部分外包,安全外部性论文

2023-02-19 09:41 727 浏览

关键词: 部分外包;安全外部性;信息泄露;强制性安全标准;

摘要: 信息技术的快速发展不仅方便了人们的生活,同时也给企业和个人带来了更大的安全隐患。为了应对安全风险的挑战,企业倾向于将部分信息安全外包给专业的管理安全服务提供商(MSSP),MSSP旨在通过专业高效的信息安全管理手段来帮助企业提高信息安全质量。因此,本文考虑了部分外包发生时企业和MSSP之间不对称的安全外部性以及强制性安全标准约束,探究了企业的两种部分外包策略(核心外包策略和非核心外包策略),为企业的安全实践提供了管理启示。我们发现,当企业对MSSP的外部性为负(正)时,在较低的安全标准下,企业付出的安全努力水平总是随着MSSP对企业外部性的增大而增大(减小)。另外,我们发现不同程度的强制性安全标准对企业和MSSP最优决策的影响不同。当企业采取核心外包策略时,在较低的强制性安全标准约束下,企业需设定赔偿比例从而得到最低期望成本;然而,在较高的强制性安全标准约束下,企业无需设立赔偿机制即可达到最优决策。此外,当信息泄露风险较高时,企业总是选择非核心外包策略。

1. 引言


近年来信息技术发展迅速并得到了广泛应用,信息技术的发展极大地方便并丰富了人们的生活,但与此同时信息安全事件也屡出不穷,给经济社会带来了严重影响。根据《2021年中国网络安全报告》 [1],2021年一年内瑞星云安全系统截获网络病毒样本、恶意网址、病毒感染次数总计高达4.41亿次。2021年4月,勒索软件恶意攻击加拿大无线设备制造商的IT系统,导致Sierra在全球各地的生产基地停产 [2]。2022年4月,北美国家哥斯达黎加财政部证实被conti勒索软件攻击,无数敏感数据被盗,窃取纳税人信息引起了公共恐慌 [3]。此一系列网络安全事件给人们生产生活带来了巨大威胁。


为了预防黑客攻击,并降低黑客攻破信息系统带来的安全损失,许多企业倾向于将其业务安全外包给专业的托管安全服务提供商(Managed Security Service Provider,以下简称为MSSP)。据报道,到2025年,托管安全服务市场价值464亿美元 [4]。在实践中,由于信息安全外包行业存在信息泄露风险,将部分信息业务外包给MSSP的情况较为普遍。Cybersecurity insiders的报告显示,91%的企业担心云安全服务商的数据泄露问题,比起外包给MSSP,企业更愿意把核心数据储存在内部 [5]。尤其是近年来大型云安全服务商的数据泄露事故层出不穷,加剧了企业对于云安全的担心。例如,2021年2月,新加坡知名电信公司新电信(Singtel)在其官网发布消息称,由第三方供应商(Accellion)提供的文件共享系统FTA被身份未知的黑客非法攻击,导致数据泄露 [6]。信息泄漏源于业务信息从企业到MSSP的转移,可能发生在检测和分析过程中 [7]。因此,在安全外包实践中,企业往往会选择将部分业务安全外包给MSSP而非全部外包。在实践中,企业通常将其业务分为核心和非核心业务,其中核心业务是为企业创造重大价值的关键部分,对企业绩效、潜在竞争优势和未来增长至关重要 [8]。先前的研究表明,对于IT企业而言,部分外包的成功率高于全部外包或全部自主管理 [9]。


