TU Darmstadt / ULB / TUbiblio

Human-centered Information Security and Privacy: Investigating How and Why Social and Emotional Factors Affect the Protection of Information Assets

Franz, Anjuli (2023)
Human-centered Information Security and Privacy: Investigating How and Why Social and Emotional Factors Affect the Protection of Information Assets.
Technische Universität Darmstadt
doi: 10.26083/tuprints-00024219
Dissertation, Erstveröffentlichung, Verlagsversion

Kurzbeschreibung (Abstract)

Information systems (IS) are becoming increasingly integrated into the fabric of our everyday lives, for example, through cloud-based collaboration platforms, smart wearables, and social media. As a result, nearly every aspect of personal, social, and professional life relies on the constant exchange of information between users and online service providers. However, as users and organizations entrust more and more of their personal and sensitive information to IS, the challenges of ensuring information security and privacy become increasingly pressing, particularly given the rise of cybercrime and microtargeting capabilities. While the protection of information assets is a shared responsibility between technology providers, legislation, organizations, and individuals, previous research has emphasized the pivotal role of the user as the last line of defense. Whereas prior works on human-centered information security and privacy have primarily studied the human aspect from a cognitive perspective, it is important to acknowledge that security and privacy phenomena are deeply embedded within users’ social, emotional, and technological environment. Therefore, individual decision-making and organizational phenomena related to security and privacy need to be examined through a socio-emotional lens. As such, this thesis sets out to investigate how and why socio-emotional factors influence information security and privacy, while simultaneously providing a deeper understanding of how these insights can be utilized to design effective security and privacy-enhancing tools and interventions. This thesis includes five studies that have been published in peer-reviewed IS outlets.

The first strand of this thesis investigates individual decision-making related to information security and privacy. Daily information disclosure decisions, such as providing login credentials to a phishing website or giving apps access to one’s address book, crucially affect information security and privacy. In an effort to support users in their decision-making, research and practice have begun to develop tools and interventions that promote secure and privacy-aware behavior. However, our knowledge on the design and effectiveness of such tools and interventions is scattered across a diverse research landscape. Therefore, the first study of this thesis (article A) sets out to systematize this knowledge. Through a literature review, the study presents a taxonomy of user-oriented information security interventions and highlights crucial shortcomings of current approaches, such as a lack of tools and interventions that provide users with long-term guidance and an imbalance regarding cyber attack vectors. Importantly, the study confirms that prior works in this field tend to limit their scope to a cognitive processing perspective, neglecting the influence of social and emotional factors. The second study (article B) examines how users make decisions on disclosing their peers’ personal information, a phenomenon referred to as privacy interdependence. Previous research has shown that users tend to have a limited understanding of the social ramifications of their decisions to share information, that is, the impact of their disclosure decisions on others’ privacy. The study is based on a theoretical framework that suggests that for a user, recognizing and respecting others’ privacy rights is heavily influenced by the perceived salience of others within their own socio-technical environment. The study introduces an intervention aimed at increasing the salience of others’ personal data during the decision-making process, resulting in a significant decrease of interdependent privacy infringements. These findings indicate that current interfaces do not allow users to make informed decisions about their peers’ privacy – a problem that is highly relevant for policymakers and regulators. Shifting the focus towards an organizational context of individual security decision-making, the third study (article C) investigates employees’ underlying motives for reporting cyber threats. With the aim to maximize employees’ adoption of reporting tools, the study examines the effect of two tool design features on users’ utilitarian and hedonic motivation to report information security incidents. The findings suggest that reporting tools that elicit a sense of warm glow, that is, a boost of self-esteem and personal satisfaction after performing an altruistic act, result in higher tool adoption compared to those that address solely users’ utilitarian motivation. This unlocks a new perspective on organizational information security as a whole and showcases new ways in which organizations can engage users in promoting information security.

