Tietoturvainvestointien ymmärtäminen organisaatioissa

Väitöstilaisuuden tiedot

Väitöstilaisuuden päivämäärä ja aika

Väitöstilaisuuden paikka

Linnanmaa, OP-sali (L 10)

Väitöksen aihe

Tietoturvainvestointien ymmärtäminen organisaatioissa

Väittelijä

Master of Economics Xiuyan Shao

Tiedekunta ja yksikkö

Oulun yliopiston tutkijakoulu, Tieto- ja sähkötekniikan tiedekunta, tietojenkäsittelytieteiden laitos

Oppiaine

Tietoturvallisuus

Vastaväittäjä

Professori Dennis F. Galletta, University of Pittsburgh, USA

Kustos

Professori Mikko Siponen, Jyväskylän yliopisto

Lisää tapahtuma kalenteriin

Tietoturvainvestointien ymmärtäminen organisaatioissa

Jatkuvasti lisääntyvät tietoturvaloukkaukset edellyttävät investointeja tietoturvatekniikoihin/käytänteisiin tai henkilöstöön. Aikaisempi tietoturvainvestointitutkimus on kehittänyt neoklassiseen taloustieteeseen perustuvia taloudellisia malleja tietoturvainvestointien määrän arvioimiseksi. Nämä mallit olettavat, että tietoturvainvestointien tavoitteena on ainoastaan hyötyjen maksimointi ja että kaikki toimijat ovat täydellisen tiedon pohjalta toimivia, puolueettomia ja rationaalisia.

Väitöskirjassa esitetään, että aikaisemmat tietoturvainvestointimallit ovat puutteellisia kahdesta syystä. Yhtäältä hyödyn maksimointi ei sovellu hyvin tietoturvainvestointien tavoitteeksi, koska sen hyötyjä ja kustannuksia ei voida luotettavasti laskea. Toisaalta päätöksentekijät eivät ole puolueettomia rationaalisia toimijoita, koska heillä ei ole käytettävissään tarpeeksi tietoa tietoturvainvestointipäätösten tekemiseksi.

Nämä asiat huomioidaan tässä väitöskirjassa kehittämällä käyttäytymistaloustieteeseen perustuva tietoturvainvestointien viitekehys. Viitekehys esittää uusia olettamuksia tietoturvainvestointeja tekevistä päätöksentekijöistä ja tietoturvainvestointien kontekstuaalisesta luonteesta.

Väitöskirjassa havainnollistetaan kehitetyn viitekehyksen soveltamista tietojärjestelmätieteen tutkimuksessa tarkastelemalla tietoturvainvestointeihin liittyvää päätöksentekoa maineeseen perustuvan laumateorian (reputational herding theory) pohjalta laaditun teoreettisen mallin näkökulmasta. Kenttätutkimuksessa mallin testaamiseksi empiirisesti laadittiin kysely, johon vastasi 88 tietoturva-asiantuntijaa Suomessa. Kenttätutkimuksen tulokset sekä vastasivat uutta viitekehystä että toivat esiin useita tietoturvainvestointeja vahvasti ennustavia motiiveja.

Väitöskirjassa kehitetyn viitekehyksen olettamuksia testattiin myös toisentyyppisessä tutkimusasetelmassa: digitaalisten hyödykkeiden luvaton lataaminen. Tähän tutkimukseen osallistui 220 vastaajaa, ja löydökset osoittavat esitettyjen olettamusten olevan hyödynnettävissä myös tässä uudessa tutkimusasetelmassa.

Kaiken kaikkiaan tämän väitöskirjan kontribuutio tietojärjestelmätieteelle on sen tarjoama viitekehys, joka lisää ymmärrystä siitä, kuinka tietoturvapäälliköt tekevät tietoturvainvestointeihin liittyviä päätöksiä. Väitöskirja esittää myös empiiriseen tutkimukseen pohjautuvia käytännön implikaatioita tietoturvainvestointien laadun parantamiseksi.
Viimeksi päivitetty: 23.1.2024