Please use this identifier to cite or link to this item: http://dx.doi.org/10.14279/depositonce-2221
Main Title: Information Security Inside Organizations - A Positive Model and Some Normative Arguments Based on New Institutional Economics
Translated Title: Informationssicherheit in Organisationen - Ein positives Modell und einige normative Argumente auf Basis der Neuen Institutionenökonomik
Author(s): Pallas, Frank
Advisor(s): Lutterbeck, Bernd
Granting Institution: Technische Universität Berlin, Fakultät IV - Elektrotechnik und Informatik
Type: Doctoral Thesis
Language: English
Language Code: en
Abstract: Die Arbeit entwickelt ein abstraktes, theoriebasiertes Verständnis organisationsinterner Informationssicherheit. Hierzu wird etabliertes Wissen aus dem Gebiet der Informationssicherheit auf Basis zweier unterschiedlicher Dimensionen restrukturiert: Die historische Dimension unterscheidet drei "Epochen" und setzt diese in Relation zu zeitgleichen Paradigmenwechseln der Computernutzung. Das "Sicherheitsdreieck" charakterisiert drei unterschiedliche "Meta-Instrumente" der Informationssicherheit und hebt die Existenz eines übergeordneten regulato­rischen Rahmens hervor. Zudem basiert die Arbeit auf Prinzipien der Neuen Institutionenökonomik. Insbesondere werden Informationsasymmetrien, Transaktionskosten und Prinzipal-Agenten-Beziehungen sowie deren Relevanz für die Realisierung von Kooperation betrachtet. Kooperation wird dabei als das Zusammenspiel von Koordination und Motivation modelliert. Auf Basis dieser theoretischen Grundlagen wird daraufhin ein ökonomisch geprägtes, positives Modell der Informationssicherheit in Organisationen entwickelt. Das Modell liefert abstrakte und theoretisch fundierte Erklärungen für die in der Vergangenheit aufgetretenen Wechsel vorherrschender Vorgehensweisen der Informationssicherheit. Neben diesem erklärenden Aspekt wird das Modell zudem prospektiv angewendet. Derzeitige technologische Entwicklungen werden voraussichtlich zu zunehmend "verflochtenen" informationstechnischen Strukturen und somit zu einem weiteren Paradigmenwechsel der Computernutzung führen. Die Anwendung des positiven Modells legt nahe, dass sich derzeit etablierte Vorgehensweisen wie Verhaltensrichtlinien oder üblicherweise mit dem Begriff "Sicherheitskultur" verbundene Maßnahmen zunehmend als ineffizient und damit unangemessen erweisen werden. Organisationen müssen daher entweder alternative Ansätze nutzen oder bestehende Vorgehensweisen anpassen. Hierzu existieren bereits diverse Vorschläge, von denen einige auf Basis des ökonomisch geprägten, positiven Modells untersucht werden. Diese Analyse führt zu wohlfundierten Empfeh­lungen, welche Vorgehensweisen unter welchen Rahmenbedingungen angewendet werden sollten. Zudem unterstützt das ökonomische Verständnis die Entwicklung neuer, bislang noch nicht diskutierter Ansätze. Schlussendlich wird auch die zukünftige Rolle des regulatorischen Rahmens beleuchtet. Auch dieser bedarf der Anpassung an die zu erwartenden, veränderten Rahmen­be­dingungen um zu verhindern, dass Organisationen allein aus Compliance-Gründen zur Anwen­dung hochgradig ineffizienter Vorgehensweisen gezwungen werden. Insgesamt liefert das entwickelte positive Modell damit Erklärungen für beobachtete Phänomene der organisationsinternen Informationssicherheit, ermöglicht wohlfundierte Vorher­sagen zu erwartbaren zukünftigen Entwicklungen und führt zu normativen Aussagen zu notwen­digen Änderungen etablierter Ansätze und Vorgehensweisen. Es kann sich damit für zukünftige Forschungen in vielerlei Hinsicht als nützlich erweisen.
This work develops an abstract, theory-founded understanding of organization-internal infor­mation security. For this purpose, established knowledge from the field of information security is restructured on the basis of two different dimensions: The historical dimension distinguishes three "eras" of information security and relates them to concurrent changes of prevailing computing paradigms. The "security triangle" identifies and characterizes three different "meta-measures" for realizing information security inside organizations and highlights the existence of a higher-level regulatory framework. Additionally, the work is based on principles from the field of New Institutional Economics. In particular, the concepts of information asymmetries, transaction costs and principal-agent relations are explicated as well as their relevance to the establishment of cooperation among individuals. Cooperation is in turn modeled as consisting of the two partial problems of coordination and motivation. These theoretical foundations are then merged into an economically inspired positive model of information security inside organizations. The model provides abstract and theory-founded explanations for the changes of prevailing information security practices that happened in the past. Besides this explanatory use, the positive model is also applied in a prospective manner. Current technological developments will presumably lead to increasingly "interwoven" compu­ting structures and thus to another change of the prevailing computing paradigm. The application of the model to the changed givens suggests that now-established practices like behavioral guidelines or those means usually associated with the term "security culture" will prove inefficient and thus inadequate in the future. Organizations will therefore have to use alternative approaches or to modify existing ones for realizing information security under the changed circumstances. Various possibilities for doing so have been suggested in the past. Some of these are evaluated on the basis of the economically inspired, positive model. This analysis leads to well-founded suggestions which of the approaches should be applied under what conditions. Furthermore, the economic understanding also supports the development of new approaches that have so far not been thought of. As a final aspect, the future role of the higher-level regulatory framework is illuminated. It is shown that this framework will have to be adopted to the upcoming changes in order to protect organizations from being forced to apply highly inefficient practices for compliance reasons alone. Overall, the positive model developed in this work provides explanations for what can be observed in the field of organization-internal information security, allows for well-founded predictions about what can be expected for the future and leads to normative arguments regarding necessary changes of established approaches and practices. It might therefore prove valuable for future research in a multitude of ways.
URI: urn:nbn:de:kobv:83-opus-23207
http://depositonce.tu-berlin.de/handle/11303/2518
http://dx.doi.org/10.14279/depositonce-2221
Exam Date: 9-Jul-2009
Issue Date: 5-Aug-2009
Date Available: 5-Aug-2009
DDC Class: 004 Datenverarbeitung; Informatik
Subject(s): Informationssicherheit
Ökonomik
Organisationstheorie
Sicherheitsmanagement
Economics
Information Security
Organizational Science
Security Management
Creative Commons License: https://creativecommons.org/licenses/by-nc-nd/2.0/
Appears in Collections:Technische Universität Berlin » Fakultäten & Zentralinstitute » Fakultät 4 Elektrotechnik und Informatik » Institut für Wirtschaftsinformatik und Quantitative Methoden » Publications

Files in This Item:
File Description SizeFormat 
Dokument_9.pdf2.52 MBAdobe PDFThumbnail
View/Open


Items in DepositOnce are protected by copyright, with all rights reserved, unless otherwise indicated.