Research Review: A Framework and Assessment Instrument for Information Security Culture

Analyzed Date: 2026.03.10 - 2026.03.14

Keywords: Information Security Culture, Organisational Culture, ISCF, Assessment Instrument, Employee Behaviour

Source: Computers & Security, 2010, Vol. 29, pp. 196–207

Why This Paper?

선정 배경

도메인 탐색 결과:

8주간 보안 컨설팅 분야 논문을 체계적으로 읽은 결과, 거버넌스, 컴플라이언스, 리스크 분석, 개인 준수 행동, 감사 효과성, 공급망 보안, 보안 투자 경제학의 7개 레이어를 완성했다. 이제 8주차에서는 이 모든 체계가 실제로 작동하도록 만드는 기반, 즉 조직 전체의 보안 문화 수준을 다루는 단계로 진입한다.

이 논문을 선택한 이유:

- Bulgurcu et al. (2010)이 개인의 합리적 준수 동기를 분석했다면, 이 논문은 그 개인들이 속한 집합적 문화 환경 자체를 어떻게 형성하고 측정할 것인가를 다룬다. 개인 행동 분석에서 조직 문화 설계로의 자연스러운 확장이다.

- 보안 컨설팅에서 가장 빈번하게 직면하는 문제 중 하나는 기술적 통제와 관리적 통제를 도입했음에도 실제 직원 행동이 바뀌지 않는다는 고객사의 호소다. 이 논문은 바로 그 문제의 근본 원인과 해법을 조직 문화 차원에서 다룬다.

- 보안 문화 진단이라는 실무 역량을 강화한다. 단순한 취약점 점검이나 정책 검토를 넘어, 조직의 보안 문화 수준을 체계적으로 측정하고 개선 방향을 제시하는 컨설팅 역량이다.

- ISMS-P, ISO 27001 등 주요 규제 프레임워크가 모두 인적 보안 통제를 필수 항목으로 요구하는 현실과 직접 연계된다.

학습 목표:

- 정보보안 문화(Information Security Culture)의 개념적 정의와 조직문화 이론과의 연결 구조를 이해한다.

- **ISCF** (Information Security Culture Framework)의 3단계 계층 구조와 7개 구성요소 범주를 파악하여 컨설팅 진단 도구로 활용할 수 있는 기반을 쌓는다.

- 보안 문화 평가 도구 **ISCA** 의 설계 원리와 통계적 검증 방법론을 이해하여, 고객사 보안 문화 진단 제안 시 근거로 활용할 수 있는 역량을 습득한다.

Day 1 – Research Context & Motivation

(기술적 통제만으로는 채울 수 없는 공백, 조직의 보안 문화를 어떻게 설계하고 측정할 것인가)

1. 연구 배경: 인적 위협이라는 근본 문제

인적 요소의 중요성

논문은 첫 문장부터 조직 연간 수익의 2~3%가 정보보안 사고로 인해 손실될 수 있다는 수치를 제시하며 문제의 규모를 설정한다(McIlwrath, 2006). 그리고 Verizon(2009) 데이터 침해 보고서를 인용하여, 침해 사고의 상당수 배후에 내부자가 있다는 사실을 지적한다. 의도적이든 비의도적이든, 직원은 보안 위협의 핵심 원천이다.

논문은 이 문제에 대한 기존 접근법들, 즉 ISO/IEC 27002의 통제 항목, PROTECT 프레임워크, Tudor의 정보보안 아키텍처를 검토하면서 공통적인 한계를 지적한다. 이들은 기술적 통제와 절차적 통제를 다루지만, 직원의 행동을 직접적으로 방향 지시하고 측정하며 변화시키는 메커니즘에는 초점을 두지 않는다.

현실의 한계

기존 연구들은 정보보안 인식(awareness), 내부자 범죄, 정책 준수 등 인적 요소를 부분적으로 다루었다. Van Niekerk and Von Solms(2006), Schlienger and Teufel(2005), Vroom and Von Solms(2004) 등은 Schein의 조직문화 모델을 보안에 연결하는 시도를 했다. 그러나 논문이 명확히 지적하듯, 조직문화와 조직행동을 통합하여 보안 문화를 포괄적으로 형성하고 측정하는 단일 프레임워크는 존재하지 않았다. 조각난 접근법들이 산재했을 뿐, 조직이 즉시 적용할 수 있는 통합 체계가 없었다.

연구 문제의식

조직이 정보보안 통제를 구현하여 직원 행동을 바람직한 방향으로 유도하고, 그 결과로 형성된 보안 문화의 수준을 측정하며 개선 방향을 도출하려면 어떤 프레임워크와 도구가 필요한가?

2. 핵심 개념

개념 정의 컨설팅 맥락에서의 의미
정보보안 문화 조직 구성원이 정보자산을 보호하기 위해 시스템 및 절차와 상호작용하는 방식에 내재된 태도, 가정, 신념, 가치, 지식의 총체. 이는 시간이 지나면서 변화한다. 고객사의 보안 수준을 기술적 취약점이 아닌 문화적 성숙도 관점에서 진단하는 기준점. 기술 도입 후에도 보안 사고가 반복되는 근본 원인을 설명하는 개념 틀.
조직행동 계층 개인(Individual), 집단(Group), 조직(Organisational)의 세 계층. 각 계층에서 직원은 서로 다른 특성과 압력에 의해 행동한다. 보안 통제를 설계할 때 개인 인식 교육, 팀 단위 정책 내재화, 전사적 거버넌스 구조 각각에 맞는 개입이 필요함을 설명하는 구조.
정보보안 구성요소 조직이 구현하는 보안 통제의 구성 단위. 7개 범주로 분류: 리더십 및 거버넌스, 보안 관리 및 운영, 보안 정책, 보안 프로그램 관리, 사용자 보안 관리, 기술적 보호 및 운영, 변화 관리. 진단 점검 항목의 구조적 분류. 고객사 현황 파악 시 어떤 범주의 통제가 미흡한지 체계적으로 식별하는 기준.
아티팩트 / 가치 / 기본 가정 Schein(1985)의 조직문화 3층 모델. 아티팩트는 가시적 결과물(잠긴 출입문, 보안 소프트웨어), 가치는 당위적 신념(정보는 보호되어야 한다), 기본 가정은 무의식적 전제(IT 부서가 모든 보안을 책임진다)다. 고객사의 보안 문화가 표면적 아티팩트 수준에 머물러 있는지, 가치와 가정의 수준까지 내재화되었는지 진단하는 기준.

