Towards an optimal self-assessment tool for information security investment decision-making
Aikaisempi tutkimus keskittyi pääasiallisesti taloudellisiin malleihin, joiden tarkoituksena oli auttaa organisaatioita tunnistamaan kuinka paljon heidän tulisi sijoittaa tietoturvallisuuteen. Nämä mallit pyrkivät tuottojen maksimointiin ja keskittyivät tietoturvainvestointiprosessin tiettyihin osiin. Tästä johtuen, klassiset teoriat ja mallit ovat ongelmallisia tietoturvainvestointien päätösten teossa, jonka myötä tulisi omaksua kokonaisvaltaisempi lähestyminen tietoturvainvestointeihin.
Tietoturvallisuuden tutkimuskentältä puuttuu tutkimusta tietoturvallisuuden itsearviointityökalujen käytöstä tietoturvainvestointien päätöksenteossa. Tämä tutkimus pyrki täyttämään tämän aukon tutkimalla olemassa olevaa kirjallisuutta ja luomalla käsitteellisen tietoturvatyökalun mallin suunnittelutieteen prosessin kautta. Alustava malli luotiin olemassa olevaan kirjallisuuteen perus-tuen, jonka jälkeen empiirinen tapaustutkimus havainnollisti työkalua työelämän edustajille, ja työkalun kehittämistä tehtiin tapaustutkimuksen tulosten pohjalta. Tapaustutkimuksen tulokset olivat linjassa viimeisimpien tutkimusten kanssa ja ne auttoivat vahvistamaan käsitteellistä työkalumallia.
Kaiken kaikkiaan, tämä pro gradu-tutkielma myötävaikutti tietoturvallisuuden tutkimuskenttään luomalla käsitteellisen tietoturvallisuuden itsearviointityökalun mallin, joka auttaisi organisaatioita paremmin tunnistamaan mihin tietoturvallisuuden alueisiin heidän tulisi investoida. Empiirisesti perusteltu malli voi auttaa organisaatioita ja työkalujen kehittäjiä ymmärtämään minkälaisia työkaluja tarvitaan tietoturvallisuuden investoinneissa.
...
Previous research has focused mainly on economic models that aim to help organizations to identify how much to invest in information security. These models aimed for benefit maximization and focused on certain parts of information se-curity investment process. Thus, the classical theories and models are problematic in information security investment decision-making, and more holistic approach should be taken in information security investments.
Information security field lacks research on information security self-assessment tools in information security investment decision-making. This research attempted to fill this gap by studying the existing literature and creating a concep-tual information security tool model through design science research process. Preliminary conceptual tool model was developed based on literature study, after which empirical case study demonstrated the tool in working life, and refinement was conducted based on the case study findings. The results of the case study were in line with recent research and helped in the validation of the tool concept.
Overall, this master thesis contributed to information security research by providing a blueprint for an information security self-assessment tool that would help organization to better identify to what information security area(s) to invest. The empirically-grounded model can help organizations and tool developers to understand what kind of tools are needed in information security investments.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29740]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Case study of why information security investment fail?
Toivanen, Hanna (2015)Tämä tutkielma keskittyy tietoturvainvestointien päätöksentekoprosessiin. Ta- voitteena on tutkia miksi tietoturvainvestointipäätös hylätään. Tutkimuksen teoreettinen tausta perustuu aiemmin suoritettuun tutkimukseen, mikä ... -
To Calculate or To Follow Others : How Do Information Security Managers Make Investment Decisions?
Shao, Xiuyan; Siponen, Mikko; Pahnila, Seppo (University of Hawai'i at Manoa, 2019)Economic models of information security investment suggest estimating cost and benefit to make an information security investment decision. However, the intangible nature of information security investment prevents ... -
Effects of contextual variables on strategic investment decision-making styles : An empirical study from Pakistan
Imran, Sehar; Rautiainen, Antti (Elsevier BV, 2022)There is a gap in the literature of strategic investment decision making (SIDM) concerning the links between context variables, infrastructure and SIDM practices (or SIDM styles) in developing countries. This research aims ... -
The determinants affecting on the investment proposals adoption
Hirvonen, Pauliina (2016)Tietoturvallisuuden tutkimuksessa ei ole kyetty tunnistamaan tekijöitä, jotka vaikuttavat tietoturvallisuusaloitteiden onnistumiseen. Teoreettinen tutkimus lähestyy haastetta tarkastelemalla olemassa olevia tietotekniikan ... -
Beyond economic and financial analyses : A revelatory study of IT security investment decision-making process
Kohli, Rajiv; Sarker, Suprateek; Siponen, Mikko; Karjalainen, Mari (Association for Information Systems, 2022)Information Technology (IT) security breaches and the extent of damage they may cause to an organization are inherently uncertain. Therefore, managers’ decisions about whether to make IT security investment (ITSI) and how ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.