Implementation of Data Loss Prevention Mechanisms in a Knowledge Organization: A Balance Between User Experience and Security

Abstract

De fleste organisasjoner har retningslinjer for hvordan man skal be- skytte og klassifisere data. Til tross for dette, skjer det dessverre mange hendelser hvor data går tapt eller lekkes i næringslivet. Det er også en risiko for at ansatte ikke er bevisste på organisasjonens retningslinjer eller at de ikke blir fulgt på riktig måte. For å sikre at dokumenter og e-post er beskyttet kan en Data Loss Prevention (DLP)-løsning implementeres. Samtidig er det viktig at de ansatte aksepterer løsningen, bruker den riktig og ikke oppfatter den som en barriere i sitt daglige arbeid. Denne masteroppgaven undersøker hvordan en DLP-løsning kan implementeres i en kunnskapsorganisasjon med fokus på brukeropplevelse og hvordan den kan påvirke de ansattes klassifiseringsrutiner.

Det er begrenset med forskning på balansen mellom sikkerhet og bru- keropplevelse i DLP løsninger, og det er derfor et relevant tema. Denne masteroppgaven gjennomførte brukertesting av DLP-løsningen Azure Information Protection (AIP), i tillegg til intervjuer, for å finne en aksep- tabel balanse mellom sikkerhet og brukeropplevelse. Dette ble etterfulgt av en spørreundersøkelse for a samle inn informasjon som kunne gi mer innsikt. Organisasjonen som ble studert er en kunnskapsorganisasjon med 2000 ansatte.

Resultatene indikerer at det er viktig at de ansatte opplever DLP funksjonene som nyttige, og at de har kontroll på dem og forstår hvordan de fungerer. I tillegg bør man være bevisst på å introdusere potensielle barrierer i løsningen for å sikre at de ikke forstyrrer de ansattes arbeidsflyt. Det ble i tillegg funnet at barrierer kun er akseptable når funksjonens verdi er tydelig. Resultatene indikerer også at ansatte med lederansvar er noe mer bevisste på klassifisering enn andre ansatte. Til tross for en eksisterende sikkerhetskultur, viser det seg at løsningen vil gjøre det lettere for de ansatte å følge organisasjonens klassifiseringspolicy, forbedre klassifiseringsrutinene og beskytte kundedata bedre. I tillegg vil DLP- løsningen gjøre dem mer bevisste på organisasjonens klassifiseringspolicier. For å lykkes i implementeringen av en DLP-løsning kreves det også tiltak fra organisasjonen, for eksempel i form av informasjon, håndhevelse og opplæringsprogrammer.

Organizations often have policies regarding how to protect and classify their data. Despite this there are, unfortunately, many data loss incidents happening in the business sector. There is also a risk that employees are not aware of the policies or that the policies are not practiced correctly. To ensure that documents and email are protected, a Data Loss Prevention (DLP) solution can be implemented. However, it is crucial that employees accept the solution, use it properly and do not perceive it as a barrier in their daily work life. This master thesis project aims to explore how a DLP solution can be implemented in a knowledge organization with focus on user experience and how it affects the employees’ classification routines.

Limited research has been conducted on the balance between security and user experience with DLP solutions, and it is therefore highly relevant. In this master thesis project, usability tests of the DLP solution Azure Information Protection (AIP) was conducted, together with interviews, in order to explore a proper balance between security and user experience. This was followed by a survey in order to gather information that could provide more insight. The case organization is a knowledge organization consisting of 2000 employees.

The findings indicate that it is important that the employees perceive the features as useful, and that they retain control over the classification functions and understand how they work. Furthermore, potential barriers should be introduced with care to ensure they do not interrupt the employees’ workflow. It was found that barriers are only acceptable in cases where the value of the function is clearly recognized. The results also showed that employees with management roles are only slightly more aware of classification than other employees. Despite an existing security culture, it was revealed that the solution will both enable employees to more easily practice the organization’s classification policy, improve classification routines and help better protect customer data. In addition, the DLP solution will make them more aware of the organization’s classification policies. However, a successful implementation of a DLP solution demands for actions by the organization, such as providing information, enforcement and tutorials.