3. 이론적 기반: Schein의 조직문화 모델과 조직행동 이론의 통합

[ 정보보안 구성요소 (A) ]

- 리더십 및 거버넌스
- 보안 관리 및 운영
- 보안 정책
- 보안 프로그램 관리
- 사용자 보안 관리
- 기술적 보호 및 운영
- 변화 관리

구현 및 영향 »

[ 정보보안 행동 (B) ]

- 개인 계층  :  합리적 판단과 개인 동기에 의한 행동
- 집단 계층  :  팀 규범과 동료 압력에 의한 행동
- 조직 계층  :  정책, 절차, 거버넌스 구조에 의한 행동

시간 경과에 따른 진화 »

[ 정보보안 문화 (C) ]

- 아티팩트  :  잠긴 출입문, 보안 소프트웨어 등 가시적 결과물
- 가치  :  "정보는 보호되어야 한다"는 당위적 신념
- 기본 가정  :  "IT 부서가 모든 보안을 책임진다"는 무의식적 전제

역류 » 문화가 다시 구성요소 (A)의 효과성에 영향을 미친다

핵심 아이디어:

정보보안 문화는 보안 통제 (A)가 직원 행동 (B)에 영향을 미치고, 그 행동이 시간의 경과에 따라 문화 (C)로 굳어지는 동적 순환 과정을 통해 형성된다. 이 과정은 일방향이 아니다. 형성된 문화는 다시 구성요소의 효과성에 영향을 미친다. 예컨대 직원들이 정보보안 정책을 이해하기 어렵다고 느끼거나 자신의 업무에 관련 없다고 판단하면 정책은 무력화된다. 따라서 보안 문화를 제대로 조성하려면 어떤 통제를 구현하느냐 못지않게, 어떤 조직문화 유형 안에서 구현하느냐가 결정적으로 중요하다.

4. 연구의 핵심 기여

학술적 기여:

- 조직문화 이론(Schein의 3층 모델), 조직행동 이론(개인/집단/조직 3계층), 정보보안 통제(7개 범주)를 단일 통합 프레임워크로 연결한 최초의 시도다. 기존 연구들이 이 세 영역 중 하나 또는 두 개만 다뤘다면, **ISCF** 는 세 영역의 교차점을 체계적으로 설계했다.

- 이론적 프레임워크( **ISCF** )를 실증 평가 도구( **ISCA** : Information Security Culture Assessment)로 연결하는 완결된 연구 설계를 제시했다. 프레임워크 제안에서 그치지 않고 실제 조직에서 통계적으로 검증했다.

- 정보보안 문화를 독립적 측정 대상으로 정의하고, 그 측정 가능성을 구조방정식 모델(SEM)과 **Cronbach 알파** 분석으로 실증했다.

실무 기여:

- 85개 문항으로 구성된 **ISCA** 도구를 제공한다. 조직은 이 도구를 활용하여 보안 문화의 현재 수준을 진단하고, 취약한 구성요소 범주를 식별하며, 개선 우선순위를 설정할 수 있다.

- 7개 구성요소 범주(리더십 및 거버넌스, 보안 관리 및 운영, 보안 정책, 보안 프로그램 관리, 사용자 보안 관리, 기술적 보호 및 운영, 변화 관리)는 보안 컨설팅의 점검 구조로 직접 활용 가능하다.

- 조직문화 유형(관료적, 전문가적, 과업 중심적, 독재적)에 따라 보안 통제의 적합한 구현 방식이 달라진다는 실무 가이드를 제공한다.

5. 컨설팅 관점 인사이트

적용 가능성:

ISCFISCA 는 보안 컨설팅의 초기 진단 단계에서 즉시 활용 가능한 구조를 제공한다. 고객사를 처음 방문했을 때 기술적 취약점 스캔과 병행하여, 직원들의 보안 문화 수준을 7개 범주 기준으로 설문 방식으로 파악할 수 있다. 이 진단 결과는 단순한 현황 보고에 그치지 않고, 어떤 범주의 통제를 강화해야 하는지, 그리고 그 통제를 해당 조직의 문화 유형에 맞게 어떻게 설계해야 하는지에 대한 처방의 근거가 된다.

기존 학습과의 연결:

논문 연결 방식
Gashgari et al. (2017) 보안 거버넌스의 구조적 체계를 설계했다면, Da Veiga & Eloff (2010)는 그 거버넌스가 조직 구성원의 일상적 행동과 문화로 내재화되는 메커니즘을 설명한다.
Bulgurcu et al. (2010) 개인의 합리적 준수 의사결정 과정을 분석했다면, 이 논문은 그 개인들이 속한 집합적 환경이 어떻게 설계되어야 하는지를 다룬다.
Foorthuis & Bos (2011) 컴플라이언스 전술 프레임워크가 조직 차원의 준수 유도 방식을 분류했다면, 이 논문은 그 전술들이 실제로 보안 문화로 정착되려면 어떤 조건이 필요한지를 밝힌다.

현실적 고려사항:

이 논문의 실증 연구는 남아프리카 단일 조직(약 3,000명 규모의 감사 및 자문 기업)에서 수행되었다. 한국 기업 환경에 ISCA 를 적용할 때는 문화적 차이, 특히 위계적 조직문화가 강한 국내 기업의 특성을 반영한 문항 조정이 필요할 수 있다. 또한 85개 문항의 전수 설문은 중소기업에서 현실적으로 부담이 될 수 있으므로, 단계적 적용 방안을 검토해야 한다.