The second strand of this thesis focuses on the context of organizational information security. Beyond individual decision-making, organizations face the challenge of maintaining an information security culture, including, for example, employees’ awareness of security risks, top management commitment, and interdepartmental collaboration with regard to security issues. The fourth study (article D) presents a measurement instrument to assess employees’ security awareness. Complementary to the predominant method of self-reported surveys, the study introduces an index based on employees’ susceptibility to simulated social engineering attacks. As such, it presents a novel way to measure security awareness that closes the intention-behavior gap and enables information security officers to nonintrusively monitor human vulnerabilities in real-time. Furthermore, the findings indicate that security education, training and awareness (SETA) programs not only increase employees’ awareness of information security risks, but also improve their actual security behavior. Finally, the fifth study (article E) investigates the influence of external socio-emotional disruption on information security culture. Against the backdrop of the COVID-19 pandemic, the longitudinal study reveals novel inhibitors and facilitators of information security culture that emerged in the face of global socially and emotionally disruptive change over the course of 2020. Specifically, the study demonstrates that such disruptive events can influence information security culture negatively, or – counterintuitively – positively, depending on prerequisites such as digital maturity and economic stability.

Overall, this thesis highlights the importance of considering socio-emotional factors in protecting information assets by providing a more comprehensive understanding of why and how such factors affect human behavior related to information security and privacy. By doing so, this thesis answers calls for research that urge scholars to consider security and privacy issues in a larger social and emotional context. The studies in this thesis contribute to IS research on information security and privacy by (1) uncovering social and emotional motives as hitherto largely neglected drivers of users decision-making, (2) demonstrating how tools and interventions can leverage these motives to improve users’ protection of information assets, and (3) revealing the importance of external socio-emotional factors as a thus far under-investigated influence on organizational information security. In practice, this thesis offers actionable recommendations for designers building tools and interventions to support decision-making with regard to information security and privacy. Likewise, it provides important insights to information security officers on how to build a strong and resilient information security culture, and guides policymakers in accounting for socially embedded privacy phenomena.

Typ des Eintrags: Dissertation
Erschienen: 2023
Autor(en): Franz, Anjuli
Art des Eintrags: Erstveröffentlichung
Titel: Human-centered Information Security and Privacy: Investigating How and Why Social and Emotional Factors Affect the Protection of Information Assets
Sprache: Englisch
Referenten: Benlian, Prof. Dr. Alexander ; Reuter, Prof. Dr. Christian
Publikationsjahr: 2023
Ort: Darmstadt
Kollation: XIX, 169 Seiten
Datum der mündlichen Prüfung: 29 Juni 2023
DOI: 10.26083/tuprints-00024219
URL / URN: https://tuprints.ulb.tu-darmstadt.de/24219
Kurzbeschreibung (Abstract):

Information systems (IS) are becoming increasingly integrated into the fabric of our everyday lives, for example, through cloud-based collaboration platforms, smart wearables, and social media. As a result, nearly every aspect of personal, social, and professional life relies on the constant exchange of information between users and online service providers. However, as users and organizations entrust more and more of their personal and sensitive information to IS, the challenges of ensuring information security and privacy become increasingly pressing, particularly given the rise of cybercrime and microtargeting capabilities. While the protection of information assets is a shared responsibility between technology providers, legislation, organizations, and individuals, previous research has emphasized the pivotal role of the user as the last line of defense. Whereas prior works on human-centered information security and privacy have primarily studied the human aspect from a cognitive perspective, it is important to acknowledge that security and privacy phenomena are deeply embedded within users’ social, emotional, and technological environment. Therefore, individual decision-making and organizational phenomena related to security and privacy need to be examined through a socio-emotional lens. As such, this thesis sets out to investigate how and why socio-emotional factors influence information security and privacy, while simultaneously providing a deeper understanding of how these insights can be utilized to design effective security and privacy-enhancing tools and interventions. This thesis includes five studies that have been published in peer-reviewed IS outlets.

