Please use this identifier to cite or link to this item: http://dx.doi.org/10.14279/depositonce-2285
Main Title: Culture and Information Security - Outsourcing IT Services in China
Translated Title: Kultur und Informationssicherheit - Outsourcing IT Services in China
Author(s): Glaser, Timo
Advisor(s): Lutterbeck, Bernd
Granting Institution: Technische Universität Berlin, Fakultät IV - Elektrotechnik und Informatik
Type: Doctoral Thesis
Language: English
Language Code: en
Abstract: Sinkende Kommunikationskosten ermöglichen die Dezentralisierung von Gesellschaftsstrukturen, Unternehmen und Informations- und Kommunikationssystemen. Zwei Folgen dieser Entwicklung sind mobile Mitarbeiter und die Auslagerung von Geschäftsprozessen. Aufgrund dieser fundamentalen Veränderungen in der Arbeitswelt sind klassische Sicherheitskonzepte nicht mehr ausreichend. Der Einfluss des Verhaltens der Mitarbeiter auf die Informationssicherheit in Unternehmen muss ausreichend verstanden und adressiert werden. Telearbeit und Outsourcing führen zu wachsenden Informationsasymmetrien zwischen Managern und ihren Mitarbeitern sowie Firmen und ihren Dienstleistern. Diese Asymmetrien können durch die Analyse des menschlichen Verhaltens verringert werden. In den letzten Jahren hat die Integration von geisteswissenschaftlichen Konzepten in die Sicherheitsforschung diesen Denkprozess angestoßen. Ökonomie und Psychologie sind zwei Forschungsrichtungen, welche Wissenschaftler in diesem Zusammenhang eingeschlagen haben. Im Rahmen der Globalisierung haben sich viele Unternehmen jedoch zu multinationalen Konzernen entwickelt. Outsourcing von Produktion und Dienstleistungen findet längst auf internationaler Ebene statt. Aus diesen Gründen wird ein tiefgreifendes Verständnis unterschiedlicher kultureller Charakteristika immer bedeutender. Nur mit diesem Hintergrundwissen kann der Einfluss von Kultur auf Informationssicherheit analysiert und somit die Informationsasymmetrie reduziert werden. Am deutlichsten werden die Probleme der Informationsasymmetrie, wenn man den chinesischen Outsourcingmarkt betrachtet. Manager haben Angst ihre IT-Services innerhalb bzw. nach China auszulagern. Sie stehen vor dem Problem die Intention und Qualität chinesischer Outsourcingdienstleister bewerten zu müssen. Darüber hinaus fürchten sie instabile Rahmenbedingungen und die unbekannte Kultur. Durch empirische Forschung habe ich analysiert ob diese Befürchtungen gerechtfertigt sind. Ich betrachte die Rahmenfaktoren für Outsourcing in China und untersuche darüber hinaus den Einfluss nationaler Kulturen auf Informationssicherheit. Hierfür adaptiere ich kulturwissenschaftliche Methoden und Konzepte und wende sie auf Probleme der Informationssicherheit an. Ich nutze Geert Hofstedes Kulturdimensionen, um nationale Kulturen zu vergleichen und ihren Einfluss auf die Informationssicherheit zu bewerten. Darüber hinaus evaluiere ich auf Basis von Edward T. Halls Arbeit über interkulturelle Kommunikation inwiefern kulturelle Unterschiede Outsourcingvorhaben gefährden. Meine Betrachtung der chinesischen Rahmenbedingungen ist nicht auf den Outsourcingmarkt beschränkt, sondern umfasst viele Aspekte die für jeden Geschäftstreibenden in China von Bedeutung sind. Die Erkenntnisse bezüglich der Zusammenhänge zwischen nationalen Kulturen und Sicherheitsrisiken gehen nicht nur über das Thema Outsourcing hinaus, sondern lassen sich auch auf andere Nationen und Kulturkreise übertragen. Die Analyse dieser Zusammenhänge dient der Verbesserung des Verständnisses des Faktors Mensch in der Informationssicherheit. Die Betrachtungen offenbaren wertvolle Erkenntnisse, die notwendig sind, um sich umfassender gegen Sicherheitsrisiken zu schützen. Die Analyse des menschlichen Verhaltens zur Verbesserung der Informationssicherheit wird meines Erachtens in den nächsten ein bis zwei Jahrzehnten verfolgt werden. Langfristig muss jedoch ein fundamentales Umdenken in der Sicherheitsforschung und -praxis stattfinden. Sicherheitsstrategien müssen aufgrund der Dezentralisierung von Gesellschaftsstrukturen, Unternehmen und Informations- und Kommunikationssystemen angepasst werden. Die verstärkte Aggregation von Informationen wird Entscheidern in den nächsten Jahren helfen ein klareres Bild der Zusammenhänge zu erlangen. Ein umfänglicheres Wissen wird sie in die Lage versetzen die Systeme besser zu regulieren. Genau wie bei politischen und ökonomischen Systemen ist es jedoch auch Sicherheitsmanagern nicht möglich eine unbegrenzte Menge an Informationen aufzunehmen und zu verarbeiten. Dies wäre für die Regulation hochgradig dezentralisierter Systeme notwendig. Auf lange Sicht sollten wir einen Marktmechanismus in der Informationssicherheit etablieren, welcher eine Regulation in Form von Adam Smiths unsichtbarer Hand ermöglicht. Bis dieser Mechanismus gefunden und etabliert ist, wird die vorliegende Arbeit ein wichtiges zusätzliches Element für die Arbeit von Sicherheits- und Risikomanagern darstellen.
