NAGIOS: RODERIC FUNCIONANDO
The human factor in cybersecurity: An experimental approach to cyber-risk and cyberinsurance
Repositori DSpace/Manakin
- Inici
- Investigació
- e-prints
- 53 - Ciències Económiques
- Visualitza element
IMPORTANT: Aquest repositori està en una versió antiga des del 3/12/2023. La nova instal.lació está en https://roderic.uv.es/
The human factor in cybersecurity: An experimental approach to cyber-risk and cyberinsurance
Mostra el registre parcial de l'element
| dc.contributor.advisor | Vila, José E. | |
| dc.contributor.author | Gómez González, Yolanda | |
| dc.contributor.other | Departament d'Anàlisi Econòmica | es_ES |
| dc.date.accessioned | 2021-04-23T07:52:22Z | |
| dc.date.available | 2022-04-24T04:45:10Z | |
| dc.date.issued | 2021 | es_ES |
| dc.date.submitted | 24-03-2021 | es_ES |
| dc.identifier.uri | https://hdl.handle.net/10550/78892 | |
| dc.description.abstract | This research work aims at developing and experimentally validate theoretically-sound behavioural models capable to explain and foresee the adoption of cyberinsurance and related human cybersecurity behaviour. Specifically, this dissertation focus on three critical and interrelated dimensions of cybersecurity: cyberinsurance (adoption of insurance products partially covering the impact of potential attacks), cyberprotection (adoption of measures able to reduce the risk level of suffering an attack) and online behaviour (level of cyber-risk assumed by users when navigating online). Such dimensions take into the game most of the relevant behavioural issues related to cyberinsurance adoption, such as (i) the rationality of the allocation of the available cybersecurity budget between the adoption of protection and insurance products, (ii) the potential negative effect coming from the information asymmetry intrinsic to any field of insurance (including cyberinsurance) and; (iii) belief formation on cybervulnerability, especially on risk perception and risk assessment methods in case of intentional attacks. By achieving this objective, our research contributes to fill the critical existing gap on how agents do actually make their decisions on cyberinsurance adoption and form their perceptions on their own cyber-risks, which has relevant scientific as well as policy-making and business development role as shown in the discussion section of this dissertation. This research work is structured in 3 chapters: (i) This study is devoted to understanding and modelling critical behavioural insights in the process of cyberinsurance adoption. Specifically, we start by analysing potential deviations from perfect rationality and the main behavioural features in the purchase of cyberinsurance polices. We also analyse how the adoption of cyberinsurace may affect agents’ behaviours in other dimensions of their cybersecurity strategy, such as cyberprotection and safety level when navigating online. To validate our findings, we run an online economic experiment with 4,800 subjects in four EU countries. Our main conclusion is that Rational Choice Models fail to predict agents’ cybersecurity decision. Specifically, we found that individuals show a tendency to opt for an overprotective cybersecurity strategy by ensuring higher protection levels and insurance coverage than those maximising their expected utility. This result motivates the application of a behavioural economics approach to analyse the cyberinsurance, motivating the development of alternative behavioural models not assuming perfect rationality and capable to explain our observational data. Moreover, this result highlights the focus on the human component of cybersecurity and the need to develop behavioural-oriented interventions based in sound behavioural insights and capable to take advantage of the non-rational component of cybersecurity decision-making. (ii) Business disruption from cyberattacks is a recognised and growing concern, yet the uptake of cyberinsurance has been relatively low. This study proposed and tested a predictive model of cyberinsurance adoption, incorporating elements of Protection Motivation Theory (PMT) and the Theory of Planned Behaviour (TPB) as well as factors in relation to risk propensity and price. Data was obtained from an online behavioural economics experiment with 4,800 participants across four EU countries. During the experiment, participants were given the opportunity to purchase different protection measures and cyberinsurance products before performing an online task. Some participants then suffered a cyberattack in the experimental setup, the probability of which was dependent upon their adoption of protection measures and their behaviour during the online task. The consequences of this attack were in turn dependent upon their cyberinsurance purchase decisions (i.e., basic vs premium insurance purchase). Structural Equation Modelling (SEM) was applied and the model was further developed to include elements of the wider security ecosystem. The resulting model shows that all TPB factors, but only response efficacy from the PMT factors positively predicted adoption of premium cyberinsurance. Premium insurance adoption was also influenced by security measure adoption, individual propensity for risk, and the price differential between basic and premium products. Interestingly, adoption of cybersecurity measures was associated with safer behaviour online, contrary to concerns of ‘moral hazard’. The findings highlight the need to consider the larger cybersecurity ecosystem when designing interventions to increase adoption of cyberinsurance and/or promote more secure online behaviour. (iii) In domains such as homeland security, cybersecurity and competitive marketing it is frequently the case that analysts need to forecast adversarial actions that impact our decisions. Standard structured expert judgement elicitation techniques fall short as they do not take into account intentionality. A decomposition technique based on adversarial risk analysis followed by recomposition rules based on discrete choice models enable such process facilitating such assessments. | en_US |