值得注意的是,当部分外包发生时,由于管理主体的增加,企业和MSSP付出的安全努力,即对应管理业务的安全质量,将通过安全外部性相互影响 [10]。安全外部性意味着,为保护或攻击一个主体所付出的努力可能会影响其他主体的安全水平。安全外部性带来的影响可能是积极的或者消极的 [11]。积极的外部性,即正外部性的一个例子是,当企业将部分业务外包给MSSP时,双方将建立合作关系,并相互学习信息安全技术,从而更好地保护其业务。此外,当黑客战略性地选择薄弱目标时,就会产生消极的外部性,即负外部性:在一个攻击目标具有更强有力的安全保护的情况下,黑客可能会将注意力转移到安全级别相对较低的其他目标,我们称之为“攻击转移” [10] [12]。此外,由于企业和MSSP运营性质的不同,企业对MSSP的外部性和MSSP对企业的外部性往往是不对称的。因此,在安全外部性影响下企业应如何制定安全运营策略,值得深入研究。


此外,强制性安全标准也是影响信息安全投资的另一个关键因素。安全标准作为建设信息安全保障体系的重要支撑,是保证企业最低安全投入的重要工具,可以从社会监管机构或行业协会的角度提高信息系统的安全水平。一般而言,安全要求的目的不仅是区别地保护政府、机构和个人拥有的信息资产,而且还保护存储、传输和处理这些信息资产的信息系统。在此基础上,对不同安全要求的信息安全响应进行了区分处理。企业和其他组织的信息安全要求可以单独制定,以更好地保护其自身的信息资产 [13]。


综上所述,信息安全问题已经引起个人和企业的高度重视。为了将安全损失最小化,企业通常需要考虑信息泄露、安全外部性、强制性安全标准三重因素进行信息安全管理方面的投资决策研究。本文考虑了企业的两种部分外包策略,一是将核心业务外包给MSSP,非核心业务由企业内部管理(OC策略),二是将非核心业务外包给MSSP,核心业务由企业内部管理(ONC策略),进而探究了企业在不同环境下的信息安全管理策略,为企业的安全实践提供参考。


2. 文献综述


本文的文献研究主要涉及以下几个领域:信息安全部分外包、安全外部性及强制性安全标准。


目前,对部分外包的研究主要集中在运营管理领域。Grossman (2005) [14] 表明国际外包的程度外取决于供应商国内外市场的厚度、在每个市场搜索的相对成本、定制投入品的相对成本以及每个国家合同环境的性质。Shy和Stenbacka (2005) [15] 调查竞争如何影响生产分包投入的比例并得出结论:外包投入的比例随着竞争的增强而增加。Alvarez和Stenbacka (2007) [16] 运用实物期权方法对企业的最优组织模式进行一般性描述,并得出结论:建立部分外包的最佳阈值是潜在市场不确定性的一个不断增加的函数。然而在信息安全领域,关于部分外包的研究却很少。以往大多数关于信息安全外包的文献认为,企业选择是将其信息安全全部外包给MSSP或采用内部管理策略,而忽略将部分外包作为一种替代战略。然而在实践中,企业通常将其部分安全功能外包,以有效地管理信息安全。企业通常专注于高效利用自己的资源,同时支付MSSP以执行他们不太擅长的功能并避免专有信息被盗 [17] [18]。Cezar等(2014) [19] 将MSSP的功能归类为预防和检测,他们发现预防和检测功能在合同层面上是相互依赖的。Yang等(2020) [20] 研究了当用户外包部分云安全管理时,云服务模型对供应商和用户激励措施的影响。本文与上述研究的不同之处在于,我们将安全外部性作为影响企业和MSSP安全决定的关键因素,并对OC和ONC四种部分外包策略进行了比较。


目前关于安全外部性的研究相对较少。Lee等(2013) [10] 研究了MSSP和企业如何在企业侧外部性和MSSP侧外部性下协调努力以获得更好的安全性,他们提出了一种新的合同,称为多边合同,以解决双重道德风险问题。Zhao等(2014) [21] 将MSSP作为一种风险管理工具,表明服务于多个企业的MSSP可以将安全投资的外部性内化,并降低安全投资的低效率。Wu等(2018) [22] 考虑了竞争和整合环境下两个企业安全投资之间的外部性,并从三个维度对决策进行了比较竞争环境和整合环境之间的差异、正安全外部性和负安全外部性之间的差异以及企业间信息共享之间的差异。Zhang等(2020) [23] 得出结论,如果建立了商业伙伴关系的两家企业外包给同一家MSSP,则两家企业的安全投资在正外部性下更大,反之亦然。Wu等(2022) [24] 考虑了企业之间的信息共享和风险相关性,并发现风险相关性激励企业共享安全知识。