With the rapid decline of communication costs, a decentralization of societies, businesses and information systems is taking place. Teleworking and outsourcing are two outcomes of this development. Due to this fundamental system transformation, traditional security concepts based on technical and organizational measures are not sufficient anymore. The human factor plays an increasingly important role. The influence of human behavior on information security needs to be properly addressed. Teleworking and outsourcing lead to growing information asymmetries between managers and their employees as well as companies and their outsourcing providers. This gap can be reduced by analyzing human behavior. Recently, the integration of concepts from social sciences has started this thinking process. Economics and psychology are two research branches that are followed by security researchers. However, as a result of globalization, many corporations have become multicultural and outsourcing takes place on a global scale. Therefore, a profound understanding of cultural characteristics and the impact of culture on information security is crucial for bridging the information gap. In the Chinese outsourcing market, this information gap is most evident. Managers are afraid of outsourcing their IT services within or even to China. They face the obstacle to judge the intention and quality of Chinese outsourcing providers. Furthermore, they are worried about the unstable environment and unknown cultural characteristics. By conducting research in the Chinese outsourcing and security industry, I have scrutinized whether this fear is justified. In this thesis, I thoroughly examine the Chinese outsourcing environment and analyze the impact of culture on information security. Therefore, I apply concepts from the discipline of cultural studies to security problems. I use Geert Hofstede’s cultural dimensions to compare national cultures and to analyze their impact on information security. Moreover, I build on Edward T. Hall’s work on intercultural communication to evaluate how cultural differences can endanger outsourcing deals. My observations of the Chinese environment are not limited to the outsourcing market. They include many insights that are relevant to anyone doing business in China. The findings on the impact of culture on information security are even more generic and independent of the country. They enhance our understanding of the human factor in information security. These observations reveal valuable insights that are necessary for managing security risks. Analyzing human behavior in order to manage security risks is an approach that can directly be applied and will be followed in the next one or two decades. In the long run, information security needs a fundamental change. As societies, businesses and information systems have transformed from isolated entities to hierarchical structures to decentralized systems, information security strategies eventually need to make this last step as well. Gathering more and more information will help decision makers to obtain a clearer picture. With more knowledge, they become able to better regulate the system. However, as with political and economic systems, security managers cannot gather an infinite amount of information, which would be necessary to regulate highly decentralized systems. Eventually, we need a market mechanism in information security that regulates in form of Adam Smith’s invisible hand. Until then, my thesis adds an important jigsaw piece to the analytical toolbox of security and risk managers.
URI: urn:nbn:de:kobv:83-opus-23992
http://depositonce.tu-berlin.de/handle/11303/2582
http://dx.doi.org/10.14279/depositonce-2285
Exam Date: 19-Oct-2009
Issue Date: 4-Nov-2009
Date Available: 4-Nov-2009
DDC Class: 004 Datenverarbeitung; Informatik
Subject(s): China
Informationssicherheit
Kultur
Outsourcing
China
Culture
Information Security
Outsourcing
Usage rights: Terms of German Copyright Law
Appears in Collections:Technische Universität Berlin » Fakultäten & Zentralinstitute » Fakultät 4 Elektrotechnik und Informatik » Institut für Wirtschaftsinformatik und Quantitative Methoden » Publications

Files in This Item:
File Description SizeFormat 
Dokument_46.pdf5.69 MBAdobe PDFThumbnail
View/Open


Items in DepositOnce are protected by copyright, with all rights reserved, unless otherwise indicated.