Gamification of IT security - any applications yet?

9

La gamification, che è l'uso di elementi di game design e meccaniche di gioco in un contesto non di gioco, è un argomento molto discusso. Guardando l'impatto comportamentale su Gamification, ha il potenziale per educare gli utenti alla sicurezza IT e premiare comportamenti sicuri, specialmente in un ambiente aziendale.

Le applicazioni che ho trovato sono per lo più giochi seri, ad eccezione di Privacyville, che non è un gioco in sé, ma una politica sulla privacy "gamificata" (che è più simile a quello che sto cercando)

link

link

link

link

Quali applicazioni ci sono, che gamify IT / sicurezza copista in particolare ?

  • Quali strumenti di sicurezza applicano meccaniche o elementi di gamification?

  • Quali aziende utilizzano queste tecniche per educare o premiare i propri dipendenti per la conformità alla sicurezza? (come dare loro risultati, distintivi, punteggi o classificarli in una classifica)

posta J_rgen 10.07.2013 - 11:42
fonte

2 risposte

1

Ogni programma di cui ho sentito parlare (e ce ne sono solo pochi) è cresciuto in casa e ha avuto risultati contrastanti, soprattutto a causa della progettazione del programma. Io, personalmente, sto sviluppando un programma per incorporare la Gamification in un corso di formazione sulla consapevolezza del Phishing. La mia speranza è di sfruttare i miei successi in questa area per espandermi in altre aree della formazione sulla sicurezza degli utenti, ma questo approccio è molto nuovo.

Un'enorme modifica che ho apportato è stata la rimozione di tutti i riferimenti a "Gamification" perché causa confusione. Invece, uso il termine "metriche di feedback attivo" e "metriche comparative" e spero che non sembri troppo banale ("spostamento del paradigma" e tutto il resto ...).

I miei obiettivi nella progettazione sono:

  • modifica comportamentale invece del trasferimento di conoscenza
  • breve allenamento / tempo di interazione
  • allenamento che aumenta di difficoltà dopo il successo dell'utente
  • attivo invece di apprendimento passivo
  • tempi brevi tra le interazioni
  • "punteggio" semplice (a.k.a "feedback attivo immediato") che può essere condiviso con i pari

Uno dei vantaggi inaspettati di Gamification è che è possibile portare gli utenti in un materiale molto più complesso di quanto sarebbe possibile solo attraverso l'apprendimento passivo. Gli utenti sono allettati ad affrontare il materiale opzionale per ottenere il loro punteggio / premio / successo / vantarsi / feedback attivo.

Dalla mia esperienza, penso che la Gamification possa essere utilizzata per colmare le lacune nella tradizionale formazione sulla sicurezza perché, in definitiva, non vogliamo che gli utenti sappiano semplicemente cosa dovrebbero fare, ma per "fare" ciò che sono dovrebbe fare, anche se non sanno esattamente perché (anche se la conoscenza stessa è utile). Ciò significa che ciò su cui dobbiamo concentrarci è la modifica comportamentale e Gamification è particolarmente adatto a questo scopo.

    
risposta data 11.07.2013 - 17:35
fonte
0

Di tanto in tanto eseguo il pentesting e sono stato a una società finanziaria che si incontrava con i loro architetti, ecc., mi è stato comunicato che il loro "guru" per la sicurezza delle informazioni era venuto a bordo e ha provato a fare qualcosa di simile. Il risultato è stato orribile. Mi è stato detto che molti erano offesi dal modo in cui questa persona trasmetteva sicurezza e rischi. Ad es .: aveva ritagli di cartone di persone con pistole con verbosità come: "Questo criminale vuole la tua password, ecc."

Le aziende sono nel business per fare soldi. La sicurezza non ha alcun ROI tangibile e nessuna statistica di pitching (AV * EF = SLE) se è qualitativa o quantitativa. Le discussioni possono essere fatte a favore e contro questo e la Legge di Murphy vincerà tutti. Detto ciò, quale vantaggio ha un'azienda nel spendere risorse tangibili per un gioco.

A questo si è risposto, nel senso che, ho dedotto che si trattava di una questione riguardante le politiche e le procedure di sicurezza nel loro complesso. Il commento "hacme bank" potrebbe funzionare in un campo basato sulla sicurezza, potrebbe funzionare per illustrare il rischio di dire programmatori e sviluppatori web, ma per la persona media (receptionist, account manager), sarebbe come un cervo in fari (confuso ).

Un programma come questo, costerebbe (ore uomo, tempo trascorso lontano dal lavoro per i giochi, ecc.), quindi a meno che non si possa dimostrare che i membri del Consiglio (in una grande corp.), senior (CEO, CFO, ecc. ), che può fare soldi in qualche modo, non vedo che diventi una norma. Mentre puoi dire: "Può risparmiare" a un CEO, direttore operativo, CFO, è probabile che cercheranno una soluzione "tecnica" (firewall, proxy email, ecc.) Che è più economica di dover dire una quantità N di ore di lavoro perse in un gioco.

Fai i conti:

Big Corp (10,000 employees)
Security Game (1/2 hour of time)
Game Plays (once per quarter)
Employee Salary $7.25

Se tutti pagavano il salario minimo, il costo per gioco in salario sarebbe di $ 36.250,00 per trimestre, esclusi i costi per la creazione, eventuali server, potenziali perdite aziendali dovute a qualcuno che gioca, ecc. A questo ritmo, mantenendo le persone informato normalmente (una volta al trimestre) e costerebbe $ 145.000,00 solo sui salari. (7.25 [salary] * 10.000 [# di dipendenti] / 2 [ mezz'ora di tempo] * 4 [volte all'anno ] ) Un CEO / CFO / CTO cercherà immediatamente una tecnologia per risolvere questo problema. Ad esempio, un server proxy di posta elettronica per rilevare il phishing potrebbe costare $ 30.000,00, una e-mail veloce, non costa nulla. Non ha troppo senso finanziario per portare "giochi" nell'ambiente. Il business è solo quello, per fare soldi.

    
risposta data 10.07.2013 - 15:01
fonte

Leggi altre domande sui tag