The first strand of this thesis investigates individual decision-making related to information security and privacy. Daily information disclosure decisions, such as providing login credentials to a phishing website or giving apps access to one’s address book, crucially affect information security and privacy. In an effort to support users in their decision-making, research and practice have begun to develop tools and interventions that promote secure and privacy-aware behavior. However, our knowledge on the design and effectiveness of such tools and interventions is scattered across a diverse research landscape. Therefore, the first study of this thesis (article A) sets out to systematize this knowledge. Through a literature review, the study presents a taxonomy of user-oriented information security interventions and highlights crucial shortcomings of current approaches, such as a lack of tools and interventions that provide users with long-term guidance and an imbalance regarding cyber attack vectors. Importantly, the study confirms that prior works in this field tend to limit their scope to a cognitive processing perspective, neglecting the influence of social and emotional factors. The second study (article B) examines how users make decisions on disclosing their peers’ personal information, a phenomenon referred to as privacy interdependence. Previous research has shown that users tend to have a limited understanding of the social ramifications of their decisions to share information, that is, the impact of their disclosure decisions on others’ privacy. The study is based on a theoretical framework that suggests that for a user, recognizing and respecting others’ privacy rights is heavily influenced by the perceived salience of others within their own socio-technical environment. The study introduces an intervention aimed at increasing the salience of others’ personal data during the decision-making process, resulting in a significant decrease of interdependent privacy infringements. These findings indicate that current interfaces do not allow users to make informed decisions about their peers’ privacy – a problem that is highly relevant for policymakers and regulators. Shifting the focus towards an organizational context of individual security decision-making, the third study (article C) investigates employees’ underlying motives for reporting cyber threats. With the aim to maximize employees’ adoption of reporting tools, the study examines the effect of two tool design features on users’ utilitarian and hedonic motivation to report information security incidents. The findings suggest that reporting tools that elicit a sense of warm glow, that is, a boost of self-esteem and personal satisfaction after performing an altruistic act, result in higher tool adoption compared to those that address solely users’ utilitarian motivation. This unlocks a new perspective on organizational information security as a whole and showcases new ways in which organizations can engage users in promoting information security.

The second strand of this thesis focuses on the context of organizational information security. Beyond individual decision-making, organizations face the challenge of maintaining an information security culture, including, for example, employees’ awareness of security risks, top management commitment, and interdepartmental collaboration with regard to security issues. The fourth study (article D) presents a measurement instrument to assess employees’ security awareness. Complementary to the predominant method of self-reported surveys, the study introduces an index based on employees’ susceptibility to simulated social engineering attacks. As such, it presents a novel way to measure security awareness that closes the intention-behavior gap and enables information security officers to nonintrusively monitor human vulnerabilities in real-time. Furthermore, the findings indicate that security education, training and awareness (SETA) programs not only increase employees’ awareness of information security risks, but also improve their actual security behavior. Finally, the fifth study (article E) investigates the influence of external socio-emotional disruption on information security culture. Against the backdrop of the COVID-19 pandemic, the longitudinal study reveals novel inhibitors and facilitators of information security culture that emerged in the face of global socially and emotionally disruptive change over the course of 2020. Specifically, the study demonstrates that such disruptive events can influence information security culture negatively, or – counterintuitively – positively, depending on prerequisites such as digital maturity and economic stability.

Overall, this thesis highlights the importance of considering socio-emotional factors in protecting information assets by providing a more comprehensive understanding of why and how such factors affect human behavior related to information security and privacy. By doing so, this thesis answers calls for research that urge scholars to consider security and privacy issues in a larger social and emotional context. The studies in this thesis contribute to IS research on information security and privacy by (1) uncovering social and emotional motives as hitherto largely neglected drivers of users decision-making, (2) demonstrating how tools and interventions can leverage these motives to improve users’ protection of information assets, and (3) revealing the importance of external socio-emotional factors as a thus far under-investigated influence on organizational information security. In practice, this thesis offers actionable recommendations for designers building tools and interventions to support decision-making with regard to information security and privacy. Likewise, it provides important insights to information security officers on how to build a strong and resilient information security culture, and guides policymakers in accounting for socially embedded privacy phenomena.