Day 2 – Research Model, Hypotheses, and Methodology

(3계층 순환 구조로 보안 문화를 설계하고, 85개 문항으로 측정한다)

1. 연구 모델 개요

[ 입력 ] 7개 범주의 정보보안 구성요소 (A)

- 리더십 및 거버넌스
- 보안 관리 및 운영
- 보안 정책
- 보안 프로그램 관리
- 사용자 보안 관리
- 기술적 보호 및 운영
- 변화 관리

3개 행동 계층(개인 / 집단 / 조직)에 각 구성요소 작용 »

[ 처리 ] 정보보안 행동 (B)

- 개인 계층  :  성격, 가치관, 태도가 준수 방식 결정
- 집단 계층  :  집단사고(groupthink) 압력 및 리더십 영향
- 조직 계층  :  공식 구조, 중앙 / 분권화 방식, 네트워크 정책

시간 경과에 따른 행동의 누적 및 고착화 »

[ 출력 ] 정보보안 문화 (C)

- 아티팩트  :  가시적 결과물 (기술, 절차 산출물)
- 가치  :  당위적 신념 (직원들이 옳다고 믿는 것)
- 기본 가정  :  무의식적 전제 (당연시 여기는 것들)

역류 » 문화가 구성요소 효과성을 다시 조건화 » (A) 로 피드백

설계 철학:

저자들은 이 모델을 단계적으로 구축했다. Level i(구성요소 » 행동 » 문화의 기본 관계), Level ii(행동 계층 세분화 및 역방향 피드백 추가), Level iii(7개 구성요소 범주와 3계층을 결합한 완전한 ISCF )의 순서로 복잡도를 높여가며 설명한다. 이는 독자가 프레임워크를 단계적으로 이해하도록 돕는 동시에, 각 층위의 설계 근거를 명확히 하기 위한 의도다.

2. 핵심 가정

이 논문은 가설 검증 연구가 아닌 프레임워크 제안 및 검증 연구다. 저자들이 프레임워크 설계에 전제한 핵심 가정들은 다음과 같다.

가정 내용 근거
A1 정보보안 문화는 보안 통제(구성요소)가 직원 행동에 영향을 미치고, 그 행동이 시간이 지나면서 굳어지는 과정을 통해 형성된다. Martins(2002), Robbins(2001)의 조직문화 발생 이론
A2 정보보안 문화는 Schein(1985)의 조직문화 3층 구조(아티팩트, 가치, 기본 가정)로 나타난다. Schlienger & Teufel(2005), Van Niekerk & Von Solms(2006)의 선행 연구
A3 보안 통제의 효과는 조직문화 유형(관료적 / 전문가적 / 과업 중심적 / 독재적)에 따라 달라지며, 동일한 통제라도 조직 유형에 맞게 구현 방식을 조정해야 한다. Handy & Harrison의 조직문화 유형론(Yeats & Cadle, 1996)
A4 형성된 보안 문화는 역으로 보안 구성요소의 효과성을 조건화한다. 즉 구성요소와 문화의 관계는 순환적이다. 논문 Figure 2의 역방향 화살표로 시각화
A5 정보보안 문화는 측정 가능하며, 구조방정식 모델(SEM)과 신뢰도 분석으로 프레임워크의 타당성을 검증할 수 있다. Straub et al.(2004), Schermelleh-Engel et al.(2003)

3. 연구 방법론

A. 프레임워크 구성 방법론

ISCF 는 순수한 이론 구성 작업이다. 저자들은 세 개의 지식 영역, 즉 조직문화 이론, 조직행동 이론, 정보보안 구성요소 분류를 각각 문헌에서 도출한 뒤, 이들의 교차점을 체계적으로 설계하여 프레임워크를 구성했다.

7개 구성요소 범주는 저자들의 선행 연구(Da Veiga & Eloff, 2007)에서 이미 정의된 것을 이 논문에서 재사용하고 확장했다. 각 구성요소는 개인, 집단, 조직 중 어느 행동 계층에 주로 작용하는지에 따라 분류된다. 단, 논문은 하나의 구성요소가 성숙도에 따라 계층 간 이동하거나 복수의 계층에 동시에 영향을 미칠 수 있음을 명시한다.

구성요소 범주별 주요 작용 계층:

구성요소 범주 주요 작용 계층 예시 구성요소
리더십 및 거버넌스 조직 전략, 거버넌스, 최고정보보안책임자(CISO) 임명
보안 관리 및 운영 조직 / 집단 위험 관리, 사고 관리, 모니터링 및 감사
보안 정책 조직 / 집단 정보보안 정책, 절차, 표준
보안 프로그램 관리 집단 / 조직 프로그램 구성, 모범 사례 참조
사용자 보안 관리 개인 / 집단 교육 및 훈련, 신뢰, 인식
기술적 보호 및 운영 집단 / 조직 USB, 무선 네트워크, 암호화 등 기술 통제
변화 관리 개인 / 집단 / 조직 변화 프로그램, 직원 전환 지원

B. 평가 도구(ISCA) 설계

ISCF 의 7개 구성요소 범주를 측정 차원으로 삼아 ISCA (Information Security Culture Assessment) 설문 도구를 설계했다. 도구 설계 원칙은 다음과 같다.

- 각 구성요소 범주에 대해 3개 행동 계층 각각에서 직원의 태도, 인식, 행동을 묻는 문항을 구성했다. 최종 도구는 7개 차원, **85개 문항** 으로 구성된다.

- 문항은 **5점 리커트 척도** (1: 강하게 반대  ~  5: 강하게 동의)로 응답하도록 설계됐다.

- 남아프리카 5개 기업(금융, 소비재, 에너지·천연자원 분야)의 정보보안 책임자(ISO), IT 인력, 데이터 거버넌스 담당자, 리스크·컴플라이언스 담당자, 인사 담당자와의 협의를 통해 문항의 현실 적합성을 검토했다.

ISCA 문항 구성 예시 (리더십 및 거버넌스 차원):

번호 문항 척도
1 나는 ABC의 비즈니스 전략을 달성하기 위해 정보를 보호하는 것이 필요하다고 믿는다. 1 – 2 – 3 – 4 – 5
2 나는 ABC가 정보를 보호하기 위한 정보보안 전략에 충분한 관심을 기울이고 있다고 믿는다. 1 – 2 – 3 – 4 – 5
4 ABC는 정보를 보호하기 위한 정보보안에 헌신하고 있다. 1 – 2 – 3 – 4 – 5
6 나는 ABC에서 정보보안이 어떻게 관리되어 정보를 보호하는지 이해한다. 1 – 2 – 3 – 4 – 5

C. 데이터 수집

실증 연구 환경:

항목 내용
기관 유형 남아프리카 감사 및 자문 기업
직원 규모 약 3,000명
지역 분포 요하네스버그(52.4%), 프리토리아(12.1%), 케이프타운(10.5%) 외 전국
응답자 직급 이사급(8.2%), 상급 관리자(12.8%), 관리자(16.9%), 감독자(17.9%), 수습직(24.2%), 사무·지원직(19.9%)
근속 기간 13년(56.7%), 610년(16.9%) 비중이 높음
최종 유효 응답 1,085명

응답 추적은 설문 기간 동안 지속적으로 이루어졌으며, Krejcie & Daryle(1970)의 방법으로 통계적 대표성에 필요한 표본 크기를 산정했다. 4개 사업 부문에서 대표성이 확보되지 않아 해당 부문 결과는 추세 분석으로만 활용했다.

