangat negatif, hingga 6, sangat positif. Perilaku ini juga digunakan untuk mengukur persepsi ketidaknyamanan (PIC). Responden diminta untuk menunjukkan bagaimana pekerjaan mereka akan dipengaruhi oleh masing-masing dari tujuh perilaku, dengan pilihan mulai dari 1, sangat mudah, hingga 10, sangat merepotkan. Tanggapan yang diperoleh disimpulkan untuk membentuk konstruksi komposit untuk SAB, OE dan PIC. Skor untuk setiap konstruk berkisar dari 7 pada titik minimum hingga 42 pada titik tertinggi untuk SAB dan OE. Untuk PIC, titik minimum adalah 10 dan titik maksimum adalah 70.

Norma subyektif (SN) dinilai berdasarkan penekanan pada keamanan informasi oleh orang lain yang signifikan, seperti yang dirasakan oleh responden. Manajemen atas, atasan langsung, dan rekan kerja adalah yang signifikan yang dipercayai orang lain untuk mempengaruhi perilaku responden. Empat pernyataan dikembangkan untuk mengukur efikasi keamanan informasi responden (SE), yaitu, pengetahuan yang diketahui tentang pelanggaran keamanan informasi, orang-orang yang dihubungi dan prosedur operasi standar yang terkait dengan informasi pribadi dan rahasia. Kami menggunakan empat pernyataan untuk mengukur kebijakan keamanan informasi (ISP). Item-item ini mengukur kebijakan organisasi tentang penggunaan e-mail dan sumber daya komputer, serta prosedur operasi standar yang menggarisbawahi keamanan informasi. Skala peringkat enam poin, mulai dari 1, sangat tidak setuju, hingga 6, sangat setuju, digunakan untuk mendapatkan tanggapan untuk SN, SE dan ISP.

Pemantauan keamanan informasi (ISM) dinilai berdasarkan pelaksanaan empat kegiatan pemantauan oleh organisasi pemberi kerja. Ini termasuk pemantauan modifikasi atau perubahan data, kegiatan komputasi, log komputer, dan pesan email. Praktik-praktik ini dikumpulkan dari umpan balik yang diterima dari panel ahli. Metode serupa pemantauan keamanan informasi juga disorot dalam literatur (White dan Pearson, 2001; Watson, 2002 dan Hoffman et al., 2003). Responden diminta untuk menilai setiap kegiatan berdasarkan skala enam poin, mulai dari 1, tidak pernah, sampai 6, sangat sering. Item yang digunakan untuk mengukur ISM, ISP, SMand SE dapat ditemukan pada Tabel III. 4.3. Statistic deskriptif Analisis deskriptif dilakukan untuk mengamati pola dalam data dan untuk menentukan normalitas dan outlier data. Statistik deviasi standar, skewness dan kurtosis menunjukkan data terdistribusi normal dan cocok untuk penyelidikan lebih lanjut. Tabel II menyajikan statistik deskriptif SAB, minat utama penelitian ini. Dengan tujuan untuk memahami SAB dengan lebih baik, kami telah mengkategorikan respons ke dalam tiga tingkat perilaku, yaitu rendah (tanggapan 1, tidak pernah, dan 2, jarang), sedang (respons 3, kadang-kadang, dan 4, cukup sering), dan tinggi (tanggapan 5, sering, dan 6, sangat sering). Perilaku yang paling umum adalah mematikan komputer setelah bekerja (rata-rata = 5,41), dengan lebih dari 85 persen respons berada dalam kategori tinggi. Perilaku yang paling tidak dilakukan adalah melindungi dokumen sensitif yang dikirim melalui email (rata-rata = 2,98), dengan 40,2 persen tanggapan berada dalam kategori rendah. Responden juga ditemukan kurang rajin menggunakan kata sandi yang berbeda untuk akses komputer yang berbeda (rata-rata = 3,41), dan melakukan pencadangan data (rata-rata = 3,91).

4.4. Validasi model pengukuran Teknik The Structural Equation Modelling (SEM) (AMOS ver. 23) digunakan untuk menguji hipotesis penelitian dan model yang diusulkan. Kami pertama kali melakukan confirmatory factor analysis (CFA) dengan estimasi kemungkinan maksimum untuk menguji keandalan variabel yang diamati (indikator) dalam menjelaskan konstruk dan untuk menguji sejauh mana hubungan timbal balik dan kovariat antara konstruk (Schreiber et al., 2006). Empat indeks disebut sebagai indikator indeks absolut, yaitu:   

X2/df dari 3.0 dan lebih rendah (Tabachnick dan Fidell, 2007); root mean square error of approximation (RMSEA), batas atas 0,06 (Steiger, 2007; Hooper et al., 2008); dan statistik goodness-of-fit (GFI) dan the adjusted goodness-of-fit (AGFI), nilai yang diterima pada 0,90 atau lebih besar (Hooper et al., 2008).

