18.05.2016

Геймификация и DLP: как совместить?

"Геймификация - это процесс вовлечения людей и изменения их поведения, используя игровые методы в неигровом контексте. Она использует нечто забавное из игр и применяет это в ситуациях, которые, возможно, не столь забавны". С такого определения начинался другой доклад на RSA Conference, посвященной геймификации в DLP от компании Digital Guardian. Ее представители начали с того, что большинство специалистов по ИБ рассматривают рядовых пользователей как идиотов и не хотят с ними работать, преимущественно внедряя запретительные или обязывающие меры.


Разумеется, нормально такая практика не работает, - пользователи обходят заградительные препоны, всеми правдами и неправдами нарушая действующие политики безопасности. Понимая это, Digital Guardian (бывшая Verdasys) предложила использовать 4 типичных механизма DLP-решения для геймификации ИБ и вовлечения пользователя в процесс повышения защищенности предприятия:
  • политики и правила
  • подсказки для пользователей
  • отчеты
  • уведомления по e-mail.
И дело тут не столько в постоянном напоминании пользователю, что он делает что-то неправильно или нарушает политики ИБ, как это часто реализуется на практике в виде всплывающих окон и уведомлений по e-mail.



В Digital Guardian предложили поощрять пользователей за их правильные действия в контексте работы с информацией и задействуя те же самые инструменты DLP. Для этого была разработана программа Data Defender, которая похожа на уже описанную выше градацию Cisco Security Ninja или SFDC Security Master. На ее основе Digital Guardian предложили разработать что-то свое.


В зависимости от "достижения" пользователя ему присваивается статус, а сам пользователь может использовать соответствующий бейдж в подписи к e-mail или в корпоративном адресном справочнике. Например, за первое сообщение без нарушений политик DLP присваивается статус Baby Data Defender :-) За сотое сообщение присваивается статус "заместителя шерифа" (Deputy Data Defender), за пятисотое - General Data Defender, а за тысячное - Super Secure Sender. За первое использование данных, полученных из защищенного хранилища и обратно сохраненных на защищенном хранилище, бейдж носит название King's Guard of the Crown Jewels, а в случае отсутствия на ПК пользователя локально сохраненных конфиденциальных данных - Clean Sweep.


По итогам Digital Defender предлагает поработать службе ИБ совместно с HR для награждения пользователей в зависимости от их статуса "защитника данных". Это могут быть, например, подарочные карты Amazon, iTunes, Netflix и т.п. (с поправкой на российскую специфику).

В завершение своего доклада Digital Guardian предложила пять простых шагов по геймификации DLP: