Towards better information security with UX practices : A Systematic Literature Review
Kauppinen, Katri (2023)
Kauppinen, Katri
2023
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2023042638875
https://urn.fi/URN:NBN:fi-fe2023042638875
Tiivistelmä
When the risk of information security breach is rising higher, companies are trying to find ways to take better care of information security. There have been implications of making information security on the expense of user experience and vice versa. It’d be important to get people to understand that both information security and user experience are everyone’s responsibility. This work attempts to find ways to combine information security and user experience theories and practices in a way which could make better and safer user experiences possible. This work is taking look at the subject on metalevel, and aim is to bring better understanding of possibilities in improving information security and user experience in collaboration with each other.
A systematic literature review was conducted to meet the goals set. Literature was retrieved from two different databases in January 2023. The research time range consisted of studies pub-lished during Covid-19 pandemic meaning January 2020 – January 2023. Material was evaluated on the relativity basis on both information security and user experiences studies. The material selection proceeded on first evaluating the article titles and abstracts also leaving out studies published out of the set time range. Secondly the introductions and conclusions and on the final round the studies were evaluated as whole and the most relevant 21 articles were chosen as primary studies.
The combination of information security and user experience has not been studied for long as it seems to have been studied for about past 20 years. Also based on the number of articles related it seems that the interest towards the subject has risen as the number of published articles an-nually has increased from about dozen to tens and during recent years even over 100 articles a year.
Synthesis was done based on the chosen primary articles. Plenty of different user experience actions were found to improve information security, as information security actions mostly ei-ther decreased usability or were mentioned not to decrease user experience. Only focusing de-velopment to security features users valued was considered to improve user experience.
The most important findings were, that organizations are providing different kinds of infor-mation security training, but plenty of adjustments can be made to make the training more ef-fective. Interactivity, providing modest amount of visual effects, providing examples with more thorough feedback about signs of fraudulent actions, and including little bit of gamification in-creased the effects and therefore also the value of the training.
The research managed to show value in cooperation between information security and user experience experts and providing information regarding recent changes in the post-pandemic world. Aikana, jona tietoturvallisuus poikkeamien riski kasvaa korkeammalle, yritykset yrittävät löytää keinoja vastata tietoturvallisuudesta paremmin. Aiemmin on esiintynyt näkemyksiä tietoturvallisuuden toteuttamisesta käyttäjäkokemuksen kustannuksella ja toisin päin. Olisi tärkeää saada ihmiset ymmärtämään, että sekä tietoturvallisuus että käyttäjäkokemus ovat kaikkien toimijoiden vastuulla. Tämä tutkimus tarkastelee aihetta metatasolla tarkoituksena tuoda lisää ymmärrystä mahdollisuuksista parantaa tietoturvallisuutta ja käyttäjäkokemusta yhteistyössä toistensa kanssa.
Vastauksia haettiin systemaattisella kirjallisuuskatsauksella. Hyödynnetty aineisto noudettiin kahdesta eri tietolähteestä tammikuussa 2023. Tutkimukseen valittiin mukaan aineistoja, jotka oli julkaistu Covid-19 pandemian aikana tammikuussa 2020 – tammikuussa 2023. Aineistoa arvioitiin tutkimusten esittämän liitännäisyyden perusteella koskien tietoturvallisuutta ja käyttäjäkokemusta ja näiden vaikutusta toisiinsa. Aineiston valinta eteni ensin rajaamalla aikarajoituksen ulkopuolelle jäävät tutkimukset pois ja arvioimalla artikkeleiden otsikoita ja tiivistelmiä, sitten johdantoa ja lopputuloksia, ja tämän jälkeen vielä mukana olleet tutkimukset luettiin kokonaan, jolloin lopulta tutkimukseen valikoitui 21 artikkelia.
Tietoturvallisuutta ja käyttäjäkokemusta yhdessä on tutkittu vasta viimeiset 20 vuotta. Mielenkiinto tutkimukseen on kuitenkin yhteisöllä herännyt, sillä viime vuosina vuosittain julkaistujen artikkelien määrä on noussut noin tusinasta artikkeleita kymmeniin ja viime vuosina jopa yli sataan artikkeliin vuodessa.
Synteesi perustui valittuihin primaaritutkimuksiin. Tuloksissa korostui käyttäjäkokemukseen liittyvät toimet, jotka auttoivat parantamaan tietoturvallisuutta. Tietoturvallisuuden toimien osalta toimet lähinnä joko heikensivät käytettävyyttä tai niistä mainittiin, ettei toimet heikentäneet käyttäjäkokemusta. Ainoa käyttäjäkokemusta parantava asia oli tuotekehityksen keskittäminen tietoturvaominaisuuksiin, joita käyttäjät pitävät tärkeinä.
Tutkimuksen tärkeimmät tulokset olivat, että organisaatiot tarjoavat monenlaista tietoturvallisuuskoulutusta, mutta koulutuksen tehokkuuteen voidaan vaikuttaa useammillakin toimilla. Tehokkuutta saatiin parannettua interaktiivisuudella, rajaamalla visuaalisten efektien määrää, sisällyttämällä vähän pelillisiä piirteitä, nostamalla esille esimerkkejä ja sisällyttämällä niihin mukaan tarkempia palautteita ja sisällyttämällä tietoa potentiaalisen tietoturvapoikkeaman merkeistä.
Tutkimus onnistui osoittamaan, millaista arvoa on mahdollista tuottaa yhdistämällä tietoturvallisuuden ja käyttäjäkokemuksen asiantuntemusta. Lisäksi pystyttiin tarjoamaan tietoa liittyen viimeaikaisiin muutoksiin Covid-19 pandemian jälkeisessä maailmassa.
A systematic literature review was conducted to meet the goals set. Literature was retrieved from two different databases in January 2023. The research time range consisted of studies pub-lished during Covid-19 pandemic meaning January 2020 – January 2023. Material was evaluated on the relativity basis on both information security and user experiences studies. The material selection proceeded on first evaluating the article titles and abstracts also leaving out studies published out of the set time range. Secondly the introductions and conclusions and on the final round the studies were evaluated as whole and the most relevant 21 articles were chosen as primary studies.
The combination of information security and user experience has not been studied for long as it seems to have been studied for about past 20 years. Also based on the number of articles related it seems that the interest towards the subject has risen as the number of published articles an-nually has increased from about dozen to tens and during recent years even over 100 articles a year.
Synthesis was done based on the chosen primary articles. Plenty of different user experience actions were found to improve information security, as information security actions mostly ei-ther decreased usability or were mentioned not to decrease user experience. Only focusing de-velopment to security features users valued was considered to improve user experience.
The most important findings were, that organizations are providing different kinds of infor-mation security training, but plenty of adjustments can be made to make the training more ef-fective. Interactivity, providing modest amount of visual effects, providing examples with more thorough feedback about signs of fraudulent actions, and including little bit of gamification in-creased the effects and therefore also the value of the training.
The research managed to show value in cooperation between information security and user experience experts and providing information regarding recent changes in the post-pandemic world.
Vastauksia haettiin systemaattisella kirjallisuuskatsauksella. Hyödynnetty aineisto noudettiin kahdesta eri tietolähteestä tammikuussa 2023. Tutkimukseen valittiin mukaan aineistoja, jotka oli julkaistu Covid-19 pandemian aikana tammikuussa 2020 – tammikuussa 2023. Aineistoa arvioitiin tutkimusten esittämän liitännäisyyden perusteella koskien tietoturvallisuutta ja käyttäjäkokemusta ja näiden vaikutusta toisiinsa. Aineiston valinta eteni ensin rajaamalla aikarajoituksen ulkopuolelle jäävät tutkimukset pois ja arvioimalla artikkeleiden otsikoita ja tiivistelmiä, sitten johdantoa ja lopputuloksia, ja tämän jälkeen vielä mukana olleet tutkimukset luettiin kokonaan, jolloin lopulta tutkimukseen valikoitui 21 artikkelia.
Tietoturvallisuutta ja käyttäjäkokemusta yhdessä on tutkittu vasta viimeiset 20 vuotta. Mielenkiinto tutkimukseen on kuitenkin yhteisöllä herännyt, sillä viime vuosina vuosittain julkaistujen artikkelien määrä on noussut noin tusinasta artikkeleita kymmeniin ja viime vuosina jopa yli sataan artikkeliin vuodessa.
Synteesi perustui valittuihin primaaritutkimuksiin. Tuloksissa korostui käyttäjäkokemukseen liittyvät toimet, jotka auttoivat parantamaan tietoturvallisuutta. Tietoturvallisuuden toimien osalta toimet lähinnä joko heikensivät käytettävyyttä tai niistä mainittiin, ettei toimet heikentäneet käyttäjäkokemusta. Ainoa käyttäjäkokemusta parantava asia oli tuotekehityksen keskittäminen tietoturvaominaisuuksiin, joita käyttäjät pitävät tärkeinä.
Tutkimuksen tärkeimmät tulokset olivat, että organisaatiot tarjoavat monenlaista tietoturvallisuuskoulutusta, mutta koulutuksen tehokkuuteen voidaan vaikuttaa useammillakin toimilla. Tehokkuutta saatiin parannettua interaktiivisuudella, rajaamalla visuaalisten efektien määrää, sisällyttämällä vähän pelillisiä piirteitä, nostamalla esille esimerkkejä ja sisällyttämällä niihin mukaan tarkempia palautteita ja sisällyttämällä tietoa potentiaalisen tietoturvapoikkeaman merkeistä.
Tutkimus onnistui osoittamaan, millaista arvoa on mahdollista tuottaa yhdistämällä tietoturvallisuuden ja käyttäjäkokemuksen asiantuntemusta. Lisäksi pystyttiin tarjoamaan tietoa liittyen viimeaikaisiin muutoksiin Covid-19 pandemian jälkeisessä maailmassa.