Indeks tambahan juga dipertimbangkan, berdasarkan rekomendasi oleh Hooper et al. (2008) dan Smith dan McMillan (2001). Indeks tambahan termasuk normed fit index (NFI), Tucker-Lewis index (TLI) dan comparative fit index (CFI). Nilai yang baik ditunjukkan oleh nilai indeks 0,90 atau lebih besar untuk indeks ini (Smith dan McMillan, 2001). Kami telah menggunakan variabel yang diamati (nilai penjumlahan skor) untuk tiga konstruksi, yaitu, SAB, OE dan PIC. Pengukuran untuk konstruksi ini mewakili berbagai perilaku yang mencakup beberapa aspek keamanan informasi, dan dengan demikian tidak mungkin untuk menyesuaikan perilaku ini menjadi satu dimensi yang mencakup semua untuk setiap SAB, OE dan PIC. Selain itu, penggunaan variabel yang diamati mirip dengan penggunaan konstruksi item tunggal, yang mendorong koordinasi erat antara landasan teoritis dan model (Hayduk dan Littvay, 2012). Variabel lain, yaitu, SE, ISM, ISP dan SN, diwakili oleh konstruk laten, diukur dengan beberapa variabel atau indikator yang diamati. Hayduk dan Littvay (2012) merekomendasikan penggunaan beberapa indikator terbaik untuk setiap konstruk laten. Dengan demikian, kami membatasi jumlah indikator untuk setiap konstruk laten ke maksimum empat, mengikuti rekomendasi oleh Kenny (1979).

Meskipun model pengukuran awal ditemukan tidak sesuai data (X2/df = 2,557; RMSEA = 0,055; nilai-nilai sesuai lainnya [GFI, AGFI, NFI, TLI dan CFI] di atas 0,90), kami perhatikan bahwa model tersebut dapat lebih ditingkatkan dengan menghapus indikator SE1 dari model. Item itu dihapus karena bobot regresi

standar item berbeda dari indikator SE lainnya. Penghapusan indikator ini menghasilkan model yang lebih sesuai (X2/df = 2.125; RMSEA = 0,046; nilai-nilai lainnya [GFI, AGFI, NFI, TLI dan CFI] mendekati 0,95). Nilai X2/df yang lebih dekat ke 2.0 lebih disukai karena lebih sesuai (Tabachnick dan Fidell, 2007). Penghapusan indikator juga meningkatkan Average Variance Extracted dari 0,654 menjadi 0,719. Statistik untuk model pengukuran ditunjukkan pada Tabel III. Rata-rata varians diekstraksi (AVE) dan statistik reliabilitas komposit memuaskan (Fornell dan Larcker, 1981). Model pengukuran terakhir diilustrasikan pada Gambar 2. Setelah CFA, kami menguji hubungan antar konstruk untuk tujuan hipotesis dan pengujian model. 5. Hasil pengujian hipotesis dan model Hasil SEM, seperti yang disajikan pada Tabel IV, menunjukkan dukungan untuk semua hipotesis, kecuali H1. Delapan dari sembilan jalur hipotesis signifikan pada tingkat p ≤ 0,01. Kami menyimpulkan bahwa H2H9 didukung oleh data. Model struktural terakhir diturunkan dengan menghapus jalur yang tidak signifikan (SN → SAB). Gambar 3 menunjukkan solusi standar untuk model struktural akhir. Indeks kesesuaian untuk model memuaskan dengan X2 dari 261.707 dan df sama dengan 108 (Chi-Square/df = 2.423; RMSEA = 0.052). Baik indeks kebaikan (GFI dan AGFI) mencatat nilai lebih dari 0,90. Oleh karena itu, model ï¬t didukung. Indeks tambahan lainnya juga menunjukkan nilai yang dapat diterima di atas 0,90. Model tersebut memperkirakan 31 persen variasi dalam SAB (R2 = 0,31), dengan PIC sebagai penentu terkuat (β = -0,25). Juga ditemukan bahwa ISP menentukan 27 persen variasi SE. OE secara signifikan dipengaruhi oleh ISP, SN dan PIC, dengan R2 dari 0,23. Setiap jalur hipotesis signifikan pada p ≤ 0,001. 6. Diskusi dan kesimpulan Pemantauan keamanan informasi sangat penting dalam organisasi, terutama untuk memastikan kepatuhan dan untuk menghindari kelalaian. Dalam penelitian ini, kami menguji pengaruh pemantauan keamanan informasi dan faktor pembelajaran sosial lainnya pada SAB karyawan. Temuan empiris dari penelitian ini memberikan dukungan lebih lanjut untuk SCT sebagai teori yang mendasarinya. Menurut SCT, belajar adalah hasil pengamatan. Dengan demikian, model peran penting dalam mendukung proses pembelajaran. Meskipun kemampuan sering dianggap ditingkatkan melalui pelatihan, kurangnya latihan berulang akan segera kehilangan keuntungan dalam pengetahuan dan kompetensi perilaku yang diperlukan. Oleh karena itu, baik para pemenang dan mekanisme pemantauan harus ada di tempat yang memperkuat perilaku yang diperlukan melalui dorongan, selain untuk mengekang perilaku yang tidak baik melalui hukuman dan sanksi. Belajar membutuhkan biaya, di mana kemampuan belajar bervariasi dari satu orang ke orang lain. Individu yang sudah pada titik stabil dalam karir mereka akan menemukan itu lebih sulit untuk merespons perubahan (Ellefsen, 2013). Dengan demikian, setiap perubahan harus didukung dan dihargai agar layak dalam praktiknya.