由于安全标准作为一种管理信息安全的策略是最近才发展起来的,因此现有的关于该主题的研究有限。Miller和Tucker (2010) [25] 表明,由于违反通知条例中的安全港规定,采用加密软件会增加公开数据丢失的事件部分原因是由于应保护信息资产的人对其他保护活动的疏忽。随着政府和行业协会对网络安全的高度重视,越来越多的学者致力于研究强制性安全标准对企业信息安全投资的影响。Ghose和Rajan (2006) [26] 考虑了监管信息公开对企业安全投资的经济影响,因此强制性安全公开可以激励企业做出最佳生产决策。Lee等(2016) [27] 研究了强制性安全标准对企业最优安全决策的影响,并得出结论,更高的安全标准不一定导致更高的安全水平。Gao等(2022) [28] 研究表明,严格的强制性标准并不总是对每个企业都有利,即使其信息系统可以得到更好的保护。因此,应从社会最优的角度制定更严格的安全标准。此外,虽然补偿机制可以促使每个企业增加投资,但这种机制可能会损害每个企业。


基于上述文献综述,本文结合强制性安全标准、信息泄露和安全外部性对企业部分安全外包策略进行深入探究,这可以进一步丰富信息安全管理理论,为企业的安全实践提供管理启示。

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

证毕。


从命题1可以看出:当企业采取ONC策略时,若核心业务的安全质量受到较高的强制性安全标准约束,即使此时非核心业务的安全质量并没有受到约束,其安全质量也会相应提高;然而,当企业选择OC策略时,若核心业务的安全质量受到较高的强制性安全标准约束,非核心业务安全质量有可能会下降。此外,当企业选择OC策略时,核心业务安全质量受到较高的强制性安全标准约束后赔偿比例会降低,因为企业无需再通过规定赔偿比例来确保MSSP付出的安全努力;反之,当企业选择ONC策略时,核心业务安全质量受到强制性安全标准约束后MSSP赔偿比例会升高,因为企业需要规定更高的赔偿比例来确保非核心业务的安全质量。

image.png

image.png

image.png

image.png

image.png

image.png

image.png

从以上几个命题中可看出无论在多高的强制性安全标准约束下,企业总是在信息泄露风险较高时选择ONC策略,在信息泄露风险较低时选择OC策略。


5. 结论与展望


复杂的网络安全环境迫使许多企业将其信息业务外包给MSSP。在实践中,由于信息泄露风险的存在,许多企业选择部分外包策略来抵御黑客的攻击。然而,目前对部分外包策略下的安全外部性的研究非常有限。因此,在前人研究的基础上,我们采用博弈论模型来考察安全外部性在MSSP和企业安全外包激励中的作用,为企业的安全实践提供管理启示。


本文从安全外部性不对称的视角研究了企业和MSSP合作保护核心和非核心业务的情景,并考虑了强制性安全标准的影响,补充了关于安全问题的新结论。我们发现,当强制性安全标准较低时,若企业对MSSP的外部性为负(正),企业付出的安全努力水平总是随着MSSP对企业外部性的增大而增大(减小)。当强制性安全标准较高时,企业或MSSP的最优决策不受另一方外部性的影响。另外,我们发现,当企业采取OC策略时,在较低的强制性安全标准约束下,企业需设定一定的赔偿比例从而得到最低期望成本;然而,在较高的强制性安全标准约束下,企业无需设立赔偿机制即可达到最优决策。此外,无论在多高的强制性安全标准约束下,企业总是在信息泄露风险较高时选择ONC策略,在信息泄露风险较低时选择OC策略。


本文的研究为企业安全外包的策略选择提供了一定的指导依据,但也存在以下局限性:1) 本文从信息安全保护的投资方进行考虑,尚未考虑到黑客行为对企业或者MSSP投资行为的影响,未来可以将策略黑客纳入研究范围。2) 企业可能是风险厌恶的,信息安全参与者风险偏好不同的模型值得研究。


参考文献


[1] 瑞星2021年中国网络安全报告[R]. 北京: 北京瑞星网安技术股份有限公司, 2022.

