Neutralisaatiotekniikoiden hyödyntäminen osana organisaatioiden tietoturvatutkimusta

Abstract

Informaatioteknologian valtavirtaistumisen seurauksena yhä useammat organisaatiot toimialasta riippumatta hyödyntävät informaatioteknologiaa operatiivisessa ja strategisessa toiminnassaan. Hyötyjen ohella informaatioteknologian käyttö on tuottanut uusia tietoturvaan liittyviä uhkakuvia, joihin organisaatiot pyrkivät vastaamaan moniulotteisilla ratkaisuilla. Yksi merkittävimmistä tunnistetuista tietoturvauhista on työntekijöiden tietoturvaohjeistuksen vastainen toiminta, minkä seurauksena tärkeäksi kysymykseksi on noussut, miksi työntekijät poikkeavat ohjeista. Lupaavana tuoreena suuntauksena esiintyvät neutralisaatiotekniikat, jotka esittävät työntekijöiden neutralisoivan itselleen haitallisia ohjeistuksen vastaisesta toiminnasta aiheutuvia seurauksia. Tämä tutkielma tuottaa kuvailevan kirjallisuuskatsauksen neutralisaatiotekniikoita hyödyntäviin organisaatioiden tietoturvaa tutkiviin tutkimuksiin. Tutkielman avulla tuotetaan vastaus tutkimuskysymyksiin, jotka ovat miten neutralisaatiotekniikoita on hyödynnetty osana organisaatioiden tietoturvatutkimusta ja minkälaisia tuloksia tutkimukset ovat saavuttaneet koskien neutralisaatiotekniikoita. Tutkielman tulosten perusteella neutralisaatiotekniikoita hyödyntävät julkaisut jaetaan neljään aihepiiriin ja todetaan, että tutkimusten painopiste on muuttunut viimeisen kymmenen vuoden aikana. Lisäksi tutkielman tulosten perusteella todetaan, että neutralisaatiotekniikat tuottavat vahvaa tukea neutralisaatiotekniikoiden kriittiselle roolille osana tietoturvaa sekä neutralisaatiotekniikoiden olevan vahvasti olosuhderiippuvaisia, mikä aiheuttaa ongelmia yleistettävyydelle. Lopuksi tutkielma esittää aihepiirin osalta keskeisiä jatkotutkimuksen kohteita, jotka vaihtelevat kokonaisista tutkimussuuntauksista suoriin yksittäisiin tutkimuskohteisiin

Information technology has become a key component in strategic and operational functions across most market sectors. Alongside the benefits and perks information technology has also brought new threats regarding information security, which organization have tried to resolve with various solutions. A pivotal threat identified by experts is the human factor of cybersecurity and more specifically employee non-compliance towards internal information security policies. A promising line of research in understanding this phenomenon is the theory of neutralization techniques, which argues that employees are able to break organizational security policies by neutralizing the negative social consequences caused by their actions. This thesis provides a descriptive literature review regarding the use of neutralization techniques within organizational information security research. More specifically this thesis provides an answer to the following research questions, how have neutralization techniques been used in organizational information security research and what types of results have these studies generated regarding the techniques of neutralization. Based on the findings of this thesis existing research is divided into four groups based on their topic and findings show that the focus of these studies has shifted over the past decade. The findings also show that neutralization techniques are condition dependent, which cause problems in generalization and that existing research finds strong support for the importance of neutralization as a part of cybersecurity. Finally, this thesis presents recommendations on future research by offering broader future research areas and more specific individual research topics.