Case study of why information security investment fail?

Abstract

Tämä tutkielma keskittyy tietoturvainvestointien päätöksentekoprosessiin. Ta- voitteena on tutkia miksi tietoturvainvestointipäätös hylätään. Tutkimuksen teoreettinen tausta perustuu aiemmin suoritettuun tutkimukseen, mikä on pää- osin käsitellyt tietoturvainvestointeja joko optimaalisen investointitason näkö- kulmasta, tai tehokkaan investointitason näkökulmasta. Aiempi tutkimus ei ole käsitellyt tietoturvainvestointeja epäonnistuneen päätöksenteon näkökulmasta, eikä siten voi esittää perusteluita päätöksenteolle. Tämän tutkielman tuloksena esitetään teoreettisia väittämiä, jotka tarjoavat mahdollisia vastauksia tutki- muskysymykseen. Tämä tutkimus täydentää osaltaan akateemista kirjallisuutta, ja tarjoaa käytännön tietoa organisaatioille tietoturvainvestointien päätöksente- koprosessiin vaikuttavista tekijöistä. Tutkimuksessa käytettiin tutkimusstrategiaa, missä uutta teoriaa luodaan case-tutkimuksen pohjalta. Tutkimus toteutettiin kvalitatiivisena case- tutkimuksena, jossa oli mukana neljä eri case-yritystä. Empiirinen osuus toteu- tettiin avoimina haastatteluina, joiden tulokset analysoitiin hyödyntäen induk- tiivista sisällönanalyysia. Tutkimustuloksia analysoitiin edelleen taso-teoria mallin avulla. Tämän tutkimuksen löydökset osoittavat, että haasteet tietoturvainves- tointien suhteen ovat moninaiset. Tämä tutkielma määritteli kolme teoreettisista väittämää ja niihin liittyvät ala-väittämät. Määriteltyjen teoreettisten väittämien mukaan tietoturvainvestointihankkeen hylkääminen liittyy organisaation me- todeihin ja kyvykkyyksiin määritellä ja perustella investointihankkeita, sekä johdon tietotaidon tasoon tietoturvaan liittyen. Myös organisaation tapa toimia, organisaation kulttuuri sekä asenne tietoturvaan liittyen vaikuttavat päätöksen- tekoprosessiin, kuten myös johdon sitoutuminen ja tuki, sekä poliittiset tekijät.

This thesis focuses on information security investment decision making process, and the object is to investigate why decisions fail. The theoretical background of the research consist of previous research, which are mainly conducted from the optimal information security investment, and the efficiency of information se- curity investment perspectives. Previous research have not addressed the prob- lem why information security investment decisions fail, and thus cannot ex- plain the reasoning. A key outcome of the thesis is to provide theory proposi- tions which offers a feasible answer to the research question. This research fills the research gap in the academic literature, and provides guidance to organiza- tions about affecting drivers in the field of information security investment management. This research utilized a research strategy where theory is built from case studies, including four case companies. The study material was gathered with open interviews, and material was analyzed with the inductive content analysis method. Analyzed material was further processed with stage model. This study findings indicated, that the challenge of information security investment management is multilateral. This thesis defined theory propositions and related sub-propositions. According to the defined theory propositions the likelihood of getting the information security investment proposal rejected re- lates to organizations’ methods and capabilities to define and argue an invest- ment proposal, and to sufficient level of knowledge about information security in management level. The organizational way of working and organizational culture and attitude affect to decision making, as well as the management commitment and support, and political aspects.