Gamificación de la seguridad de TI: ¿ya existen aplicaciones?

9

La gamificación, que es el uso de elementos de diseño de juegos y la mecánica del juego en un contexto que no es de juego, es un tema muy discutido. Al observar el impacto del comportamiento en la Gamificación, tiene potencial para educar a los usuarios en materia de seguridad de TI y recompensar el comportamiento seguro, especialmente en un entorno corporativo.

Las aplicaciones que encontré son en su mayoría juegos serios, con la excepción de Privacyville, que no es un juego en sí, sino una política de privacidad "gamificada" (que es más como lo que estoy buscando)

enlace

enlace

enlace

enlace

¿Qué aplicaciones hay, que gamify IT / coporate security en particular ?

  • ¿Qué herramientas de seguridad aplican la mecánica o los elementos de gamificación?

  • ¿Qué compañías utilizan estas técnicas para educar o recompensar a sus empleados por el cumplimiento de la seguridad? (como darles logros, insignias, puntuaciones o clasificarlos en una tabla de clasificación)

pregunta J_rgen 10.07.2013 - 11:42
fuente

2 respuestas

1

Todos los programas de los que he oído hablar (y solo hay unos pocos) son locales y han tenido resultados mixtos, principalmente debido al diseño del programa. Yo mismo estoy desarrollando un programa para incorporar la Gamificación en una capacitación continua de concienciación de Phishing. Mi esperanza es aprovechar mis éxitos en esta área para expandirme a otras áreas de capacitación de seguridad del usuario, pero este enfoque es muy nuevo.

Una gran modificación que hice fue eliminar todas las referencias a 'Gamificación' porque causa confusión. En su lugar, uso el término 'métricas de retroalimentación activa' y 'métricas comparativas' y espero que no suene demasiado cursi ('cambiando el paradigma' y todo eso ...).

Mis objetivos en diseño son:

  • modificación del comportamiento en lugar de transferencia de conocimiento
  • corto tiempo de entrenamiento / interacción
  • entrenamiento que aumenta en dificultad después del éxito del usuario
  • aprendizaje activo en lugar de pasivo
  • tiempos cortos entre interacciones
  • 'puntuación' simple (a.k.a 'retroalimentación activa instantánea') que se puede compartir con compañeros

Uno de los beneficios inesperados de Gamification es que es posible llevar a los usuarios a un material mucho más complejo de lo que sería posible a través del aprendizaje pasivo solo. Los usuarios están tentados a abordar el material opcional para obtener su puntaje / recompensa / logro / derechos de fanfarronear / retroalimentación activa.

Desde mi experiencia, creo que la Gamificación se puede usar para llenar los vacíos en la capacitación de seguridad tradicional porque, en última instancia, no queremos que los usuarios simplemente "sepan" lo que deben hacer, sino que "hagan" lo que son se supone que debe hacer, incluso si no saben exactamente por qué (aunque el conocimiento en sí es beneficioso). Eso significa que en lo que tenemos que centrarnos es en la modificación del comportamiento, y la Gamificación es especialmente adecuada para este propósito.

    
respondido por el schroeder 11.07.2013 - 17:35
fuente
0

Realizo un pentesting de vez en cuando y estaba en una reunión de una compañía financiera con sus arquitectos, etc., se me comunicó que su "gurú" de seguridad de la información había subido a bordo y trató de hacer algo similar. El resultado fue horrible. Me dijeron que muchos estaban ofendidos por la forma en que esta persona transmitía seguridad y riesgo. Por ejemplo, tenía recortes de cartulina de personas con armas de fuego como: "Este criminal quiere tu contraseña, etc."

Las empresas están en el negocio para ganar dinero. La seguridad no tiene ROI tangible y las estadísticas de lanzamiento de cualquiera (AV * EF = SLE), ya sea cualitativa o cuantitativa. Se pueden hacer argumentos a favor y en contra de esto y la Ley de Murphy los superará a todos. Dicho esto, ¿qué beneficio tiene una empresa en gastar recursos tangibles para un juego?

Ahora, esto fue respondido en el sentido de que, inferí que era una pregunta con respecto a las políticas y procedimientos de seguridad en general. El comentario del "banco hacme" podría funcionar en un campo basado en la seguridad, podría servir para ilustrar el riesgo de los programadores y desarrolladores web, pero para la persona promedio (recepcionista, gerente de cuentas), serían como un ciervo en los faros (confuso ).

Un programa como este costaría (horas de trabajo, tiempo dedicado a trabajar fuera de los juegos, etc.), por lo tanto, a menos que se pueda demostrar que los Miembros de la Junta (en un gran cuerpo), los adultos mayores (CEO, CFO, etc.) ), que puede GANAR dinero de alguna manera, no veo que se convierta en una norma. Si bien puede lanzar: "Puede ahorrar dinero" a un CEO, COO, CFO, es probable que busquen una solución "técnica" (firewall, proxy de correo electrónico, etc.) que es más rentable que tener una cantidad de N hombre horas perdidas en un juego.

Haz las matemáticas:

Big Corp (10,000 employees)
Security Game (1/2 hour of time)
Game Plays (once per quarter)
Employee Salary $7.25

Si a todos se les pagara el salario mínimo, el costo por juego en los salarios sería de $ 36,250.00 por trimestre, sin incluir el costo de configuración, ningún servidor, posibles pérdidas comerciales debido a alguien que juega, etc. A este ritmo, mantener a las personas normalmente informado (una vez por trimestre) y costaría $ 145,000.00 solo en salarios. (7.25 [salario] * 10,000 [Número de empleados] / 2 [ media hora de tiempo] * 4 [veces por año ] ) Un CEO / CFO / CTO buscará inmediatamente una tecnología para resolver este problema. Por ejemplo, un servidor proxy de correo electrónico para detectar el phishing puede costar $ 30,000.00, un correo electrónico rápido, no cuesta nada. No tiene demasiado sentido financiero para traer "juegos" al medio ambiente. El negocio es solo eso, sobre ganar dinero.

    
respondido por el munkeyoto 10.07.2013 - 15:01
fuente

Lea otras preguntas en las etiquetas