| dc.description.abstract | Este trabajo de investigación tiene como objetivo el desarrollo y validación experimental de modelos conductuales, con sólido fundamento teórico, capaces de explicar y prever la adopción de ciberseguro, así como los de los elementos clave de ciberseguridad detrás de dicha adopción. Con este fin, la presente disertación se centra en tres dimensiones clave en ciberseguridad: ciberseguro (adopción de productos de seguros que cubren parcialmente el impacto de posibles ataques), ciberprotección (adopción de medidas capaces de reducir el riesgo de sufrir un ataque) y comportamiento online (nivel de riesgo asumido por los usuarios cuando navegan en Internet). Estas dimensiones recogen aspectos conductuales relevantes que condicionan la adopción de ciberseguro, tales como: (i) la racionalidad en el reparto del presupuesto disponible para ciberseguridad entre productos de ciberprotección y seguros, (ii) posibles efectos negativos causados por la asimetría de información intrínseca a cualquier tipo de seguro (incluido el ciberseguro) y; (iii) formación de creencias sobre cibervulnerabilidad, especialmente en la percepción del nivel riesgo de recibir un ataque intencional, así como los métodos de elicitación de dichas creencias. Cumpliendo este objetivo, nuestra investigación contribuye a llenar un vacío en la literatura sobre la toma de decisión de compra de ciberseguros y la formación de percepciones sobre el ciber-riesgo. Tal y como se muestra en la sección de discusión de esta disertación, esta aportación tiene un papel relevante tanto científico como de formulación de políticas y de desarrollo empresarial. Este trabajo de investigación está estructurado en 3 capítulos: (i) Este estudio está dedicado a comprender y modelar las componentes conductuales críticas en el proceso de adopción del ciberseguro. En concreto, comenzamos analizando las posibles desviaciones de la racionalidad perfecta y las principales características conductuales durante la compra de ciberseguros. También analizamos cómo la adopción del ciberseguro puede afectar al comportamiento de los agentes en otras dimensiones estratégicas de la ciberseguridad, como la ciberprotección y el nivel de seguridad al navegar online. Para validar nuestros resultados, llevamos a cabo un experimento económico online con 4.800 sujetos en cuatro países de la UE. Nuestra principal conclusión es que los modelos de elección racional no pueden predecir la decisión sobre ciberseguridad de los agentes. Específicamente, encontramos que las personas muestran una tendencia a optar por una estrategia de ciberseguridad sobreprotectora al garantizar niveles de protección y cobertura más altos que aquellos que maximizan su utilidad esperada. Este resultado motiva la aplicación de un enfoque de economía conductual para analizar el ciberseguro, motivando el desarrollo de modelos conductuales alternativos que no asuman una racionalidad perfecta y sean capaces de explicar nuestros datos observacionales. Además, este resultado destaca la componente humana de la ciberseguridad y la necesidad de desarrollar intervenciones orientadas al comportamiento basadas en mecanismos conductuales y capaces de aprovechar la componente no racional de la toma de decisiones sobre ciberseguridad. (ii) La interrupción del negocio por ataques cibernéticos es una preocupación reconocida y creciente, sin embargo, la aceptación del ciberseguro ha sido relativamente baja. Este estudio propone y prueba un modelo predictivo de adopción de ciberseguros, incorporando elementos de la Teoría de la Motivación de la Protección (PMT) y la Teoría del Comportamiento Planificado (TPB), así como factores relacionados con la propensión al riesgo y el precio. Los datos se obtuvieron de un experimento de economía del comportamiento online con 4.800 participantes en cuatro países de la UE. Durante el experimento, los participantes tuvieron la oportunidad de comprar diferentes medidas de protección y productos de ciberseguro antes de realizar una tarea online. Seguidamente, algunos participantes sufrieron un ciberataque dentro del experimento, cuya probabilidad dependía de la adopción de medidas de protección y su comportamiento durante la tarea online. Las consecuencias de este ataque, a su vez, dependían de sus decisiones de compra de ciberseguro. El modelo utilizado se basa en ecuaciones estructurales (SEM) en el cual se incluye elementos del ecosistema de seguridad. El modelo resultante muestra que todos los factores TPB y únicamente el factor eficacia de respuesta de la PMT, predijeron positivamente la adopción de ciberseguro premium. La adopción de seguros premium también se vio influenciada por la adopción de medidas de seguridad, la propensión individual al riesgo y la diferencia de precio entre productos básicos y premium. Curiosamente, la adopción de medidas de ciberseguridad se asoció con un comportamiento más seguro online, contrariamente a las preocupaciones de "riesgo moral". Los hallazgos destacan la necesidad de considerar un ecosistema de ciberseguridad más amplio al diseñar intervenciones para aumentar la adopción de ciberseguros y / o promover un comportamiento online más seguro. (iii) En dominios como la seguridad nacional, la ciberseguridad y el marketing competitivo, es frecuente que los analistas necesiten pronosticar acciones adversas que afectan nuestras decisiones. Las técnicas estructuradas estándar de obtención del juicio de expertos son insuficientes porque no tienen en cuenta la intencionalidad. Una técnica de descomposición basada en el análisis de riesgo de confrontación seguida de reglas de recomposición basadas en modelos de elección discreta permite tal proceso facilitando tales evaluaciones. | es_ES |
| dc.format.extent | 222 p. | es_ES |
| dc.language.iso | en | es_ES |
| dc.subject | comportamiento | es_ES |
| dc.subject | ciberseguridad | es_ES |
| dc.title | The human factor in cybersecurity: An experimental approach to cyber-risk and cyberinsurance | es_ES |
| dc.type | doctoral thesis | es_ES |
| dc.subject.unesco | UNESCO::CIENCIAS ECONÓMICAS::Economía general::Comportamiento del consumidor | es_ES |
| dc.subject.unesco | UNESCO::CIENCIAS ECONÓMICAS::Actividad económica::Seguros | es_ES |
| dc.embargo.terms | 1 year | es_ES |
Visualització
(5.219Mb)
Aquest element apareix en la col·lecció o col·leccions següent(s)
-
Tesis [7594]
-
53 - Ciències Económiques [1844]