Abstract

Users' deviant behaviors, unawareness, misuse, apathy, and resistance are usually the primary reasons for security breaches. Furthermore, there is a significant lack of information security studies on how the cultural phenomenon impacts the intention to comply with information security polices among individuals from different cultural backgrounds. Thus, the objectives of this study were to empirically examine which behavioral and cultural factors influence most in the individual’s security intention to comply with information security policies (ISP), and how complying with these policies can vary between countries and cross-cultural backgrounds. It also sought to understand the competing factors that could potentially impact the security performance by keeping down cybersecurity risks. In order to answer these interrogants, we administered a web-based survey, sent by e-mail and posted on various professional forums, to information security professionals and practitioners from AMER, APAC and EMEA business regions.

We successfully developed a model with high and accurate levels to predict employee’s intention to comply with information security policies. This model was validated with multiple statistical analysis, including PLS-SEM, bootstrapping, and multi-groups analysis to corroborate the existence of differences among cultural-backgrounds. Our results demonstrate that there are significant differences for APAC and EMEA, but not for AMER, in their corresponding relation with the intention to comply with ISP.

We also identified positive and negative correlations between cultural and behavioral factors, which could help to better understand how they can also impact the security posture of an institution. Findings from this study could contribute to existing literature by demonstrating the influential effects of Individualism, Power Distance, Masculinity, Uncertainty Avoidance, and Long-term Orientation on the actual information security compliance behavior from different business regions, a research field that had remained unexplored. Furthermore, given that our results suggest that by complying with ISP, companies can reduce cybersecurity risks, organizations should consider getting their employees to believe that by conducting in a secure way and complying with ISP, can keep security breaches down.

Alternate abstract:

Los comportamientos equivocados de los usuarios, la falta de conciencia, el mal uso, la apatía y la resistencia suelen ser las principales razones de las violaciones de seguridad. Aunado a ésto, hay una deficiencia significativa de estudios de seguridad de la información sobre cómo el fenómeno cultural impacta la intención de cumplir con las políticas de seguridad de la información entre personas de diferentes orígenes culturales. Dado lo expuesto anteriormente, los objetivos principales de este estudio fueron examinar empíricamente qué factores de comportamiento y culturales influyen más en la intención de seguridad del individuo de cumplir con las políticas de seguridad de la información (ISP), y cómo el cumplimiento de estas políticas puede variar entre países y trasfondos culturales. También buscó comprender los factores en competencia que podrían afectar el desempeño de la seguridad al reducir los riesgos de ciberseguridad. Para responder a estos interrogantes, administramos una encuesta a través de la web, enviada por correo electrónico y publicada en varios foros profesionales, a practicantes de la rama de seguridad de información de las regiones comerciales de AMER, APAC y EMEA.

Desarrollamos con éxito un modelo con niveles altos y precisos para predecir la intención de los empleados de cumplir con las políticas de seguridad de la información. Este modelo fue validado con análisis estadístico múltiple, incluido el análisis PLS-SEM, “bootstrapping” y de multigrupos para corroborar si había diferencias entre los antecedentes culturales. Nuestros resultados demuestran que existen diferencias significativas para APAC y EMEA, pero no para AMER, en su correspondiente relación con la intención de cumplir con las ISP.

También identificamos correlaciones positivas y negativas entre factores culturales y de comportamiento, que podrían ayudar a comprender mejor como éstos pueden afectar la postura de seguridad de una institución. Los hallazgos de este estudio podrían contribuir a la literatura existente al demostrar los efectos influyentes a largo plazo del individualismo, la distancia de poder, la masculinidad, la evitación de la incertidumbre y la orientación, sobre el comportamiento real de cumplimiento de la seguridad de la información de diferentes regiones comerciales, un campo de investigación que permanecía poco explorado. Además, dado que nuestros resultados sugieren que cumplir con las ISP pueden reducir los riesgos de ciberseguridad, las organizaciones deberían considerar hacer que sus empleados crean que al llevar a cabo de manera segura y cumplir con las ISP, se pueden reducir las brechas de seguridad.