Information Security Inside Organizations - A Positive Model and Some Normative Arguments Based on New Institutional Economis
-
Autor:
Frank Pallas
-
Quelle:
PhD Thesis / Dissertation, TU Berlin. Abrufbar über / available via SSRN.
- Datum: 2009
-
Deutsch
Die Arbeit entwickelt ein abstraktes, theoriebasiertes Verständnis organisationsinterner Informationssicherheit. Hierzu wird etabliertes Wissen aus dem Gebiet der Informationssicherheit auf Basis zweier unterschiedlicher Dimensionen restrukturiert: Die historische Dimension unterscheidet drei "Epochen" und setzt diese in Relation zu zeitgleichen Paradigmenwechseln der Computernutzung. Das "Sicherheitsdreieck" charakterisiert drei unterschiedliche "Meta-Instrumente" der Informationssicherheit und hebt die Existenz eines übergeordneten regulatorischen Rahmens hervor.
Zudem basiert die Arbeit auf Prinzipien der Neuen Institutionenökonomik. Insbesondere werden Informationsasymmetrien, Transaktionskosten und Prinzipal-Agenten-Beziehungen sowie deren Relevanz für die Realisierung von Kooperation betrachtet. Kooperation wird dabei als das Zusammenspiel von Koordination und Motivation modelliert.
Auf Basis dieser theoretischen Grundlagen wird daraufhin ein ökonomisch geprägtes, positives Modell der Informationssicherheit in Organisationen entwickelt. Das Modell liefert abstrakte und theoretisch fundierte Erklärungen für die in der Vergangenheit aufgetretenen Wechsel vorherrschender Vorgehensweisen der Informationssicherheit.
Neben diesem erklärenden Aspekt wird das Modell zudem prospektiv angewendet. Derzeitige technologische Entwicklungen werden voraussichtlich zu zunehmend "verflochtenen" informationstechnischen Strukturen und somit zu einem weiteren Paradigmenwechsel der Computernutzung führen. Die Anwendung des positiven Modells legt nahe, dass sich derzeit etablierte Vorgehensweisen wie Verhaltensrichtlinien oder üblicherweise mit dem Begriff "Sicherheitskultur" verbundene Maßnahmen zunehmend als ineffizient und damit unangemessen erweisen werden. Organisationen müssen daher entweder alternative Ansätze nutzen oder bestehende Vorgehensweisen anpassen.
Hierzu existieren bereits diverse Vorschläge, von denen einige auf Basis des ökonomisch geprägten, positiven Modells untersucht werden. Diese Analyse führt zu wohlfundierten Empfehlungen, welche Vorgehensweisen unter welchen Rahmenbedingungen angewendet werden sollten. Zudem unterstützt das ökonomische Verständnis die Entwicklung neuer, bislang noch nicht diskutierter Ansätze. Schlussendlich wird auch die zukünftige Rolle des regulatorischen Rahmens beleuchtet. Auch dieser bedarf der Anpassung an die zu erwartenden, veränderten Rahmenbedingungen um zu verhindern, dass Organisationen allein aus Compliance-Gründen zur Anwendung hochgradig ineffizienter Vorgehensweisen gezwungen werden.
Insgesamt liefert das entwickelte positive Modell damit Erklärungen für beobachtete Phänomene der organisationsinternen Informationssicherheit, ermöglicht wohlfundierte Vorhersagen zu erwartbaren zukünftigen Entwicklungen und führt zu normativen Aussagen zu notwendigen Änderungen etablierter Ansätze und Vorgehensweisen. Es kann sich damit für zukünftige Forschungen in vielerlei Hinsicht als nützlich erweisen.
English
This work develops an abstract, theory-founded understanding of organization-internal information security. For this purpose, established knowledge from the field of information security is restructured on the basis of two different dimensions: The historical dimension distinguishes three "eras" of information security and relates them to concurrent changes of prevailing computing paradigms. The "security triangle" identifies and characterizes three different "meta-measures" for realizing information security inside organizations and highlights the existence of a higher-level regulatory framework.
Additionally, the work is based on principles from the field of New Institutional Economics. In particular, the concepts of information asymmetries, transaction costs and principal-agent relations are explicated as well as their relevance to the establishment of cooperation among individuals. Cooperation is in turn modeled as consisting of the two partial problems of coordination and motivation.
These theoretical foundations are then merged into an economically inspired positive model of information security inside organizations. The model provides abstract and theory-founded explanations for the changes of prevailing information security practices that happened in the past.
Besides this explanatory use, the positive model is also applied in a prospective manner. Current technological developments will presumably lead to increasingly "interwoven" computing structures and thus to another change of the prevailing computing paradigm. The application of the model to the changed givens suggests that now-established practices like behavioral guidelines or those means usually associated with the term "security culture" will prove inefficient and thus inadequate in the future. Organizations will therefore have to use alternative approaches or to modify existing ones for realizing information security under the changed circumstances.
Various possibilities for doing so have been suggested in the past. Some of these are evaluated on the basis of the economically inspired, positive model. This analysis leads to well-founded suggestions which of the approaches should be applied under what conditions. Furthermore, the economic understanding also supports the development of new approaches that have so far not been thought of. As a final aspect, the future role of the higher-level regulatory framework is illuminated. It is shown that this framework will have to be adopted to the upcoming changes in order to protect organizations from being forced to apply highly inefficient practices for compliance reasons alone.
Overall, the positive model developed in this work provides explanations for what can be observed in the field of organization-internal information security, allows for well-founded predictions about what can be expected for the future and leads to normative arguments regarding necessary changes of established approaches and practices. It might therefore prove valuable for future research in a multitude of ways.