Gamificación de la seguridad de TI: ¿ya existen aplicaciones?

Todos los programas de los que he oído hablar (y solo hay unos pocos) son locales y han tenido resultados mixtos, principalmente debido al diseño del programa. Yo mismo estoy desarrollando un programa para incorporar la Gamificación en una capacitación continua de concienciación de Phishing. Mi esperanza es aprovechar mis éxitos en esta área para expandirme a otras áreas de capacitación de seguridad del usuario, pero este enfoque es muy nuevo.

Una gran modificación que hice fue eliminar todas las referencias a 'Gamificación' porque causa confusión. En su lugar, uso el término 'métricas de retroalimentación activa' y 'métricas comparativas' y espero que no suene demasiado cursi ('cambiando el paradigma' y todo eso ...).

Mis objetivos en diseño son:

• modificación del comportamiento en lugar de transferencia de conocimiento
• corto tiempo de entrenamiento / interacción
• entrenamiento que aumenta en dificultad después del éxito del usuario
• aprendizaje activo en lugar de pasivo
• tiempos cortos entre interacciones
• 'puntuación' simple (a.k.a 'retroalimentación activa instantánea') que se puede compartir con compañeros

Uno de los beneficios inesperados de Gamification es que es posible llevar a los usuarios a un material mucho más complejo de lo que sería posible a través del aprendizaje pasivo solo. Los usuarios están tentados a abordar el material opcional para obtener su puntaje / recompensa / logro / derechos de fanfarronear / retroalimentación activa.

Desde mi experiencia, creo que la Gamificación se puede usar para llenar los vacíos en la capacitación de seguridad tradicional porque, en última instancia, no queremos que los usuarios simplemente "sepan" lo que deben hacer, sino que "hagan" lo que son se supone que debe hacer, incluso si no saben exactamente por qué (aunque el conocimiento en sí es beneficioso). Eso significa que en lo que tenemos que centrarnos es en la modificación del comportamiento, y la Gamificación es especialmente adecuada para este propósito.

Realizo un pentesting de vez en cuando y estaba en una reunión de una compañía financiera con sus arquitectos, etc., se me comunicó que su "gurú" de seguridad de la información había subido a bordo y trató de hacer algo similar. El resultado fue horrible. Me dijeron que muchos estaban ofendidos por la forma en que esta persona transmitía seguridad y riesgo. Por ejemplo, tenía recortes de cartulina de personas con armas de fuego como: "Este criminal quiere tu contraseña, etc."

Las empresas están en el negocio para ganar dinero. La seguridad no tiene ROI tangible y las estadísticas de lanzamiento de cualquiera (AV * EF = SLE), ya sea cualitativa o cuantitativa. Se pueden hacer argumentos a favor y en contra de esto y la Ley de Murphy los superará a todos. Dicho esto, ¿qué beneficio tiene una empresa en gastar recursos tangibles para un juego?

Ahora, esto fue respondido en el sentido de que, inferí que era una pregunta con respecto a las políticas y procedimientos de seguridad en general. El comentario del "banco hacme" podría funcionar en un campo basado en la seguridad, podría servir para ilustrar el riesgo de los programadores y desarrolladores web, pero para la persona promedio (recepcionista, gerente de cuentas), serían como un ciervo en los faros (confuso ).

Un programa como este costaría (horas de trabajo, tiempo dedicado a trabajar fuera de los juegos, etc.), por lo tanto, a menos que se pueda demostrar que los Miembros de la Junta (en un gran cuerpo), los adultos mayores (CEO, CFO, etc.) ), que puede GANAR dinero de alguna manera, no veo que se convierta en una norma. Si bien puede lanzar: "Puede ahorrar dinero" a un CEO, COO, CFO, es probable que busquen una solución "técnica" (firewall, proxy de correo electrónico, etc.) que es más rentable que tener una cantidad de N hombre horas perdidas en un juego.

Haz las matemáticas:

Big Corp (10,000 employees)
Security Game (1/2 hour of time)
Game Plays (once per quarter)
Employee Salary $7.25

Si a todos se les pagara el salario mínimo, el costo por juego en los salarios sería de $ 36,250.00 por trimestre, sin incluir el costo de configuración, ningún servidor, posibles pérdidas comerciales debido a alguien que juega, etc. A este ritmo, mantener a las personas normalmente informado (una vez por trimestre) y costaría $ 145,000.00 solo en salarios. (7.25 [salario] * 10,000 [Número de empleados] / 2 [ media hora de tiempo] * 4 [veces por año ] ) Un CEO / CFO / CTO buscará inmediatamente una tecnología para resolver este problema. Por ejemplo, un servidor proxy de correo electrónico para detectar el phishing puede costar $ 30,000.00, un correo electrónico rápido, no cuesta nada. No tiene demasiado sentido financiero para traer "juegos" al medio ambiente. El negocio es solo eso, sobre ganar dinero.