기관의 ISF (정보보안 기능)는 성숙한 것으로 자체 평가되었으며, 전담 ISO와 6명의 팀원이 운영 중이었다. 정보보안 정책은 인트라넷에 공개되어 있고, 모든 직원은 연 1회 정책 수락 서명을 하며 신입사원은 입문 교육에서 정책 내용을 교육받는다.

D. 통계적 검증 방법론

검증 목표: ISCF 의 이론적 구조(7개 차원)가 실증 데이터와 일치하는지 확인(구성 타당도), 그리고 각 차원의 측정 일관성을 확인(신뢰도).

방법 1 : 구조방정식 모델(SEM) - 확인적 요인 분석

지표 산출값 수용 기준 판정
GFI (적합도 지수) 0.9982 0.95 이상 = 좋음 좋음
AGFI (조정 적합도 지수) 0.9981 0.90 이상 = 좋음 좋음
RMR (평균 제곱근 잔차) 0.0798 0에 가까울수록 좋음 수용

GFI와 AGFI 모두 최고 수준의 기준값을 초과했다. 이는 ISCF 의 7개 차원 이론 구조가 실증 데이터를 잘 설명함을 의미한다.

방법 2 : 신뢰도 분석 ( Cronbach 알파 )

요인 차원명 Cronbach 알파 문항 수
Factor 1 리더십 및 거버넌스 0.946 17
Factor 2 보안 관리 및 운영 0.858 8
Factor 3 보안 정책 0.859 5
Factor 4 보안 프로그램 관리 0.814 7
Factor 5 사용자 보안 관리 0.837 19
Factor 6 기술적 보호 및 운영 0.841 12
Factor 7 변화 관리 0.740 4

모든 요인의 Cronbach 알파 값이 최소 수용 기준인 0.7을 초과했다. 리더십 및 거버넌스 차원이 0.946으로 가장 높은 내적 일관성을 보였으며, 변화 관리가 0.740으로 가장 낮았다.

4. 컨설팅 관점 인사이트

방법론의 실무 적용성:

ISCA 의 가장 큰 강점은 구조화된 진단 도구라는 점이다. 보안 컨설팅에서 고객사의 인적 보안 수준을 진단할 때, 직관적 인터뷰나 비정형 관찰에 의존하는 대신 7개 차원 85개 문항의 체계적 설문을 활용하면 객관성과 비교 가능성을 확보할 수 있다. 특히 결과를 차원별로 분해하면 어떤 영역(예: 변화 관리)이 가장 취약한지 즉시 파악되어 개선 우선순위 설정이 용이하다.

또한 동일 조직을 일정 기간 후 재평가하면 보안 문화 개선 추이를 수치로 보고할 수 있다. 이는 컨설팅 개입의 효과를 경영진에게 정량적으로 입증하는 근거가 된다.

한계로는 85개 문항이 중소기업 환경에서 응답 부담을 유발할 수 있다는 점, 그리고 남아프리카 단일 기관에서 검증된 도구이므로 한국 기업 문화에 적용할 때 문화적 조정이 필요할 수 있다는 점이 있다.

기존 보안 접근 방식과의 차별점:

접근 방식 핵심 초점 강점 한계
취약점 진단 기술적 결함 식별 구체적, 즉각적 대응 가능 인적 요인 미포함
정책 점검 문서화 수준 검토 규제 준수 확인 가능 실제 준수 행동과 괴리 가능
ISCA 설문 직원 태도·인식·행동 측정 문화 수준의 근본 원인 파악 자기보고 편향 가능성, 익명성 확보 필요

다음 학습 방향 ( Day 3 Preview ):

Day 3에서는 이 연구의 실증 결과를 구체적으로 들여다본다. 1,085명의 응답 데이터에서 7개 차원별로 어떤 수준이 확인되었는지, SEMCronbach 알파 분석이 프레임워크에 대해 무엇을 말해주는지, 그리고 진단 결과를 경영진에게 보고하는 방식이 어떻게 설계되었는지 살펴본다.

References

[1] Da Veiga, A., & Eloff, J.H.P. (2010). A framework and assessment instrument for information security culture. Computers & Security, 29(2), 196–207. https://doi.org/10.1016/j.cose.2009.09.002

[2] Schein, E.H. (1985). Organizational culture and leadership. Jossey-Bass.

[3] Schermelleh-Engel, K., Moosbrugger, H., & Muller, H. (2003). Evaluating the fit of structural equation models. Methods of Psychological Research Online, 8(2), 23–74.

[4] Da Veiga, A., Martins, N., & Eloff, J.H.P. (2007). Information security culture – validation of an assessment instrument. Southern African Business Review, 11(1), 146–166.

보안컨설팅 / SecurityConsulting / InformationSecurityCulture / ISCF / ISCA / SEM / AssessmentInstrument / PaperReview / SKShieldusRookies

Day 3 – Empirical Results and Core Findings

(1,085명의 응답이 확인해준 것: ISCF는 이론이 아니라 측정 가능한 현실이다)

1. 평가 환경

실험 설정:

항목 내용
기관 남아프리카 감사 및 자문 기업
직원 규모 약 3,000명
유효 응답자 수 1,085명
표본 충족 기준 Krejcie & Daryle(1970) 방법 적용
분석 도구 SurveyTracker(2008), SEM, Cronbach 알파 분석

표본 충족성 판단:

논문이 제시한 기준은 두 가지다. 최소 기준은 응답자 수가 100명 이상이거나 문항 수의 5배 이상이어야 한다는 것이고, 선호 기준은 문항 수의 10배 이상이다. ISCA 는 85개 문항으로 구성되었으므로 선호 기준은 850명이다. 실제 응답자 1,085명은 이 선호 기준을 초과하여 분석 결과의 표본 특정성 우려를 충분히 해소했다.

실증 전략:

이 연구의 실증 목적은 두 가지다. 첫째는 ISCF 의 7개 차원 이론 구조가 실증 데이터와 일치하는지 확인하는 구성 타당도 검증이고, 둘째는 각 차원 내 문항들이 일관되게 동일한 개념을 측정하는지 확인하는 신뢰도 검증이다. 이를 위해 확인적 요인 분석( SEM )과 문항 분석( Cronbach 알파 )을 순차적으로 적용했다.

