TU Darmstadt / ULB / TUprints

Digital Transformation and IT Security Issues - Analyzing Organizational Decision-Making Processes through a Behavioral Lens

Heidt, Margareta (2021)
Digital Transformation and IT Security Issues - Analyzing Organizational Decision-Making Processes through a Behavioral Lens.
Technische Universität
doi: 10.26083/tuprints-00018901
Ph.D. Thesis, Primary publication, Publisher's Version

[img]
Preview
Text
Dissertation_Margareta Heidt_final.pdf
Copyright Information: CC BY-SA 4.0 International - Creative Commons, Attribution ShareAlike.

Download (1MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Digital Transformation and IT Security Issues - Analyzing Organizational Decision-Making Processes through a Behavioral Lens
Language: English
Referees: Buxmann, Prof. Dr. Peter
Date: 2021
Place of Publication: Darmstadt
Collation: XVII, 175 Seiten
Date of oral examination: 14 June 2021
DOI: 10.26083/tuprints-00018901
Abstract:

Digital transformation has established itself as an omnipresent term in the new millennium. Often considered synonymous with the so-called Fourth Industrial Revolution, the term describes the convergence of information technology and the ubiquity of data in private life as well as in business and social lives. Inherent to the term "revolution" is radical change and the upheaval of existing processes and relationships. Translated into a business context, revolution leads to the transformation of business models and established work processes as well as the increasing dependence on data and new technologies. In times of digital transformation, managers and organizational decision-makers are faced with constant, potentially business-critical, decisions regarding these new technologies and the maintenance of information and data security. The analysis of management decisions, therefore, plays a crucial role in comprehending and researching digital transformation. This dissertation, therefore, seeks to improve our understanding of decision-making processes regarding the adoption of cloud computing solutions and data protection measures as well as investments in information technology (IT) security in primarily small and medium-sized enterprises. Article A examines the influence of status quo bias and reference dependency in the decision to adopt cloud computing solutions. Based on the tenets of prospect theory, findings suggest that rather inexperienced decision-makers are taking their evaluation of the existing technology more into account when assessing a cloud-based replacement technology. As a consequence, status quo thinking leads to a more negative assessment of the new technology, which hinders its potentially beneficial introduction to the organizational IT service architecture. Article B investigates decision-making processes related to end-user data protection measures and the impact of psychological ownership on the motivation to protect data. In a questionnaire study and based on the protection motivation theory, the influence of psychological ownership on the decision-making behavior of individuals in both private and work contexts is analyzed. The results demonstrate that psychological ownership exerts a stronger impact on the protection motivation of participants in a private context. The analysis further indicates that employees partly relinquish their responsibility regarding security responses to protect data in their work context. Fostering feelings of psychological ownership could possibly counteract such detrimental effects and improve the adoption of data protection measures in a work context. In Article C, the previously demonstrated cognitive and behavioral aspects of decision-making are contextualized into a holistic conceptual framework. Based on a comprehensive literature analysis and an interview study, this study finds that decisions regarding IT security in companies are influenced by organizational, economic, environmental, cognitive, and behavioral aspects. The literature analysis further demonstrates that existing research still emphasizes economic aspects based on the assumption of purely rational decision-makers. Studies that shed light on IT security decisions from a behavioral, environmental or organizational perspective are significantly less frequent, although the analysis of the expert interviews emphasizes the influence of these aspects. Article D validates that decision-makers in companies are influenced by a variety of aspects when making investment decisions in IT security. The studies of both Article D and Article E aim at decision-makers from small and medium-sized enterprises (SMEs), since an in-depth literature review of existing research in the area of organizational IT security indicates that organizational IT security in SMEs has been largely neglected. The analysis of expert interviews conducted with SME decision-makers, however, indicates that implications of existing research can be transferred only to a limited extent due to unique constraints and their influence on decisions in the SME context. The studies, therefore, investigate and validate the impact of these SME-specific constraints regarding IT security decisions. The findings imply that invest-ment decisions with regard to organizational IT security are strongly influenced by SME-specific characteristics such as insufficient IT budget planning, undocumented processes, or multiple roles due to lack of resources. Consequently, this dissertation provides valuable insights for both practice and research regarding typical and frequent decision-making processes in the context of digital transformation. In particular, this study examines the influence of biases and non-rational aspects in the decision-making process regarding new technologies or measures to ensure their security as well as the effects of SME-specific constraints demonstrate and emphasizes the need for further behavioral research in technology adoption and IT security.