Ada empat temuan kunci dengan implikasi praktis yang diperoleh dari penelitian ini. Pertama, norma subyektif tidak secara langsung memengaruhi SAB (H1), menunjukkan bahwa penekanan umum pada keamanan informasi tidak serta merta memastikan perilaku spesifik tersebut. Sebaliknya, pengaruh norma subyektif adalah signifikan pada ekspektasi hasil (H2) dan ekspektasi hasil secara positif mempengaruhi SAB (H3). Hasil menunjukkan bahwa norma subyektif membantu karyawan membentuk opini tentang dampak langkah-langkah keamanan. Pendapat positif tentang dampak akan menyebabkan SAB lebih tinggi. Direkomendasikan agar organisasi mempromosikan perilaku keamanan informasi khusus daripada hanya meminta karyawan untuk mengikuti prosedur operasi standar. Mungkin bermanfaat jika organisasi juga menonjolkan perilaku yang melampaui standar ini.

Kedua, hasil menunjukkan bahwa kesadaran karyawan tentang praktik pemantauan keamanan meningkatkan SAB (H4). Dalam konteks pembelajaran sosial, temuan tersebut menyiratkan bahwa pemantauan menekankan pada perilaku yang diharapkan dan membantu memperkuat norma-norma organisasi. Pemantauan juga dapat mempercepat pembelajaran ketika karyawan sangat memperhatikan perilaku mereka. Oleh karena itu, penting bagi organisasi untuk mengomunikasikan praktik pemantauan yang dilaksanakan, bahkan lebih penting setiap kali pemantauan keamanan yang dilakukan tidak mengganggu. Meskipun demikian, komunikasi harus dilakukan untuk menghindari kebencian dan ketidakpercayaan di antara karyawan. Implikasi ketiga terkait dengan kemandirian. Karyawan yang percaya pada kemampuan mereka dalam menangani insiden keamanan dan memiliki harapan tinggi terhadap SAB cenderung lebih terlibat dalam perilaku seperti itu (H5). Oleh karena itu, sangat penting bagi organisasi untuk meningkatkan atribut ini di antara karyawan. Pengaruh signifikan dari kebijakan keamanan informasi pada kemandirian (H6) menunjukkan bahwa organisasi dapat mencapai ini melalui implementasi yang tepat dan komunikasi kebijakan keamanan informasi. Selain itu, kebijakan keamanan informasi juga telah ditemukan secara signifikan terkait dengan ekspektasi hasil (H7), dan dengan demikian lebih lanjut menekankan perlunya ukuran tersebut. Kebijakan dan norma membentuk budaya keamanan informasi dalam organisasi, secara langsung memengaruhi persepsi karyawan, dan akhirnya memengaruhi perilaku keamanan informasi mereka. Implikasi keempat menyangkut pengaruh ketidaknyamanan yang dirasakan. Ketidaknyamanan yang dirasakan adalah penentu baru dari penelitian ini dan pengaruhnya terhadap SAB secara signifikan negatif (H9). Ketidaknyamanan yang dirasakan juga ditemukan memengaruhi secara negatif hasil yang diharapkan (H8). SAB membutuhkan upaya tambahan dari karyawan yang dapat menghambat atau menunda pencapaian tugas yang ditugaskan kepada mereka. Seperti ditunjukkan oleh hasil, ketidaknyamanan yang dirasakan menyebabkan karyawan meninggalkan upaya keamanan. Ketidaknyamanan yang dirasakan karenanya menciptakan penghalang internal yang signifikan dalam mencapai keamanan informasi, terutama ketika faktor manusia dalam pengaturan keamanan informasi tinggi. Mengingat hal ini, kami merekomendasikan bahwa keamanan informasi diakui sebagai salah satu tujuan kerja, terlepas dari efektivitas dan efisiensi. Pelatihan dan otomatisasi yang tepat juga dapat