Alternatives oder übersetztes Abstract:
Alternatives AbstractSprache

Informationssysteme (IS) sind zunehmend in unser tägliches Leben integriert, z.B. durch cloudbasierte Kollaborationsplattformen, Smart Wearables oder soziale Medien. Dies hat zur Folge, dass nahezu jeder Aspekt des persönlichen, sozialen und beruflichen Lebens auf dem ständigen Austausch von Informationen zwischen Nutzenden und Anbietern von Online-Diensten beruht. Dadurch, dass Nutzende und Organisationen diesen Informationssystemen immer mehr persönliche und sensible Informationen anvertrauen, steigen jedoch die Anforderungen an die Gewährleistung von Informationssicherheit, Datenschutz und Privatheit. Der Schutz von Informationsbeständen liegt dabei in der gemeinsamen Verantwortung von Technologieanbietern, Gesetzgebung, Organisationen und denjenigen Personen, die das Informationssystem aktiv nutzen. Die bisherige Forschung hat insbesondere die zentrale Rolle der Nutzenden hervorgehoben, die die “letzte Verteidigungslinie” bilden. Hierbei wurde sich in früheren Forschungsarbeiten zur nutzerzentrierten Informationssicherheit und Privatheit hauptsächlich auf die kognitive Perspektive beschränkt. Darüber hinaus ist es jedoch wichtig, Phänomene der Informationssicherheit und Privatheit in den sozialen, emotionalen und technologischen Kontext der Nutzenden eingebettet zu betrachten. Die vorliegende Dissertation erweitert die bestehende Forschung zu nutzerzentrierter Informationssicherheit und Privatheit um die sozio-emotionale Perspektive. Fünf Studien beleuchten, wie und warum sozio-emotionale Faktoren Informationssicherheit und Privatheit beeinflussen und wie diese Erkenntnisse genutzt werden können, um wirksame Instrumente zur Unterstützung von Nutzenden bei Entscheidungen, die die Informationssicherheit und Privatheit betreffen, zu entwickeln.

