Delay Discounting and its Impact on Information Security Decision-Making
Abstract
Påvirkningen informasjonsteknologi har på organisasjoner er i stadig vekst. Digitalisering har ført til nye forretningsmuligheter og effektivitet. Imidlertid følger det med disse fremskrittene stadig skiftende risikoer som må beskyttes mot. Informasjonssikkerhet, som et spesialisert felt innenfor informasjonsteknologi, fokuserer på å redusere slike risikoer og sikre beskyttelse.
Ansatte kan utilsiktet eller med hensikt utgjøre en alvorlig trussel mot informasjonssikkerheten. Delay discounting er avveiningen mellom umiddelbare fordeler og fremtidige belønninger i menneskers beslutningsprosess, med en preferanse for mindre umiddelbare belønninger fremfor større forsinkede belønninger. Denne masteroppgaven har som mål å undersøke gapet mellom delay discounting og beslutninger innenfor informasjonssikkerhet.
En forskningsmetode bestående av et tradisjonelt litteraturstudie avdekket at området er lite utforsket. Samtidig besto forskningsmetoden av en spørreskjemaundersøkelse (N=135) som ble gjennomført for å tette det identifiserte gapet mellom informasjonssikkerhet og delay discounting. De innsamlede dataene ble kombinert for å besvare alle forskningsspørsmålene.
Studien avdekket et uutforsket område der delay discounting og beslutninger inngenfor informasjonssikkerhet overlapper hverandre. Resultatene antyder at det kan være gunstig å fremstille sikkerhetsbeslutninger som potensiell tap av produktivitet eller arbeidsflyt. Overraskende nok, utfordrer resultatene tidligere forskning og antagelser om at mennesker ofte utsetter implementeringen av sikkerhetstiltak. Resultatene antyder at delay discounting er en viktig faktor å undersøke når en studerer beslutninger innenfor informasjonssikkerhet. Imidlertid viser det seg at holdninger er en bedre prediktor for faktisk sikkerhetsadferd.
Oppgaven to nyutviklede spørreskjemaer for å måle delay discounting i en informasjonssikkerhetskontekst, i tillegg til et instrument for å måle sikkerhetsadferd. Det uutforskede feltet understreker betydningen av å undersøke de kognitive mekanismene som driver beslutningsprosesser og valg i den virkelige verden. Studien gir et verdifull bidrag til å utvide forståelse på dette området. The influence of information technology on organizations is steadily growing. Digitization has brought about enhanced business prospects and efficiency. However, with these advancements come ever-evolving risks, and organizations must protect themselves. Information security, a specialized field within information technology, focuses on mitigating risks and ensuring protection. Nevertheless, employees can seriously compromise information security unintentionally or intentionally. Delay discounting is the trade-off between immediate benefits and future rewards in human decision-making, with a preference for smaller immediate rewards over larger delayed rewards. This master's thesis investigates the gap between delay discounting and information security decision-making.
A mixed-methods research was used in order to address the research problem. First, a traditional literature review was conducted to investigate previous research, revealing that the area is highly unexplored. A questionnaire (N=135) was conducted in order to close the identified gap between information security and delay discounting. Finally, the collected data were combined to address the research questions fully.
The study uncovered an unexplored field where delay discounting and information security decision-making intersect. Findings indicate that framing security decisions as a potential loss of productivity or workflow could be advantageous. Surprisingly, the high discounting score challenges previous research and assumptions that people tend to postpone implementing security measures. The findings suggest that delay discounting is essential when investigating information security decision-making. However, attitudes are revealed to be the better predictor for actual security behavior.
By applying an exploratory sequential design, the thesis presents two modified questionnaires to measure delay discounting in an information security context and an instrument to measure security behavior. This field remains relatively unexplored, highlighting the significance of investigating the cognitive mechanisms that drive decision-making and real-world choices. The study makes a valuable contribution to advancing our understanding in this area.