membantu karyawan untuk mengurangi upaya mereka dalam perilaku keamanan, dan karenanya mengurangi ketidaknyamanan yang dirasakan. Secara umum, jelas bahwa perbaikan diperlukan dalam hal SAB di antara karyawan telekomunikasi. Perlindungan dokumen sensitif yang dikirim melalui email lemah yang menghadirkan ancaman serius bagi organisasi. Praktik mengirim file dokumen yang dilindungi kata sandi atau terenkripsi melalui email adalah cara untuk melindungi informasi sensitif. Organisasi akan diuntungkan oleh aplikasi yang secara otomatis mengenkripsi semua dokumen yang dikirimkan melalui email. Praktek menggunakan kata sandi yang berbeda untuk akses yang berbeda juga tampaknya kurang, mungkin karena kesulitan dalam mengingat kata sandi. Organisasi dapat mengatur mekanisme manajemen identitas untuk mengelola sistem berbasis kata sandi. Alih-alih menggunakan kata sandi yang berbeda untuk berbagai akses, sistem seperti itu memungkinkan pengguna tunggal masuk ke sumber daya berbagai sistem informasi. Selain itu, hasil penelitian ini menunjukkan bahwa organisasi harus berinvestasi dalam sistem cadangan online otomatis atau penyimpanan cloud untuk menghindari kehilangan data atau korupsi karena kegagalan hard disk. Ketika diserahkan kepada karyawan, mereka cenderung melakukan backup data. 7. Keterbatasan dan studi masa depan Secara umum, penelitian ini memberikan sejumlah wawasan penting dan informasi berharga terkait SAB di antara karyawan. Temuan utama dapat membantu para pakar dan organisasi keamanan untuk mengembangkan strategi dan kebijakan yang lebih baik untuk perlindungan keamanan informasi. Namun, ada beberapa keterbatasan dalam pekerjaan yang ada yang dapat diatasi dalam studi mendatang. Salah satunya adalah bias keinginan sosial yang mungkin karena ukuran yang dilaporkan sendiri diadopsi dalam penelitian ini. Meskipun kami telah melakukan segala upaya untuk mengumpulkan tanggapan representatif melalui survei anonim, masih mungkin bahwa responden mungkin tidak mengungkapkan perilaku yang benar karena perilaku yang baik umumnya diinginkan. Ini dapat menyebabkan bias terhadap perilaku yang menguntungkan. Selain itu, studi saat ini terbatas pada industri telekomunikasi yang membatasi generalisasi dari temuan. Untuk pekerjaan di masa depan, tanggapan dari industri lain diperlukan untuk penyelidikan empiris lebih lanjut untuk menggeneralisasi temuan. Khususnya, investigasi harus tersedia untuk jenis organisasi lain yang memiliki persyaratan tinggi untuk peraturan dan kepatuhan kebijakan seperti lembaga pemerintah, organisasi perawatan kesehatan dan lembaga keuangan untuk menangkap berbagai pengertian tentang perilaku keamanan pengguna. Selain itu, kelompok demografis yang berbeda berdasarkan usia, kualifikasi pendidikan atau kompetensi individu harus dijelaskan karena faktor-faktor ini mungkin memiliki dampak yang signifikan terhadap perilaku pengguna. Oleh karena itu, eksplorasi di luar persepsi individu dapat dilakukan untuk mengidentifikasi faktor kelompok yang berbeda terhadap adopsi pengguna praktik keamanan informasi (Sim et al., 2011). Karena ketidaknyamanan yang dirasakan merupakan bidang studi yang menarik, penelitian lebih lanjut untuk merenungkan strategi mengurangi ketidaknyamanan yang dirasakan dari perilaku keamanan informasi dapat dilakukan di masa depan. Ketidaknyamanan yang dirasakan dapat menjadi salah satu alasan di balik kegagalan karyawan untuk mematuhi kebijakan keamanan informasi yang diterapkan dalam organisasi - yang patut dipuji untuk penyelidikan lebih lanjut. Penting juga untuk menganalisis trade-off antara ketidaknyamanan yang dirasakan dan harapan hasil, serta faktor-faktor yang berkontribusi terhadap ketidaknyamanan yang dirasakan.