2. 주요 발견

A. 구성 타당도 검증 결과 ( SEM )

전체 모델 적합도:

지표 산출값 좋음 기준 수용 기준 판정
GFI 0.9982 0.95 이상 0.90 이상 좋음
AGFI 0.9981 0.90 이상 0.85 이상 좋음
RMR 0.0798 0에 근접 0에 근접 수용

GFI(Goodness of Fit Index)와 AGFI(Adjusted Goodness of Fit Index) 모두 최고 기준값을 크게 상회했다. RMR(Root Mean Square Residual)은 0에 가까워 이론 모델과 실증 데이터 간 잔차가 매우 작음을 의미한다. 이 결과는 ISCF 의 7개 차원 구조가 실제 조직의 정보보안 문화를 잘 포착하는 이론 모델임을 통계적으로 확인한다.

B. 신뢰도 검증 결과 ( Cronbach 알파 )

요인 차원명 Cronbach 알파 문항 수 판정
Factor 1 리더십 및 거버넌스 0.946 17 매우 높음
Factor 2 보안 관리 및 운영 0.858 8 높음
Factor 3 보안 정책 0.859 5 높음
Factor 4 보안 프로그램 관리 0.814 7 높음
Factor 5 사용자 보안 관리 0.837 19 높음
Factor 6 기술적 보호 및 운영 0.841 12 높음
Factor 7 변화 관리 0.740 4 수용

7개 요인 모두 최소 기준인 0.7을 초과했다. 리더십 및 거버넌스 차원이 0.946으로 가장 높은 내적 일관성을 보인 반면, 변화 관리 차원이 0.740으로 가장 낮았다.

3. 상세 분석

A. GFI · AGFI의 의미: 프레임워크 구조 자체의 타당성

GFI 0.9982와 AGFI 0.9981은 단순히 숫자가 높다는 의미가 아니다. 이는 저자들이 이론적으로 설계한 7개 차원 구조, 즉 리더십 · 거버넌스, 보안 관리 · 운영, 보안 정책, 보안 프로그램 관리, 사용자 보안 관리, 기술적 보호 · 운영, 변화 관리라는 분류가 실제 1,085명의 인식과 태도 데이터에서도 동일하게 구분되어 나타남을 의미한다.

다르게 말하면, 직원들도 이 7가지 영역을 서로 구분되는 독립적인 개념으로 경험하고 있다는 것이다. 보안 정책에 대한 인식과 리더십에 대한 인식은 별개로 작동한다. 사용자 보안 관리에 대한 태도는 기술적 보호에 대한 태도와 구분된다. 이 구조적 독립성이 통계적으로 확인되었기 때문에 ISCA 를 활용한 진단 결과에서 차원별 점수 차이가 실질적 의미를 갖는다.

관찰: ISCF는 연구자의 이론적 구성물에 그치지 않고, 실제 직원들이 정보보안을 경험하는 방식을 정확하게 반영한다.

해석: 7개 차원이 통계적으로 독립된 요인으로 확인되었다는 것은, 특정 차원의 점수가 낮을 때 그 차원에 집중적인 개입이 실제로 효과를 낼 수 있음을 시사한다. 예컨대 변화 관리 차원 점수가 낮다면, 리더십 차원의 강화와는 별개로 변화 관리 전용 프로그램이 필요하다.

실무 시사점: 컨설팅 진단 보고서에서 7개 차원별 점수를 레이더 차트나 히트맵으로 시각화하면, 경영진이 어떤 영역에 투자가 집중되어야 하는지 직관적으로 파악할 수 있다.

B. 변화 관리 차원의 낮은 신뢰도: 가장 주목할 만한 발견

7개 요인 중 변화 관리(Factor 7)의 Cronbach 알파가 0.740으로 가장 낮은 이유는 논문에서 직접 분석되지 않는다. 그러나 이 결과에서 두 가지 해석이 가능하다.

- 변화 관리가 보안 문화의 다른 차원들에 비해 개념적으로 더 복잡하고 다면적이어서 4개 문항만으로 충분히 포착되지 않았을 가능성이 있다. 변화 관리는 기술 도입, 정책 변경, 조직 구조 재편 등 다양한 상황에서 작동하는 개념으로, 단일한 방향성을 갖기 어렵다.

- 변화 관리는 문항 수가 4개로 가장 적다. 일반적으로 문항 수가 적을수록 Cronbach 알파가 낮아지는 경향이 있다. 따라서 이 낮은 값이 개념 자체의 한계인지, 문항 수 부족의 문제인지는 추가 연구가 필요하다.

관찰: 변화 관리 차원은 이 연구에서 상대적으로 가장 취약하게 측정된 영역이다.

해석: 논문 저자들 스스로 결론 부분에서 탐색적 요인 분석(exploratory factor analysis)을 통해 문항을 다른 차원으로 재분류하거나 구조를 개선할 여지가 있다고 제안한다. 변화 관리 차원은 그 개선 여지가 가장 큰 영역이다.

실무 시사점: 보안 컨설팅에서 ISCA 를 활용할 때, 변화 관리 차원의 점수는 다른 차원에 비해 해석에 주의가 필요하다. 점수가 낮다면 측정 도구의 한계일 가능성도 함께 고려해야 한다.

C. 리더십 및 거버넌스 차원의 압도적 신뢰도: 보안 문화의 핵심 축

리더십 및 거버넌스 차원의 Cronbach 알파 0.946 은 7개 차원 중 가장 높다. 이는 이 차원에 속한 17개 문항이 매우 일관되게 동일한 개념을 측정하고 있음을 의미한다. 직원들이 조직의 보안 리더십과 거버넌스에 대해 가진 인식은 단일하고 명확한 방향성을 갖는다.

관찰: 직원들은 보안 리더십과 거버넌스를 가장 일관되고 명확하게 인식하는 영역으로 경험한다.

해석: 이는 Gashgari et al.(2017)의 보안 거버넌스 프레임워크 연구와 직접 연결된다. 거버넌스가 조직 내에서 가장 가시적이고 영향력 있는 보안 신호를 보내기 때문에, 직원들의 인식이 이 영역에서 가장 응집력 있게 형성된다는 해석이 가능하다. 반대로 말하면, 거버넌스 차원의 점수가 낮을 때 그 영향은 다른 차원 대비 조직 전반에 가장 광범위하게 파급될 수 있다.

