Computerworld News Service: Der findes en ny løsningen på den gamle udfordring med at få medarbejdere til at tage sikkerheden alvorligt: Gamification.
Det drejer sig om spilagtige elementer i arbejdsgangene, der kan bruges til at skabe øget opmærksomhed på sikkerheden og ændre brugernes adfærd. Implementeret rigtigt kan det give resultater, der er til at føle på.
“Deltagerne i vores program havde 50 procent mindre sandsynlighed for at klikke på et phishing-link og 82 procent større sandsynlighed for at indberette en phishing-mail.”
Sådan beskriver Patrick Heim, der er chief trust officer hos Salesforce.com, resultaterne af de første 18 måneder af selskabets igangværende forsøg på at styrke medarbejdernes opmærksomhed på god sikkerhedspraksis ved hjælp af gamification, der er baseret på belønning som positiv konsekvens fremfor negativ.
Også øget opmærksomhed på den fysiske sikkerhed er en del af initiativet hos Salesforce.com, der har 13.000 medarbejdere.
En kampagne for at teste sårbarheden for såkaldt tailgaiting (hvor en uautoriseret person sniger sig igennem en sikret dør ved at følge i hælene på en autoriseret person) benyttede sig af 300 frivillige medarbejdere, der blev belønnet, hvis det lykkedes dem at snige sig gennem en dør og stjæle noget.
Alt for mange lader sig narre
Før sikkerhedstræning gælder det generelt, at 30 til 60 procent af brugerne lader sig narre af phishing-mails, udtaler Lance Spitzner, der er uddannelsesdirektør hos SANS Institute, der udbyder erhvervskurser i god sikkerhedspraksis.
Efter et kursus og seks til 12 måneder med et gamification-tiltag er andelen faldet til fem procent, hævder han.
Hvad er gamification?
“Gamification har ikke noget at gøre med computerspil,” forsikrer Ira Winkler, der er direktør for it-sikkerhedsfirmaet Secure Mentem.
“Derimod drejer det sig om anvendelsen af spilprincipper i løsningen af et forretningsproblem.”
Gamification består ifølge Winkler af fire principper:
• Definer et mål.
• Lav nogle regler for at nå målet.
• Skab en mekanisme, der giver deltagerne feedback.
• Lad det være frivilligt at deltage.
De principper kan man se i brug for eksempel i spillet golf, bemærker han: Målet er at få bolden i hul på færrest mulige forsøg, mens reglerne om, hvordan skal gøres, gør det til en interessant udfordring. Feedbacken leveres af pointsystemet, og spillerne deltager frivilligt.
Når gamification anvendes til at øge medarbejderes kendskab til deres virksomheds sikkerhedspolitik, indebærer det som regel at give point til de medarbejdere, der gør det rigtige.
Pointsystemet bliver grundlag for forskellige former for anerkendelse heriblandt badges, præmier og en pointtavle, der viser de førende medarbejderes samlede antal point, forklarer han.
Sådan kan du belønne de opmærksomme
Af sikkerhedsrelateret adfærd, der belønnes i sådanne programmer, kan nævnes indberetning af phishing-mails, forhindring eller indberetning af tailgaiting og forhindring eller indberetning af forsøg på anden indtrængen (især ved hjælp af såkaldt social engineering).
Det kan også være indlevering af USB-nøgler fundet på gulvet, at holde sin pc’s software opdateret, at bruge stærke adgangskoder, at deltage i seminarer om sikkerhed, at undgå at efterlade bærbare pc’er i parkerede biler og (for udviklere) indberette fundne fejl og sårbarheder i software anvendt af virksomheden.
Men ordet gamification vækker ikke umiddelbart tillid i erhvervslivet.
“Så snart man bruger ordet ‘game’ hos en virksomhed, opstår der som regel en del modstand, fordi arbejde er noget seriøst, og det er spil ikke,” fortæller Jordan Schroeder, der er it-sikkerhedsadministrator hos Family Insurance Solutions.
“Derfor har jeg i stedet vænnet mig til at bruge vendingen ‘aktiv feedback’. Den glider lettere ned.”
Artiklen fortsætter på næste side…
Leave a Reply