Der erste Teil dieser Arbeit untersucht die individuelle Entscheidungsfindung in Bezug auf Informationssicherheit, Privatheit und Datenschutz. Tägliche Nutzerentscheidungen über die Preisgabe von Informationen, wie z. B. einer Phishing-Website sensible Anmeldedaten zu übermitteln oder einer App Zugriff auf das eigene Adressbuch zu genehmigen, haben entscheidende Auswirkungen auf die Sicherheit und Privatheit von Informationsbeständen. Forschung und Praxis haben daher begonnen, Tools und Interventionen zu entwickeln, die sicheres und privatheitbewusstes Verhalten fördern. Unser bisheriges Wissen über die Ausgestaltung und Wirksamkeit solcher Tools und Interventionen ist jedoch über eine vielfältige Forschungslandschaft verteilt. In der ersten Studie dieser Dissertation (Artikel A) wird daher, basierend auf einer Literaturrecherche, dieses Wissen systematisiert. Die Studie stellt eine Taxonomie nutzerorientierter Interventionen zur Steigerung der Informationssicherheit vor und arbeitet entscheidende Defizite der derzeitigen Ansätze heraus, wie z. B. das Fehlen von Tools und Interventionen, die Nutzenden eine langfristige Orientierungshilfe bieten, und ein Ungleichgewicht in Bezug auf die Angriffsvektoren von Cyberangriffen. Darüber hinaus zeigt die Studie auf, dass frühere Arbeiten in diesem Bereich sich vorüberwiegend auf eine kognitive Verarbeitungsperspektive beschränken und den Einfluss von sozialen und emotionalen Faktoren vernachlässigen. In der zweiten Studie (Artikel B) wird untersucht, wie Nutzende Entscheidungen über die Weitergabe persönlicher Informationen von Dritten treffen. Dieses Phänomen wird als Privatheitsinterdependenz bezeichnet. Die bisherige Literatur zeigt, dass Nutzende ein begrenztes Verständnis für die sozialen Auswirkungen ihrer Datenschutzentscheidungen haben. Studie B basiert auf einem theoretischen Modell, welches besagt, dass das Erkennen und Respektieren der Privatheitsrechte anderer für Nutzende stark von der wahrgenommenen Präsenz der anderen im eigenen soziotechnischen Umfeld abhängt. Sie stellt eine Intervention vor, die darauf abzielt, die Präsenz der persönlichen Daten anderer während des Entscheidungsprozesses zu erhöhen, was zu einem signifikanten Rückgang von interdependenten Privatheitsverletzungen führt. Die Ergebnisse zeigen implizit, dass derzeitige Benutzeroberflächen es Nutzenden nicht ermöglichen, fundierte Entscheidungen über die persönlichen Daten ihrer Mitmenschen zu treffen. Dies zeigt einen akuten Handlungsbedarf für Politik und Regulatorik auf. Die dritte Studie (Artikel C) verlagert den Fokus auf individuelle Informationssicherheitsentscheidungen im organisatorischen Kontext. Sie untersucht die Beweggründe von Mitarbeitenden zur Meldung von Cyber-Bedrohungen. Mit dem Ziel, die Akzeptanz von Melde-Tools (z.B. im E-Mail-Programm integrierte Add-ons, die das Melden von verdächtigen E-Mails ermöglichen) auf Mitarbeitendenseite zu maximieren, untersucht die Studie die Auswirkung von zwei Tool-Eigenschaften auf die utilitaristische und hedonistische Motivation der Nutzenden, Sicherheitsvorfälle unternehmensintern zu melden. Die Ergebnisse deuten darauf hin, dass Melde-Tools, die ein Gefühl des sogenannten “warm glow”, d.h. eine Steigerung des Selbstwertgefühls und der persönlichen Zufriedenheit nach der Ausführung einer altruistischen Handlung, hervorrufen, zu einer höheren Akzeptanz des Tools führen als solche, die ausschließlich die utilitaristische Motivation der Nutzer ansprechen. Dies eröffnet einen neuen Blickwinkel auf organisatorische Informationssicherheit als Ganzes und zeigt neue Wege auf, wie Organisationen Nutzende effektiv in die den Schutz der Informationssicherheit einbinden können.

Der zweite Teil dieser Arbeit befasst sich mit Informationssicherheit als organisatorisches Phänomen. Neben der individuellen Entscheidungsfindung stehen Unternehmen vor der Herausforderung, eine Informationssicherheitskultur zu etablieren, die beispielsweise das Sicherheitsbewusstsein der Mitarbeitenden, das Engagement der obersten Führungsebene und die abteilungsübergreifende Zusammenarbeit im Bereich Informationssicherheit einschließt. In der vierten Studie (Artikel D) wird ein Messinstrument zur Bewertung des Sicherheitsbewusstseins von Mitarbeitenden vorgestellt. Ergänzend zu der vorherrschenden Methode von Selbstbeurteilungsfragebögen führt die Studie einen Index ein, der auf der Anfälligkeit der Belegschaft für simulierte Social-Engineering-Angriffe basiert. Dieses neuartige Verfahren schließt die Lücke zwischen Absicht und tatsächlichem Verhalten der Mitarbeitenden und ermöglicht es Informationssicherheitsbeauftragten, menschliche Schwachstellen im Unternehmen in Echtzeit zu überwachen. Darüber hinaus deuten die Ergebnisse darauf hin, dass Trainings und Programme zur Steigerung der Informationssicherheit nicht nur das Sicherheitsbewusstsein der Mitarbeitenden, sondern auch ihr tatsächliches Sicherheitsverhalten verbessern. In der fünften Studie (Artikel E) wird abschließend der Einfluss sozio-emotionaler Disruption auf die Informationssicherheitskultur untersucht. Vor dem Hintergrund der COVID-19-Pandemie zeigt die longitudinale Studie neuartige hemmende und unterstützende Einflussfaktoren auf die organisatorische Informationssicherheitskultur auf, die angesichts des globalen sozialen und emotionalen Umbruchs im Laufe des Jahres 2020 entstanden sind. Insbesondere zeigt die Studie, dass solche disruptiven Ereignisse die Informationssicherheitskultur eines Unternehmens negativ oder – kontraintuitiv – positiv beeinflussen können, je nach dem ob bestimmte Voraussetzungen, wie beispielsweise die digitale Reife und wirtschaftliche Stabilität des Unternehmens, erfüllt sind.

