Understanding information systems (IS) security investments in organizations

Shao, X. (Xiuyan)

01 September 2015

Abstract Increasing information systems (IS) security breaches require investments in terms of IS security techniques/practices or personnel. Prior research on IS security investment has provided economic models based on neoclassical economics to assess how much to invest in IS security. These models assume that the goal of IS security investment is only benefit maximization, and that all of the actors involved are unbiased rational actors with complete information. It is argued in this thesis that these prior models for IS security investment are flawed for two reasons. First, benefit maximization is not an appropriate goal for IS security investment, because the benefits and costs of IS security investment cannot be reliably calculated. Second, decision makers are not unbiased rational actors, because they do not have enough information to make IS security investment decisions. To address these concerns, this thesis outlines a framework for IS security investment, which is based on behavioral economics. This framework makes new assumptions about IS security investment decision makers, and redefines the contextual nature of IS security investment. As an example of how to operationalize this framework in IS research, this thesis examines IS security investment decision-making by using a theoretical model drawn from reputational herding theory. A field study for empirical testing of the model was conducted, which involved surveying 88 information security experts in Finland. The results of the field study not only confirm the new framework, but also identify several motives that strongly predict IS security investment. In this thesis the assumptions proposed for the framework have also been also tested in a different research setting: the unauthorized uploading behavior of digital goods. This study involves 220 respondents, and the findings suggest that the proposed assumptions for the framework are also applicable in that new research setting. Overall, this doctoral thesis contributes to IS research by providing a framework to increase the overall understanding of how IS security managers make decisions with regard to IS security investment; moreover, this thesis presents empirically-grounded implications for how practitioners can improve the quality of their IS security investments. / Tiivistelmä Jatkuvasti lisääntyvät tietoturvaloukkaukset edellyttävät investointeja tietoturvatekniikoihin/käytänteisiin tai henkilöstöön. Aikaisempi tietoturvainvestointitutkimus on kehittänyt neoklassiseen taloustieteeseen perustuvia taloudellisia malleja tietoturvainvestointien määrän arvioimiseksi. Nämä mallit olettavat, että tietoturvainvestointien tavoitteena on ainoastaan hyötyjen maksimointi ja että kaikki toimijat ovat täydellisen tiedon pohjalta toimivia, puolueettomia ja rationaalisia. Tässä väitöskirjassa esitetään, että aikaisemmat tietoturvainvestointimallit ovat puutteellisia kahdesta syystä. Yhtäältä hyödyn maksimointi ei sovellu hyvin tietoturvainvestointien tavoitteeksi, koska sen hyötyjä ja kustannuksia ei voida luotettavasti laskea. Toisaalta päätöksentekijät eivät ole puolueettomia rationaalisia toimijoita, koska heillä ei ole käytettävissään tarpeeksi tietoa tietoturvainvestointipäätösten tekemiseksi. Nämä asiat huomioidaan tässä väitöskirjassa kehittämällä käyttäytymistaloustieteeseen perustuva tietoturvainvestointien viitekehys. Viitekehys esittää uusia olettamuksia tietoturvainvestointeja tekevistä päätöksentekijöistä ja tietoturvainvestointien kontekstuaalisesta luonteesta Väitöskirjassa havainnollistetaan kehitetyn viitekehyksen soveltamisesta tietojärjestelmätieteen tutkimuksessa tarkastelemalla tietoturvainvestointeihin liittyvää päätöksentekoa maineeseen perustuvan laumateorian (reputational herding theory) pohjalta laaditun teoreettisen mallin näkökulmasta. Kenttätutkimuksessa mallin testaamiseksi empiirisesti laadittiin kysely, johon vastasi 88 tietoturva-asiantuntijaa Suomessa. Kenttätutkimuksen tulokset sekä vastasivat uutta viitekehystä että toivat esiin useita tietoturvainvestointeja vahvasti ennustavia motiiveja. Väitöskirjassa kehitetyn viitekehyksen olettamuksia testattiin myös toisentyyppisessä tutkimusasetelmassa: digitaalisten hyödykkeiden luvaton lataaminen. Tähän tutkimukseen osallistui 220 vastaajaa, ja löydökset osoittavat esitettyjen olettamusten olevan hyödynnettävissä myös tässä uudessa tutkimusasetelmassa. Kaiken kaikkiaan tämän väitöskirjan kontribuutio tietojärjestelmätieteelle on sen tarjoama viitekehys, joka lisää ymmärrystä siitä, kuinka tietoturvapäälliköt tekevät tietoturvainvestointeihin liittyviä päätöksiä. Väitöskirja esittää myös empiiriseen tutkimukseen pohjautuvia käytännön implikaatioita tietoturvainvestointien laadun parantamiseksi.

IS security

IS security investment

empirical test

new assumption of decision maker

Tietoturva

empiirinen testaus

tietoturvainvestoinnin piirteet

tietoturvainvestointi