[2] Sierra Wireless. 无线设备制造公司在遭勒索软件攻击后工厂停产[EB/OL]. https://ti.dbappsecurity.com.cn/info/1796, 2021-03-25.

[3] 哥斯达黎加国家财政系统遭勒索攻击: 税务海关停摆[EB/OL]. https://www.freebuf.com/news/330941.html, 2022-04-25.

[4] MarketsandMarkets (2020) Managed Security Services Market Worth $46.4 Billion by 2025. India.

[5] Fortinet (2021) Cloud Security Report. https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/report-cybersecurity-cloud-security-report-fortinet-2.5.pdf

[6] 新加坡电信巨头近13万客户信息遭泄露, 涉身份证号等[EB/OL]. https://3g.163.com/dy/article/G358TCLE05129QAF.html, 2021-02-19.

[7] Hoecht, A. and Trott, P. (2006) Outsourcing, Information Leakage and the Risk of Losing Technology-Based Competencies. European Business Review, 18, 395-412.

https://doi.org/10.1108/09555340610686967

[8] Alexander, M. and Young, D. (1996) Strategic Outsourcing. Long Range Planning, 29, 116-119.

https://doi.org/10.1016/0024-6301(95)00075-5

[9] Lacity, M.C. and Willcocks, L.P. (1998) An Empirical Investigation of Information Technology Sourcing Practices: Lessons from Experience. MIS Quarterly, 22, 363-408.