Insgesamt zeigt diese Dissertation die Bedeutung sozio-emotionaler Faktoren beim Schutz von Informationsbeständen auf, indem sie ein umfassenderes Verständnis dafür vermittelt, warum und wie solche Faktoren menschliches Verhalten im Zusammenhang mit Informationssicherheit, Datenschutz und Privatheit beeinflussen. Die Studien in dieser Arbeit leisten einen Beitrag zur IS-Forschung, indem sie (1) soziale und emotionale Motive als bisher weitgehend vernachlässigte Triebkräfte für die Entscheidungsfindung von Nutzenden aufdecken, (2) aufzeigen, wie Tools und Interventionen diese Motive einsetzen können, um Nutzende beim Schützen von Informationsbeständen effektiv zu unterstützten, und (3) die Bedeutung externer sozio-emotionaler Faktoren als einen bisher wenig untersuchten Einfluss auf die Informationssicherheit in Organisationen aufzeigen. In der Praxis bietet diese Arbeit umsetzbare Empfehlungen für Designer, die Tools und Interventionen zur Unterstützung der Entscheidungsfindung in Bezug auf Informationssicherheit, Datenschutz und Privatheit entwickeln. Darüber hinaus liefert sie wichtige Erkenntnisse für Informationssicherheits-beauftragte, wie eine starke und widerstandsfähige Informationssicherheitskultur aufgebaut werden kann, und gibt politischen Entscheidungstragenden Einblicke in sozial bedingte Risiken hinsichtlich Datenschutz und Privatheit.

Deutsch
Status: Verlagsversion
URN: urn:nbn:de:tuda-tuprints-242195
Sachgruppe der Dewey Dezimalklassifikatin (DDC): 000 Allgemeines, Informatik, Informationswissenschaft > 000 Allgemeines, Wissenschaft
000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
100 Philosophie und Psychologie > 150 Psychologie
300 Sozialwissenschaften > 330 Wirtschaft
Fachbereich(e)/-gebiet(e): 01 Fachbereich Rechts- und Wirtschaftswissenschaften
01 Fachbereich Rechts- und Wirtschaftswissenschaften > Betriebswirtschaftliche Fachgebiete
01 Fachbereich Rechts- und Wirtschaftswissenschaften > Betriebswirtschaftliche Fachgebiete > Fachgebiet Information Systems & E-Services
Hinterlegungsdatum: 12 Jul 2023 12:34
Letzte Änderung: 13 Jul 2023 06:01
PPN:
Referenten: Benlian, Prof. Dr. Alexander ; Reuter, Prof. Dr. Christian
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: 29 Juni 2023
Export:
Suche nach Titel in: TUfind oder in Google
Frage zum Eintrag Frage zum Eintrag

Optionen (nur für Redakteure)
Redaktionelle Details anzeigen Redaktionelle Details anzeigen