실무 시사점: 보안 문화 개선에서 경영진의 가시적 헌신(visible commitment)이 가장 강력한 단일 레버임을 이 수치가 뒷받침한다. 컨설팅에서 경영진 설득을 최우선으로 삼아야 하는 근거다.

D. Company ABC 사례: 프레임워크 적용 방식

논문은 Company ABC의 가상 사례를 통해 ISCF 가 실제로 어떻게 작동하는지 구체적으로 보여준다. ABC는 업무 효율성 향상이라는 전략적 결정을 내리고, 이 단일 결정이 3개 행동 계층과 7개 구성요소 범주 전반에 걸쳐 연쇄적 영향을 미치는 과정을 논문은 표(Table 1)로 상세히 기술한다.

계층 영향받은 구성요소 결과적 보안 행동 보안 문화 표현
조직 전략, 위험 관리, 정책 · 절차, 모범 사례 위험 평가 수행, 정책 갱신 PDAs · USB 도입, 동적 · 혁신적 조직 이미지
집단 기술적 보호 · 운영, 프로그램 구성, 교육 · 훈련, 신뢰 무선 네트워크 구축, 직원 교육, 정책 서명 웹 기반 훈련, 재택근무 허용 가정
개인 인식 개인 보안 정책 준수(단일 연결, 강한 패스워드, Bluetooth 비감지 설정) 이메일 중심 소통, 개인 업무 효율 가정

관찰: 하나의 전략적 결정이 조직, 집단, 개인의 모든 계층에서 보안 문화 변화를 동시에 유발한다.

해석: 이것이 ISCF 가 단순한 체크리스트와 다른 이유다. 체크리스트는 현재 통제 항목의 존재 여부만 확인한다. ISCF 는 하나의 의사결정이 보안 문화 전체에 어떤 파급 경로로 영향을 미치는지 추적할 수 있는 인과적 지도를 제공한다.

실무 시사점: 고객사에서 디지털 전환, 재택근무 도입, 조직 개편 등 대규모 변화가 있을 때 ISCF 를 활용하면 그 변화가 보안 문화에 미치는 영향을 사전에 예측하고 관리할 수 있다.

4. 진단 결과의 보고 방식

논문은 SurveyTracker 를 사용하여 차원별 개발 필요 영역을 식별하고 개선 실행 계획을 포함한 보고서를 작성했음을 명시한다. 이 보고서는 경영진에게 제출되었고, 경영진은 해당 개발 영역을 이듬해 인식 제고 프로그램의 핵심 초점으로 채택했다.

이 흐름이 컨설팅 관점에서 중요한 이유는 진단 결과가 실제 조직 의사결정에 투입되었다는 점이다. 숫자로 된 진단 보고서가 아니라, 구체적 행동 계획으로 연결된 진단이었다.

5. 컨설팅 관점 인사이트

성공 사례:

이 연구가 잘 작동한 시나리오는 보안 기능이 이미 어느 정도 성숙한 조직이었다는 점이다. 전담 ISO와 팀, 연 1회 정책 서명, 입문 교육이 갖춰진 환경에서 ISCA 를 적용했기 때문에 직원들이 질문에 의미 있게 응답할 배경 지식을 가지고 있었다. 보안 기능이 전혀 없는 조직에서는 일부 문항이 무의미할 수 있다.

한계 사례:

단일 기관 실증이므로 진단 점수의 절대적 수준이 어느 정도가 좋은 것인지 판단할 외부 기준값(benchmark)이 없다. 차원별 상대 비교는 가능하지만, 같은 산업의 유사 기업과 점수를 비교하는 것은 이 연구만으로는 불가능하다.

고객 환경 적용 시 고려사항:

85개 문항 전수 설문이 현실적으로 부담되는 중소기업 고객사에는 단계적 접근이 필요하다.

- 1단계  :  7개 차원 각각에서 핵심 문항만 선별한 축약형 진단 실시
- 2단계  :  취약 차원이 식별되면 해당 차원의 전체 문항으로 심화 진단 수행

6. 개인 인사이트

통계가 확인해준 것의 의미:

GFI 0.9982 라는 수치 자체보다 이 수치가 의미하는 바가 더 중요하다. 보안 전문가들이 이론적으로 설계한 7개 범주가 실제 직원 1,085명의 인식 구조와 일치한다는 것은, 이 프레임워크가 보안을 경험하는 인간의 방식을 정확하게 반영한다는 뜻이다. 이것이 ISCF 를 단순한 컨설팅 방법론이 아닌 조직 진단의 이론적 근거로 삼을 수 있는 이유다.

변화 관리가 가장 취약하게 측정된 것의 함의:

Cronbach 알파 0.740 이라는 낮은 수치는 역설적으로 변화 관리가 보안 문화에서 가장 측정하기 어려운, 즉 가장 복잡한 영역임을 드러낸다. 보안 컨설팅에서 변화 관리가 가장 어렵고 가장 자주 실패하는 영역이라는 실무 경험과 이 수치는 일치한다. 도구가 포착하기 어렵다면, 실제 조직에서 관리하기도 가장 어렵다는 의미다.

다음 궁금증 ( Day 4 Preview ):

이 논문은 2010년 발표되어 현재까지 400회 이상 인용되었다. 이후 연구들은 ISCFISCA 의 어떤 한계를 극복하려 했는가? 그리고 보안 문화 연구가 지금은 어떤 방향으로 발전했는가?

References ( Day 3 추가 )

[1] Da Veiga, A., & Eloff, J.H.P. (2010). A framework and assessment instrument for information security culture. Computers & Security, 29(2), 196–207.

[2] Schermelleh-Engel, K., Moosbrugger, H., & Muller, H. (2003). Evaluating the fit of structural equation models. Methods of Psychological Research Online, 8(2), 23–74.

[3] Krejcie, R.V., & Daryle, M.W. (1970). Determining sample size for research activities. Educational and Psychological Measurement, 30, 607–610.

[4] Gashgari, G., Walters, R., & Wills, G. (2017). A proposed best-practice framework for information security governance. Proceedings of the 2nd International Conference on Internet of Things, Big Data and Security, 295–301.

