Implementation of Information Security Management Systems based on the ISO/IEC 27001 Standard in different cultures Dissertation with the aim of achieving a doctoral degree at the Faculty of Mathematics, Informatics and Natural Sciences Department of Informatics of Universita¨t Hamburg Bahareh Shojaie February 20, 2018 Gutachter: Prof. Dr. Hannes Federrath Prof. Dr. Dieter Gollmann Tag der Disputation: January 22, 2018 Abstract In this thesis, we investigate the potential relationship between national cultural, polit- ical and economic characteristics regarding the adoption of ISO 27001, in terms of the average number of certificates issued (2006–2014). ISO 27001 is the most adopted in- ternational ISMS (Information Security Management System) standard, which provides IT governance by protecting sensitive data in a structured way. Although ISO 27001 is a generic standard for all organisations and countries, some countries have yet to adopt ISO 27001 extensively. The relationship between culture (mind-set and behaviour) and the adoption of an ISMS standard such as ISO 27001 has not been investigated yet. Based on our qualitative analysis, we observe a relationship between national cultural characteristicsofacountryandthenumberofissuedISO27001certificates. Inourquan- titative analysis, we separate countries into two groups based on the average number of the total ISO 27001 certificates that were issued worldwide (2006–2014). A common comparison approach may not be helpful for investigating the relationship between the adoption of ISO 27001 and the national cultural, political and economic characteristics of several countries from different continents. For countries with more than the aver- age number of the ISO 27001 certificates issued worldwide (2006–2014), we observe a relationship between the regulation density (regulation of credit, labour, and business), GDP (Gross Domestic Product; a monetary measure of a country’s economy and eco- nomic performance that equalises the purchasing power of different currencies divided by population), and the average degree of comfortableness with uncertainty of people in a country on one side, and the adoption of ISO 27001 on the other side. For coun- tries with less than the average number of the ISO 27001 certificates issued worldwide (2006–2014), we observe a relationship between the average degree of individualism of people in a country, the GDP, and the relation to authority and the expected level of hierarchical order of people in a country on one side, and the adoption of ISO 27001 on the other side. The correlation does not imply causality in this thesis. Kurzfassung DieseArbeituntersuchtdiepotenzielleWechselwirkungzwischennationalenkulturellen, politischen und wirtschaftlichen Charakteristiken, die als Gegenstand dieser Arbeit aus- gew¨ahlt wurden, und der Umsetzung von ISO 27001, die wiederum anhand der durch- schnittlichen Anzahl von herausgegebenen Zertifikaten (2006–2014) gemessen werden kann. ISO 27001 ist der am meisten umgesetzte internationale Standard fu¨r Manage- mentsystemederInformationssicherheit(ISMS,engl. InformationSecurityManagement System), der den Schutz von sensiblen Daten in einer strukturierten Art und Weise und damit IT-Governance bietet. Obwohl ISO 27001 einen fu¨r alle Organisationen und L¨ander allgemeingu¨ltigen und generischen Standard darstellt, mu¨ssen viele L¨ander ISO 27001 noch umfangreich umsetzten. Die Beziehung zwischen Kultur (Denkweise und Verhalten) und der Umsetzung eines ISMS-Standards wurde bisher noch nicht un- tersucht und ist Gegenstand dieser Arbeit. Basierend auf einer qualitativen Analyse k¨onnen wir eine Beziehung zwischen nationalen kulturellen Charakteristiken und der Anzahl der herausgegebenen ISO 27001 Zertifikate beobachten. Daru¨ber hinaus haben wir im Zuge unserer quantitativen Analyse basierend auf der durchschnittlichen An- zahl aller herausgegebenen ISO 27001 Zertifikate weltweit (2006–2014) L¨ander in zwei Gruppen eingeteilt, um die Wechselwirkung zwischen der Umsetzung von ISO 27001 und nationalen kulturellen, politischen und wirtschaftlichen Charakteristiken zu unter- suchen. Ein gemeinsamer Ansatz zum Vergleich erscheint bei dieser Untersuchung ver- schiedener L¨ander auf unterschiedlichen Kontinenten nicht hilfreich. Bei L¨andern mit einer u¨berdurchschnittlichen Anzahl an herausgegebenen ISO 27001 Zertifikaten (2006– 2014) beobachten wir eine Beziehung zwischen der Regulierungsdichte (Regulierung von Banken, Arbeitswelt und Gewerbe), dem Bruttoinlandsprodukt (BIP, eine monet¨are Maßeinheit der Wirtschaftskraft eines Landes, die gleichzusetzen ist mit der Kaufkraft verschiedener W¨ahrungen geteilt durch die zugeh¨orige Population) sowie dem durch- schnittlichen Grad an Risikobereitschaft von Bewohnern eines Landes auf der einen Seite und der Umsetzung von ISO 27001 auf der anderen Seite. Bei L¨andern mit einer unterdurchschnittlichenAnzahlanherausgegebenenISO27001Zertifikaten(2006–2014) beobachten wir eine Beziehung zwischen dem durchschnittlichen Grad an Individualis- mus von Bewohnern eines Landes, dem BIP sowie der Beziehung zu Autorit¨at und dem erwartetem Grad an hierarchischer Ordnung von Bewohnern eines Landes auf der einen Seite und der Umsetzung von ISO 27001 auf der anderen Seite. Die Wechselwirkungen implizieren keine Kausalit¨at in dieser Arbeit. iv Acknowledgements I am grateful to express my sincere gratitude to Prof. Dr. Hannes Federrath for the continuous support of my Ph.D study and related research, for his patience, motivation, and immense knowledge. His guidance helped me in all the time of research and writing of this thesis significantly. Besides my advisor, I would like to thank Prof. Dr. Dieter Gollmann, for his insightful comments and encouragement to widen my research from various perspectives. I