Realizo un pentesting de vez en cuando y estaba en una reunión de una compañía financiera con sus arquitectos, etc., se me comunicó que su "gurú" de seguridad de la información había subido a bordo y trató de hacer algo similar. El resultado fue horrible. Me dijeron que muchos estaban ofendidos por la forma en que esta persona transmitía seguridad y riesgo. Por ejemplo, tenía recortes de cartulina de personas con armas de fuego como: "Este criminal quiere tu contraseña, etc."
Las empresas están en el negocio para ganar dinero. La seguridad no tiene ROI tangible y las estadísticas de lanzamiento de cualquiera (AV * EF = SLE), ya sea cualitativa o cuantitativa. Se pueden hacer argumentos a favor y en contra de esto y la Ley de Murphy los superará a todos. Dicho esto, ¿qué beneficio tiene una empresa en gastar recursos tangibles para un juego?
Ahora, esto fue respondido en el sentido de que, inferí que era una pregunta con respecto a las políticas y procedimientos de seguridad en general. El comentario del "banco hacme" podría funcionar en un campo basado en la seguridad, podría servir para ilustrar el riesgo de los programadores y desarrolladores web, pero para la persona promedio (recepcionista, gerente de cuentas), serían como un ciervo en los faros (confuso ).
Un programa como este costaría (horas de trabajo, tiempo dedicado a trabajar fuera de los juegos, etc.), por lo tanto, a menos que se pueda demostrar que los Miembros de la Junta (en un gran cuerpo), los adultos mayores (CEO, CFO, etc.) ), que puede GANAR dinero de alguna manera, no veo que se convierta en una norma. Si bien puede lanzar: "Puede ahorrar dinero" a un CEO, COO, CFO, es probable que busquen una solución "técnica" (firewall, proxy de correo electrónico, etc.) que es más rentable que tener una cantidad de N hombre horas perdidas en un juego.
Haz las matemáticas:
Big Corp (10,000 employees)
Security Game (1/2 hour of time)
Game Plays (once per quarter)
Employee Salary $7.25
Si a todos se les pagara el salario mínimo, el costo por juego en los salarios sería de $ 36,250.00 por trimestre, sin incluir el costo de configuración, ningún servidor, posibles pérdidas comerciales debido a alguien que juega, etc. A este ritmo, mantener a las personas normalmente informado (una vez por trimestre) y costaría $ 145,000.00 solo en salarios. (7.25 [salario] * 10,000 [Número de empleados] / 2 [ media hora de tiempo] * 4 [veces por año ] ) Un CEO / CFO / CTO buscará inmediatamente una tecnología para resolver este problema. Por ejemplo, un servidor proxy de correo electrónico para detectar el phishing puede costar $ 30,000.00, un correo electrónico rápido, no cuesta nada. No tiene demasiado sentido financiero para traer "juegos" al medio ambiente. El negocio es solo eso, sobre ganar dinero.