보안컨설팅 / SecurityConsulting / InformationSecurityCulture / ISCF / ISCA / SEM / CronbachAlpha / AssessmentInstrument / PaperReview / SKShieldusRookies

Day 4 – Research Limitations and Scholarly Impact

(단일 기관 실증의 한계를 솔직히 인정하면서도, 분야 전체의 기준점이 된 논문)

1. 연구의 한계점

A. 단일 기관 · 단일 국가 맥락의 일반화 제약

문제:

이 연구의 실증은 남아프리카의 단일 감사 · 자문 기업(약 3,000명)에서만 수행되었다. 논문 자체가 이 한계를 명시적으로 인정하지는 않지만, 연구 설계 자체에서 이 제약은 분명하다. 검증에 참여한 5개 기업(금융, 소비재, 에너지 · 천연자원)도 모두 남아프리카 기업이었다.

영향:

ISCA 도구의 통계적 타당성은 남아프리카 조직 맥락에서 검증된 것이다. 위계적 조직문화가 강한 한국 기업 환경, 또는 개인주의 문화가 강한 북미 · 유럽 환경에 동일한 도구를 적용했을 때 동일한 GFI · AGFI 수치가 나온다는 보장이 없다. 조직문화 유형이 보안 통제의 효과를 조건화한다는 것이 ISCF 의 핵심 주장이므로, 국가 및 문화 맥락에 따른 도구 검증이 별도로 필요하다.

보완 방향:

동일한 ISCA 도구를 다국적 기업이나 여러 국가의 기업에 적용하여 문화권별 요인 구조 차이를 비교하는 후속 연구가 필요하다. Da Veiga 본인도 이후 연구에서 이 방향으로 연구를 확장했다.

B. 자기보고 설문의 내재적 편향

문제:

ISCA 는 직원이 자신의 태도, 인식, 행동을 스스로 보고하는 설문 방식이다. 사회적 바람직성 편향(social desirability bias)의 가능성이 존재한다. 직원들이 실제 행동과 무관하게 조직이 기대하는 방향으로 응답하거나, 보안 정책을 준수한다고 응답하면서 실제로는 그렇지 않을 수 있다.

영향:

측정된 보안 문화 수준이 실제보다 높게 나타날 가능성이 있다. 특히 리더십과 거버넌스 차원은 상사와 조직에 대한 평가를 포함하므로 익명성이 완전히 보장되지 않는 환경에서는 편향이 더 클 수 있다.

보완 방향:

논문 저자들이 결론에서 제안한 바와 같이, 자기보고 설문 결과를 실제 보안 사고 발생률, 정책 준수 로그 등 행동 데이터와 교차 검증하는 방법이 필요하다. 또한 익명성 보장 절차를 명확히 고지하여 응답 편향을 최소화해야 한다.

C. 변화 관리 차원의 측정 취약성

문제:

Day 3에서 확인했듯, 변화 관리 차원의 Cronbach 알파 가 0.740으로 7개 차원 중 가장 낮다. 이 차원을 측정하는 문항은 4개에 불과하다. 논문 자체는 이 낮은 수치의 원인을 분석하지 않는다.

영향:

변화 관리 차원의 진단 결과가 다른 6개 차원에 비해 측정 신뢰성이 낮다. 컨설팅에서 이 차원의 점수를 해석할 때 다른 차원과 동일한 수준의 신뢰를 부여하기 어렵다.

보완 방향:

논문 저자들이 결론에서 직접 제안한 탐색적 요인 분석(exploratory factor analysis)을 통해 변화 관리 관련 문항을 재분류하거나 추가 문항을 개발하는 것이 필요하다. 4개 문항으로 복잡한 변화 관리 개념을 포착하려 한 것 자체가 설계상 한계였을 가능성이 있다.

D. 단면적 연구 설계의 한계

문제:

이 연구는 특정 시점의 단면적(cross-sectional) 측정이다. 보안 문화는 시간의 흐름에 따라 변화한다는 것이 ISCF 의 핵심 전제 중 하나인데, 단일 시점 측정으로는 이 변화 과정을 포착할 수 없다.

영향:

진단 결과가 해당 시점의 스냅샷에 불과하다. 보안 인식 교육이나 정책 변경 후 보안 문화가 실제로 개선되었는지 추적하려면 동일 도구로 반복 측정이 필요하다.

보완 방향:

종단적(longitudinal) 연구 설계를 통해 동일 조직을 일정 간격으로 반복 측정하면 보안 문화 변화의 추이와 개입 효과를 실증할 수 있다. Da Veiga & Martins(2015)의 후속 연구가 이 방향으로 발전했다.

2. 후속 연구 동향

A. 학술적 영향력

학술적 임팩트:

- 발표  :  2010년 (온라인 선공개 2009년)
- 인용 수  :  Semantic Scholar 기준 400회 이상
- 위상  :  정보보안 문화 분야의 기준 논문(benchmark paper)으로 자리잡아, 이후 이 분야 연구의 대부분이 **ISCF** 또는 **ISCA** 를 참조하거나 비교 기준으로 삼는다.

B. 연구 트렌드의 변화

[ 이 논문 이전 (2010년 이전) ]

- 보안 문화를 조직문화의 하위 개념으로 부분적으로 다룸
- Schein 모델을 보안에 연결하는 시도는 있었으나 프레임워크 수준의 통합 없음
- 측정 도구가 없어 보안 문화는 정성적 논의에 머묾

    ↓

[ 이 논문 (2010년) ]

- 조직문화 · 조직행동 · 보안 통제를 통합한 단일 프레임워크( **ISCF** ) 제시
- 85개 문항 **ISCA** 도구로 보안 문화를 정량적으로 측정 가능하게 함
- **SEM** 과 **Cronbach 알파** 로 타당도 · 신뢰도 실증

    ↓

[ 이후 (2010년 ~ 현재) ]

- 다국적 · 다문화 맥락으로 **ISCA** 적용 범위 확장
- 사이버보안 문화(cybersecurity culture) 개념으로 확장
- 개인정보보호 문화(information protection culture) 통합
- 보안 문화와 다른 변수(리더십 행동, 준수 의도 등) 간 관계 실증 연구 급증

이 논문의 위치:

정보보안 문화 연구를 정성적 논의에서 정량적 측정 가능한 영역으로 전환시킨 전환점이다. ISCFISCA 는 이후 연구들이 수정하거나 확장하는 기준 구조가 되었다.