wish to give my heartfelt thanks to “my angel, my heart, my entire world and my everything: Imanam”, “my precious: Mom” and “my hero: Dad.”, and I would like to dedicate this thesis to “my best friend even before I was born: Mom”. vi Contents Abstract ii Kurzfassung iv Acknowledgements vi Contents vii List of Figures x List of Tables xi Abbreviations xii 1 Introduction 1 1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Research Problems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.3 Relevance and Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.4 Research Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.5 Contribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.6 Outline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2 Fundamentals 10 2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.2 Information Security Management System . . . . . . . . . . . . . . . . . . . 10 2.2.1 Processes of Developing an ISMS Based on ISO 27001 . . . . . . . . 12 2.2.2 ISO 27001 History . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.2.3 The ISO 27001 Standard Overview . . . . . . . . . . . . . . . . . . . 16 2.2.4 ISO 27001:2005 vs. ISO 27001:2013 . . . . . . . . . . . . . . . . . . 17 2.2.5 ISO 27001 Certification Process . . . . . . . . . . . . . . . . . . . . 20 2.2.6 ISO 27001 and Culture . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.3 Culture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.3.1 Definition of Culture . . . . . . . . . . . . . . . . . . . . . . . . . . 23 2.3.2 Cultural Characteristics: Uncertainty Avoidance (UAI), Power Dis- tance (PDI), and Individualism (IDV) . . . . . . . . . . . . . . . . . 28 2.4 Politics and Economy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 2.4.1 Political Characteristics: Regulations and Legal System . . . . . . . . 30 2.4.2 Economic Characteristic: Gross domestic product (GDP) . . . . . . . 31 2.5 Global Cybersecurity Index . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 vii Contents viii 3 Literature Review and Cultural, Political and Economic Characteristics 36 3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3.2 Related Work on Information Security and Culture. . . . . . . . . . . . . . . 36 3.2.1 ISO 27001 and Cultural Characteristics. . . . . . . . . . . . . . . . . 37 3.2.2 Information Security and Hofstede Cultural Characteristics . . . . . . 43 3.3 Cultural, Political and Economic Characteristics . . . . . . . . . . . . . . . . 44 3.3.1 ISO 27001 and Hofstede Cultural Characteristics . . . . . . . . . . . 45 3.3.2 ISO 27001 and Regulations and Legal System . . . . . . . . . . . . . 46 3.3.3 ISO 27001 and GDP (Gross domestic product) . . . . . . . . . . . . 47 3.3.4 The Selected Characteristics for the Purpose of This Thesis . . . . . 48 4 Qualitative Analysis 50 4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 4.2 Annex A controls of ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . 51 4.2.1 High-Level Classification . . . . . . . . . . . . . . . . . . . . . . . . 51 4.2.2 The National Cultural Characteristics Selected . . . . . . . . . . . . . 52 4.3 Spectrum of Adoption Rate of ISO 27001 in Different Countries . . . . . . . 54 4.3.1 Countries with the Highest Average Number of Certification . . . . . 54 4.3.2 Countries with the Lowest Average Number of Certification . . . . . . 56 4.4 National Information Security Guidelines . . . . . . . . . . . . . . . . . . . . 58 4.4.1 The Implementation of ISO 27001 . . . . . . . . . . . . . . . . . . . 59 4.4.2 Cultural Characteristics . . . . . . . . . . . . . . . . . . . . . . . . . 60 4.5 Alternative Factors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 4.6 Conclusion of Qualitative Analysis . . . . . . . . . . . . . . . . . . . . . . . 61 5 Methodology of Quantitative Analysis 63 5.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 5.2 Statistical Fundamentals for Statistical Models. . . . . . . . . . . . . . . . . 63 5.3 Basic Assumptions and Definitions . . . . . . . . . . . . . . . . . . . . . . . 67 5.4 Tools and Statistics of Our Model . . . . . . . . . . . . . . . . . . . . . . . 69 6 Results of Quantitative Analysis 72 6.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 6.2 Dataset Preparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 6.2.1 Overall Evaluation of our Dataset . . . . . . . . . . . . . . . . . . . 73 6.2.2 Classifying our Dataset into Two Groups . . . . . . . . . . . . . . . . 75 6.3 First Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 6.3.1 Average Number of ISO 27001 Certification . . . . . . . . . . . . . . 76 6.3.2 Statistical Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 6.3.3 Statistical Models and the Characteristics Selected . . . . . . . . . . 78 6.3.4 Discussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 6.4 Second Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 6.4.1 Average Number of ISO 27001 Certification . . . . . . . . . . . . . . 82 6.4.2 Statistical Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 6.4.3 Statistical Models and the Characteristics Selected . . . . . . . . . . 84 6.4.4 Discussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 6.5 Case Study: Germany vs. Iran. . . . . . . . . . . . . . . . . . . . . . . . . . 88 Contents ix 6.6 Conclusion of Quantitative Analysis . . . . . . . . . . . . . . . . . . . . . . 89 7 Conclusion 91 A Annex A Controls 93 B Countries with the Highest Levels of Global Cybersecurity Index 99 C Number of ISO 27001 Certificates per Population and Urban Population 101 D The Normalised Values Number of ISO 27001 Certificates by GDP-PPP and Population 104 E Number of ISO 27001 Certificates and the Average Total Cost of a Data Breach 107 Bibliography 111 List of Publications That Resulted from the Dissertation Project 131 Eidesstattliche Erkl¨arung 133