上一篇 下一篇
暂无资料
相关内容
  • 生物质燃料论文
    关键词: 生物质燃料;可持续性;可持续认证;摘要: 当前气候变化问题、能源问题严峻及“碳达峰碳中和”压力较大的背景下,生物质燃料的关注度不断提升。本文从产能、技术、可持续性等方面入手,深入分析了生物质燃料发展过程中存在的问题,指出当前主流可持续性认证体系中的评价指标、碳排放核算方法等同我国国情的不符之处,为加快构建我国特色的生物质燃料可持续性
  • 顾客欣喜,顾客契合行为论文
    关键词: 顾客欣喜;顾客契合行为;顾客承诺; 摘要: 围绕移动购物情境,本研究挖掘顾客欣喜对顾客契合行为的影响机理,并探索这一关系链中有中介的调节机制。研究发现顾客欣喜显著且正向影响契合行为,这一关系受到网上购买经验的负向调节作用和顾客承诺的中介作用,且交互项通过顾客承诺间接影响顾客契合行为。研究结果为移动商家长期维系顾客有一定的借鉴意义。1.
  • 冷链物流论文
    关键词: 冷链物流;配送车;车厢内部优化设计;生鲜产品;摘要: 随着生鲜电商销售行业的快速发展,小规模多品种冷藏配送频率越来越高。文章在基于快递配送车研究现状的基础上,对冷链物流末端配送车应用现状进行调研,目前冷链物流末端配送车应用方面存在车厢容积利用率低;冷链配送作业取货不方便且效率低;制冷效果受到频繁开关小车门的影响三个方面的问题。因此对
  • 个性化推荐类型论文
    关键词: 个性化推荐类型;购买意愿;感知信任;感知价值;消费者知识;摘要: 个性化推荐作为如今电商平台的一个基本功能,在消费者购买决策中扮演重要角色。本研究以SOR理论为基础,探讨基于内容和协同过滤两种个性化推荐类型对消费者购买决策的影响差异和内在机制。研究结果表明:个性化推荐类型对消费者感知信任、感知价值和购买意愿的影响具有显著差异,协同过滤的
  • 有序度协调度模型论文
    关键词: 有序度;协调度模型;区域经济;摘要: 区域经济与区域物流龙头企业所组成的复合系统是多因素、多关联的复杂系统,区域经济与区域物流龙头企业的协同发展指是指两子系统在发展演化过程中彼此的和谐一致,是区域经济与区域物流龙头企业之间辩证联系的动态体现。本文基于区域经济学相关理论并以江西地区为例,定性分析区域物流龙头企业对区域经济的拉动作用以及
相关推荐
  • 跨国公司企业并购的系统动力学研究—以奔驰并购克莱斯勒公司为例
    关键词: WOTS-UP分析;系统动力学;跨国公司;企业并购;业务建模;摘要: 全球竞争和技术的不断进步正在显著改变企业的格局及其内部报告要求。本文通过对戴姆勒–奔驰公司WOTS-UP分析之前因构型,识别出与该公司未来发展相关的关键因素,并制定适当的策略来预测未来的发展和评估公司适应或利用这些发展的能力,然后通过开发支持战略选择的相关系统,将奔驰、克莱斯勒公司合
热门内容
  • 党史党建论文题目105个
     1.习近平新时代中国特色社会主义思想创立的历史考察,党史·党建 2.习近平总书记关于党史、国史的重要论述研究,党史·党建 3.习近平总书记关于大力弘扬“红船精神”等革命精神的重要论述研究,党史·党建 4.习近平新时代中国特色社会主义思想中加强党的全面领导思想研究,党史·党建 5.习近平新时代中国特色社会主义思想中全面从严治党思想研究,党史·党
  • 数字经济论文好写题目推荐50个
    数字经济论文好写题目推荐50个1“双循环”新发展格局下产业链升级机遇、挑战和路径选择    2从数字经济看自由主义的局限性   3我国数字贸易发展策略研究    4卖空机制如何影响企业数字化转型——理论机制分析与实证检验    5数字巨头跨界扩张的竞争法挑战与应对    6数字经济下的杭州丝绸企业品牌营销转型升级研究   7数字时代推进共
  • 党史论文选题精选88个
    •1.习近平总书记关于中国共产党历史重要论述研究,党史·党建,2022•2.习近平总书记关于坚持唯物史观、正确党史观重要论述研究,党史·党建,2022•3.习近平总书记关于坚持和加强党的全面领导重要论述研究,党史·党建,2022•4.习近平总书记关于推进党的自我革命重要论述研究,党史·党建,2022•5.习近平总书记关于依规治党重要论述研究,党史·党建,2022•6.树立正确历史认知
  • A企业仓储中心拣货流程优化研究
    第1章绪论1.1研究背景和意义1.1.1研究背景随着互联网技术的覆盖范围越来越广,电子商务平台因依托于互联网也在不断迅猛发展中。自2013年起,我国已连续八年成为全球最大的网络零售市场。根据中国互联网信息中心(CNNIC)统计调查发布的第47次《中国互联网络发展状况统计报告》显示,2020年,我国网上零售额达到11.76万亿元,较2019年增长10.9%。截至2020年12月,我国网络购物用户规
  • 东方甄选SWOT分析战略
    东方甄选是一家专注于高品质商品的电商平台。进行其SWOT分析可以帮助识别其内部优势(Strengths)和劣势(Weaknesses),以及外部机会(Opportunities)和威胁(Threats)。以下是基于一般情况的东方甄选SWOT分析:优势(Strengths)品质保证:东方甄选可能注重商品的品质,为消费者提供高质量的商品。精准定位:面向追求高品质生活的消费群体,定位清晰。品牌形象:可能建立了良好的品
联系方式
  • 13384015218
  • 13384015218
  • 921006691@qq.com