Alternative Abstract:
Alternative AbstractLanguage

Digitale Transformation hat sich als omnipräsenter Begriff im neuen Jahrtausend etabliert. Oft gleichbedeutend mit der sogenannten Vierten Industriellen Revolution, beschreibt der Begriff die Konvergenz von Informationstechnologie und die Allgegenwärtigkeit von Daten im privaten, geschäftlichen und gesellschaftlichen Kontext. Der "Revolution" inne ist die radikale Veränderung und Umwälzung bestehender Verhältnisse und Prozesse. Für die Wirtschaft führt dies einerseits zur Wandlung von Geschäftsmodellen und etablierten Arbeitsprozessen sowie andererseits zu einer steigenden Abhängigkeit von Daten und neuen Technologien. Führungskräfte und Entscheidungsträger müssen in Zeiten Digitaler Transformation und der damit einhergehenden Komplexität, fortlaufend potenziell geschäftskritische Entscheidungen treffen. Die Analyse von Managemententscheidungen nimmt damit eine zentrale Rolle für das Verständnis und die Forschung bezüglich Digitaler Transformation ein. Diese Dissertation widmet sich deswegen Entscheidungsprozessen hinsichtlich diverser Initiativen im Rahmen einer Digitalen Transformationsstrategie. Diese Initiativen umfassen konkret die Adoption von Cloud Computing-Lösungen und Datenschutzmaßnahmen sowie Investitionsentscheidungen in IT-Sicherheit im Kontext vornehmlich kleiner und mittelgroßer Unternehmen. Artikel A beleuchtet dabei den Einfluss des sogenannten Status Quo Bias und der Referenzabhängigkeit bei Ablöseentscheidungen hinsichtlich Cloud Computing Lösungen. Aufbauend auf den Erkenntnissen der Prospect Theory (Neue Erwartungswerttheorie) wird dabei aufgezeigt, dass insbesondere unerfahrene Entscheidungsträger bei der Bewertung einer cloud-basierten Ablösetechnologie stärker von der Bewertung der bestehenden Technologie beeinflusst werden. Durch dieses Status Quo-Denken wird die neue Technologie negativer eingeschätzt, wodurch die potenziell vorteilhafte Einführung behindert wird. Artikel B widmet sich Entscheidungsprozessen im Zusammenhang mit Datenschutzverhalten von Endnutzern und der Auswirkung von "Psychological Ownership" (Psychologisches Eigentum) auf die Schutzmotivation. In einer Fragebogenstudie und aufbauend auf der Schutzmotivationstheorie wird der Einfluss von Psychological Ownership auf das Entscheidungsverhalten von Personen sowohl im privaten als auch im beruflichen Kontext analysiert. Dabei wird aufgezeigt, dass psychologisches Eigentumsgefühl stärkere Auswirkungen auf die Schutzmotivation der Teilnehmer in einem privaten Kontext hat, während im beruflichen Kontext insbesondere Eigenverantwortung hinsichtlich der gewählten Schutzmaßnahmen aufgegeben wird. In Artikel C werden, zuvor demonstrierte, kognitive und verhaltensbezogene Aspekte bei Entscheidungsprozessen in einen holistischen konzeptionellen Rahmen verordnet. Basierend auf einer umfassenden Literaturanalyse sowie einer Interviewstudie, wird aufgezeigt, dass Entscheidungen hinsichtlich der IT-Sicherheit in Unternehmen von organisatorischen, ökonomischen, umgebungsbedingten sowie kognitiven und verhaltensbezogenen Aspekte geprägt wer-den. Dabei wird deutlich, dass der Großteil der bestehenden IT-Sicherheitsforschung trotzdem insbesondere ökonomische Aspekte analysiert. Studien, die IT-Sicherheitsentscheidungen aus einer Verhaltens-, Umwelt-, oder Organisationsperspektive beleuchten, sind deutlich seltener – obwohl die Analyse der Experteninterviews den Einfluss exakt dieser Aspekte hervorhebt. In Artikel D wird ebenfalls aufgezeigt, dass Entscheidungsträger in Unternehmen von einer Vielzahl von Aspekten bei Investitionsentscheidungen in die IT-Sicherheit beeinflusst werden. In diesem Artikel sowie in Artikel E liegt der Fokus auf Entscheidungsträgern aus kleinen und mittelgroßen Unternehmen, sogenannten KMU. Die Auswertung einer tiefgreifenden Literaturrecherche von existierender Forschung im Bereich organisatorischer IT-Sicherheit zeigt allerdings, dass organisatorische IT-Sicherheit in KMU nur selten systematisch analysiert wurden. Die Auswertung der im Rahmen der Studien in Artikel D und Artikel E durchgeführten Experteninterviews zeigen allerdings auf, dass sich Ergebnisse existierender Forschung aufgrund der Besonderheit des KMU-Kontexts nur bedingt übertragen lassen. Die besonderen KMU-spezifischen Merkmale in Bezug auf IT-Sicherheit werden deswegen untersucht und können validiert werden. Dadurch wird aufgezeigt, dass Investitionsentscheidungen im Hinblick auf organisatorische IT-Sicherheit stark von KMU-spezifischen Merkmalen, wie mangelnder IT-Budgetplanung, undokumentierte Prozesse oder Doppelrollen aufgrund von Ressourcenmangel, beeinflusst werden. Diese Dissertation liefert folglich wertvolle Erkenntnisse für Praxis und Forschung zu typischen und häufigen Entscheidungsprozessen im Rahmen der Digitalen Transformation. Hervorzuheben sind insbesondere der Einfluss von Wahrnehmungsverzerrungen und nicht rein-rationalen Faktoren bei der Entscheidungsfindung hinsichtlich neuer Technologien oder Maßnahmen zur Sicherstellung deren Sicherheit sowie die Auswirkungen von KMU-spezifischen Maßnahmen, die es im Rahmen zukünftiger Forschung zu beachten gilt.

German
Status: Publisher's Version
URN: urn:nbn:de:tuda-tuprints-189016
Classification DDC: 300 Social sciences > 330 Economics
Divisions: 01 Department of Law and Economics > Betriebswirtschaftliche Fachgebiete > Fachgebiet Software Business & Information Management
Date Deposited: 26 Jul 2021 08:46
Last Modified: 26 Jul 2021 08:46
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/18901
PPN: 484132881
Export:
Actions (login required)
View Item View Item