Towards an optimal self-assessment tool for information security investment decision-making

Abstract

Aikaisempi tutkimus keskittyi pääasiallisesti taloudellisiin malleihin, joiden tarkoituksena oli auttaa organisaatioita tunnistamaan kuinka paljon heidän tulisi sijoittaa tietoturvallisuuteen. Nämä mallit pyrkivät tuottojen maksimointiin ja keskittyivät tietoturvainvestointiprosessin tiettyihin osiin. Tästä johtuen, klassiset teoriat ja mallit ovat ongelmallisia tietoturvainvestointien päätösten teossa, jonka myötä tulisi omaksua kokonaisvaltaisempi lähestyminen tietoturvainvestointeihin.

Tietoturvallisuuden tutkimuskentältä puuttuu tutkimusta tietoturvallisuuden itsearviointityökalujen käytöstä tietoturvainvestointien päätöksenteossa. Tämä tutkimus pyrki täyttämään tämän aukon tutkimalla olemassa olevaa kirjallisuutta ja luomalla käsitteellisen tietoturvatyökalun mallin suunnittelutieteen prosessin kautta. Alustava malli luotiin olemassa olevaan kirjallisuuteen perus-tuen, jonka jälkeen empiirinen tapaustutkimus havainnollisti työkalua työelämän edustajille, ja työkalun kehittämistä tehtiin tapaustutkimuksen tulosten pohjalta. Tapaustutkimuksen tulokset olivat linjassa viimeisimpien tutkimusten kanssa ja ne auttoivat vahvistamaan käsitteellistä työkalumallia.

Kaiken kaikkiaan, tämä pro gradu-tutkielma myötävaikutti tietoturvallisuuden tutkimuskenttään luomalla käsitteellisen tietoturvallisuuden itsearviointityökalun mallin, joka auttaisi organisaatioita paremmin tunnistamaan mihin tietoturvallisuuden alueisiin heidän tulisi investoida. Empiirisesti perusteltu malli voi auttaa organisaatioita ja työkalujen kehittäjiä ymmärtämään minkälaisia työkaluja tarvitaan tietoturvallisuuden investoinneissa.

Previous research has focused mainly on economic models that aim to help organizations to identify how much to invest in information security. These models aimed for benefit maximization and focused on certain parts of information se-curity investment process. Thus, the classical theories and models are problematic in information security investment decision-making, and more holistic approach should be taken in information security investments.

Information security field lacks research on information security self-assessment tools in information security investment decision-making. This research attempted to fill this gap by studying the existing literature and creating a concep-tual information security tool model through design science research process. Preliminary conceptual tool model was developed based on literature study, after which empirical case study demonstrated the tool in working life, and refinement was conducted based on the case study findings. The results of the case study were in line with recent research and helped in the validation of the tool concept.

Overall, this master thesis contributed to information security research by providing a blueprint for an information security self-assessment tool that would help organization to better identify to what information security area(s) to invest. The empirically-grounded model can help organizations and tool developers to understand what kind of tools are needed in information security investments.