C. 주요 후속 연구 방향

방향 1 : 도구의 반복 검증 및 개선

Da Veiga & Martins(2015)는 동일한 ISCA 도구를 활용하여 특정 기업의 보안 문화 변화를 시간 경과에 따라 추적하고, 모니터링 및 개입 조치의 효과를 사례 연구로 보고했다. 이는 단면적 연구의 한계를 극복하고 종단적 적용 가능성을 보인 첫 사례다.

방향 2 : 개인정보보호 문화로의 확장

Da Veiga & Martins(2015b)는 ISCA 를 개인정보보호 원칙까지 포함하도록 확장하여 정보보호 문화(information protection culture) 평가 도구를 개발했다. GDPR 등 개인정보 규제가 강화되는 흐름에서 이 확장은 실무적으로 중요한 의미를 갖는다.

방향 3 : 사이버보안 문화로의 개념 확장

Von Solms & Von Solms(2018) 등의 연구는 사이버보안 문화(cybersecurity culture)를 정보보안 문화의 상위 또는 확장 개념으로 정립했다. 클라우드, IoT, 재택근무 환경에서 보안 문화의 경계가 조직 내부를 넘어 개인의 디지털 행동 전반으로 확장되어야 한다는 주장이다.

방향 4 : 리더십 행동과 보안 문화의 관계 실증

이후 연구들은 리더십 스타일이 직원의 보안 준수 행동에 미치는 영향을 실증했다. Da Veiga & Eloff(2010)가 리더십 및 거버넌스 차원을 프레임워크에 포함시킨 것이 이 연구 흐름의 토대가 되었다.

3. 실무 영향

A. 보안 인식 프로그램 설계 방식의 변화

이 논문 이전:

보안 인식 교육은 주로 연 1회 집합 교육이나 이메일 공지 형태로 운영되었다. 어떤 내용을 강조해야 하는지, 교육 효과가 있는지 측정하는 체계적 방법이 없었다.

이 논문 이후:

ISCA 를 활용하면 교육 전후 보안 문화 수준을 차원별로 비교할 수 있다. 이는 인식 교육의 효과를 수치로 증명하고, 다음 교육에서 어떤 차원을 집중적으로 다뤄야 하는지 데이터 기반으로 결정하는 방식을 가능하게 했다.

B. ISO 27001 및 규제 대응과의 연계

ISO 27001은 인적 보안 통제를 필수 요구사항으로 포함하지만, 그 이행 수준을 측정하는 구체적 방법을 규정하지 않는다. ISCA 는 이 공백을 채우는 도구로 활용될 수 있다. 특히 ISMS 인증 준비 과정에서 인적 보안 통제의 이행 근거 자료로 ISCA 결과를 제시하는 방식이 실무에서 채택되었다.

4. 컨설팅 관점 인사이트

한계를 이해한 컨설팅 전략:

단일 기관 실증이라는 한계를 알고 있을 때, 고객사에 ISCA 를 제안하는 방식이 달라진다. 도구를 그대로 적용하기보다 고객사의 조직문화 유형과 산업 맥락을 먼저 파악하고, 필요하다면 문항 일부를 고객사 맥락에 맞게 조정하는 방식이 현실적이다. 특히 변화 관리 차원은 문항을 보강하거나 별도 인터뷰로 보완하는 것이 바람직하다.

적용 가능 시나리오:

- 보안 인식 교육 전후 효과 측정이 필요한 대기업
- ISMS-P 또는 ISO 27001 인증 준비 과정에서 인적 보안 통제 이행 수준을 문서화해야 하는 기업
- 조직 합병 · 인수(M&A) 후 두 조직의 보안 문화 수준 차이를 진단해야 하는 경우
- 디지털 전환 프로젝트 착수 전 현재 보안 문화 기준값을 설정하려는 기업

적용 불가 시나리오:

- 직원 수가 수십 명 이하인 스타트업  :  85개 문항 설문이 현실적으로 부담스럽고 통계적 대표성 확보도 어렵다.
- 보안 기능 자체가 전무한 조직  :  **ISCA** 문항이 전제하는 최소한의 보안 구조(정책, ISO, 교육)가 없으면 문항 자체가 무의미해진다.

5. 개인 인사이트

한계 인정의 가치:

이 논문은 단일 기관 실증이라는 한계를 안고 있지만, 그 한계에도 불구하고 400회 이상 인용되는 기준 논문이 되었다. 완벽한 연구 설계보다 명확한 문제의식과 재현 가능한 도구가 더 오래 영향을 미친다는 교훈이 여기에 있다. 컨설팅 제안서도 마찬가지다. 완벽한 해결책을 제시하려 하기보다, 명확하게 측정 가능하고 반복 적용 가능한 방법론을 제시하는 것이 더 설득력 있다.

변화 관리가 가장 어렵다는 사실의 반복:

Cronbach 알파 0.740 은 변화 관리가 측정하기 가장 어려운 차원임을 보여주고, 한계 분석에서도 이 차원의 보완 필요성이 가장 크게 드러난다. 7개 차원 중 학술적으로도 가장 포착하기 어려운 개념이 실무에서도 가장 관리하기 어려운 영역이라는 일관성이 있다. 보안 컨설팅에서 변화 관리에 특별한 주의를 기울여야 한다는 것은 이론과 실증 모두가 지지하는 결론이다.

다음 궁금증 ( Day 5 Preview ):

8편의 논문을 모두 읽은 지금, 이 논문이 앞선 7편의 체계에서 어떤 역할을 하는지 종합적으로 정리할 수 있다. Day 5에서는 Da Veiga & Eloff(2010)가 보안 컨설팅 역량에 기여한 바를 8편 전체의 맥락에서 통합적으로 정리한다.

References ( Day 4 추가 )

[1] Da Veiga, A., & Eloff, J.H.P. (2010). A framework and assessment instrument for information security culture. Computers & Security, 29(2), 196–207.

[2] Da Veiga, A., & Martins, N. (2015). Improving the information security culture through monitoring and implementation actions illustrated through a case study. Computers & Security, 49, 162–176.

[3] Von Solms, R., & Von Solms, S.H. (2018). Cybersecurity and information security – what goes where? Information & Computer Security, 26(1), 2–9.

[4] Foorthuis, R., & Bos, R. (2011). A framework for organizational compliance management tactics. Journal of Information System Security, 7(2).

[5] Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance. MIS Quarterly, 34(3), 523–548.

보안컨설팅 / SecurityConsulting / InformationSecurityCulture / ISCF / ISCA / ResearchLimitations / ScholarlyImpact / CronbachAlpha / PaperReview / SKShieldusRookies