A new perspective on neutralization and deterrence: Predicting shadow IT usage

Abstract: A B S T R A C TThis study examines the role of neutralization and deterrence in discouraging employees from using Shadow IT: tools, services and systems used in an organization but not authorized by the IT department.Our study provides a unique contribution to the IT security literature by studying effects of neutralization on both intentions (self-reported) and actual behavior, as well as examining the role of shame as a mediator. We surveyed employees from four organizations and found that the "metaphor of t… Show more

“…Chan et al [9] detail ISP compliance as "core information security activities that need to be carried out by individuals to maintain information security as defined by ISP ". Thus, an internal security threat exists when an employee with legitimate access to the organisation's IT assets fails to comply with the organisation's ISPs [29]. In an effort to improve individual compliance and reduce undesirable behaviours, information security scholars have published a large number of studies that incorporate theories from sociology, criminology, psychology and other disciplines to achieve a deeper understanding of the antecedents of ISP non-compliance triggers [13,12].…”

“I do it because they do it”: Social-Neutralisation in Information Security Practices of Saudi Medical Interns

“…Chan et al [9] detail ISP compliance as "core information security activities that need to be carried out by individuals to maintain information security as defined by ISP ". Thus, an internal security threat exists when an employee with legitimate access to the organisation's IT assets fails to comply with the organisation's ISPs [29]. In an effort to improve individual compliance and reduce undesirable behaviours, information security scholars have published a large number of studies that incorporate theories from sociology, criminology, psychology and other disciplines to achieve a deeper understanding of the antecedents of ISP non-compliance triggers [13,12].…”

“I do it because they do it”: Social-Neutralisation in Information Security Practices of Saudi Medical Interns

“…O termo shadow IT, apesar de não ser recente, ainda carece de um conceito largamente aceito e um entendimento do que é o fenômeno e de como ele se apresenta nas organizações. O tópico pode ser considerado, então, relativamente inexplorado e o conhecimento atual ainda é limitado (e.g., Silic et al, 2017;Haag & Eckhartd, 2017…”

“…O lado negativo da shadow IT, contudo, persiste apesar dos potenciais benefícios. Muitos funcionários não estão cientes de que a shadow IT está violando as políticas de TI da empresa e colocando em risco a segurança da informação organizacional (Walter, 2013;Silic & Back, 2014;Silic et al, 2017). O risco a segurança, assim, figura entre as principais preocupações citadas na literatura (e.g., Silic & Back, 2014).…”

“…Contudo, quando a ação de um funcionário coloca a organização em risco pode não haver uma intenção maliciosa, e sim uma necessidade de ser produtivo (e.g., Zimmermann et al, 2017;. Em alguns casos os funcionários não estão cientes ou não entendem as políticas de segurança da informação da sua organização (e.g., Haag & Eckhardt, 2014;Silic et al, 2017).…”

“…Embora não seja um fenômeno novo e esteja cada vez mais em voga, este tópico é relativamente inexplorado e o conhecimento atual ainda é limitado e escasso (e.g., Silic et al, 2017;Haag & Eckhartd, 2017). A literatura acadêmica sobre shadow IT está focada em estudos exploratórios, os quais discutem, principalmente, os benefícios e malefícios destas tecnologias para as empresas (e.g., Fuerstenau & Rothe, 2014;Silic & Back, 2014), bem como sobre os mecanismos de governança para controle destas tecnologias (e.g., Györy et al, 2012;.…”

Shedding Light on Shadow IT: Definition, Related Concepts, and Consequences

References