Impact of deterrence theory methods on employees' information security behavior

Abstract

Peloteteoria (Deterrence theory) on alun perin psykologiassa ja kriminologiassa käytetty termi, ja sen mukaan rangaistuksen pelko estää yksilöä toimimasta vastoin lakia ja sääntöjä. Digitalisoituvassa maailmassa on viimeisen kahdenkymmenen vuoden aikana tehty paljon tutkimusta, jossa peloteteoriaa on sovellettu tietojärjestelmien sekä tietoturvakäyttäytymisen kontekstiin. Tutkielma käsittelee käytössä olevia peloteteorian keinoja tässä kontekstissa sekä nii-den vaikutuksia työntekijöiden tietoturvakäyttäytymiseen.

Tutkielma on toteutettu kirjallisuuskatsauksena ja sen tarkoitus on määritellä peloteteorian käsitettä tietojärjestelmien ja tietoturvakäyttäytymisen kontekstissa sekä tutkia olemassa olevia keinoja ja niiden vaikutuksia. Tutkimuksen tuloksina voidaan todeta, ettei ole olemassa absoluuttista totuutta peloteteori-an keinojen vaikutuksista työntekijöiden käyttäytymiseen. Tämä johtuu siitä, että tuloksiin vaikuttavat myös esimerkiksi yksilön ominaisuudet, toimintaympäristö ja kulttuuri. Peloteteoria on edelleen tutkituimpia teorioita työntekijöiden tietoturvakäyttäytymisen kontekstissa, ja aiheen tutkimus jatkuu varmasti myös tulevaisuudessa.

Deterrence theory is originally a term used in psychology and criminology. According to the theory sanction fear prevents individuals from committing illicit acts against the rules. As the corporate world digitalizes, there has been a lot of research on the topic in the context of information systems and security policy compliance in the last 20 years. This study examines the deterrence theory methods and their impacts in employees’ information security behavior.

This study is implemented as a literary review and its purpose is to define de-terrence theory in the context of information systems and information security compliance as well as study the existing methods and their impacts on employee behavior. The results of the study suggest that there is no absolute truth about the impacts of the deterrence theory methods in the information security behavior of the employees. This is because there are other variables that influence the results, such as qualities of the employees, working environment and culture. Deterrence theory is one of the most-used theories in the context of information security behavior, and research on the topic will surely continue in the future.