Геймификация в ИБ... Насколько возможно вообще скрестить такие, казалось бы несовместимые вещи? Если вспоминать
вчерашние высказывания Франклина и Конфуция, то это не только вполне реализуемо, но и может дать очень хорошие плоды. В 2009-м году я уже
писал статью про нестандартный маркетинг в области ИБ и в качестве нескольких примеров приводил именно игры, которые позволяли с одной стороны развлечься, а с другой - в игровой форме донести нужную информацию или продвинуть какую-то идею или продукт. И вот еще парочка свежих примеров.
Например, ИБ-игрушка
Security Parashoot, которая является не просто "стрелялкой" или "арканоидом", а позволяет легко донести правильные вещи в области парольной политики на предприятии, лучших практик, техник атак, защиты узлов, юридических вопросов и др. А набор баллов добавляет в игру соревновательность и желание набрать как можно больше очков. Такая игра может быть внедрена как один из элементов программы повышения осведомленности рядовых сотрудников.
Другой пример - известная игра "
Phishing Phil", которая была разработана при Университете Карнеги Меллона. Задача игры - научить пользователей распознавать фишинговые ссылки. Первая версия игры свободно доступна в Интернете, а вот ее навороченный вариант вошел в состав коммерческой платформы для обучения вопросам ИБ, разработанной компанией
Wombat Security.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKZHAu6sSMa8sw9wzCNnRDLAiHoOmnI5ArKQk4uZVyM9qrlGwX7jBn0tLtHyFKme2a7T8IdZGyxPoNREbmVTuthixdJKsHmKm-AZfgiXCkuInqqWgFEyl3FS8pblthq9LMLnEyopaDkfCm/s320/Screen+Shot+2015-10-05+at+23.50.18.png) |
Игра Phishing Phil |
Кстати, Wombat Security, - не единственная компания, которая специализируется на новых технологиях обучения вопросам ИБ. Есть еще одна компания, специализирующаяся в области геймификации ИБ -
Apozy.
Пример более стратегической игры -
Net Invaders. Кто играл на iOS или Android в Tower Defense (я часто коротал в нее время; особенно в самолетах), тот знает, что в этой игре задача защитить башню от стремящейся к ней врагов, выставляя различные виды оружия на их пути. Неправильный выбор оружия приводит к тому, что враги проникают в башню и захватывают ее.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0qLIpRq68T_03DMUF_ZSCx7_SJyJkMnHaNHySTAxOam85pjLHsZGr6-9zikUDBG__YdHr1hKqarQFt73aY48xS3vTLISZY0TzDHDjslMidwiqvTQCDvgmRiP_Tw5m-6NH7heFV9-UHuKS/s320/unnamed.png) |
Игра Net Invaders |
В Net Invaders таже идея, только вместо башен надо защитить ЦОД, офис и мобильное рабочее место, а вместо пушек, скорострельных луков и "морозилок" нужно использовать средства защиты - МСЭ, средства борьбы с вредоносным кодом и т.п. Эта игра уже больше рассчитана на изучение различных инструментов защиты в зависимости от исходящей угрозы. Полученные баллы можно потратить на новую защиту или подключение облачных сервисов Threat Intelligence.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjafdiAJfiE-Utwh7Yz7I_R5rx2oN-0QjWHnPwD5MTtDh7K_mduuCJjhHMntfmmK27-0MZtgtmZPkQyViVedJO3tqq36iADW4XfTB36Vx4P3b_du02DEqFqfhB3IxKdKqacMkfq_llu5wOQ/s320/maxresdefault.jpg) |
Игра Net Invaders |
Что дают такие игры? Немало. Мотивацию, обучение, укрепление команды (для командных игр), стимуляцию развиваться, лояльность, изменение поведения... Все это то, что обычно так не просто получить в рамках традиционного обучения вопросам ИБ.
Приведенные выше примеры интересны, но есть и свои "Олимпы" в этой области. Например, инновационная игра
CyberCIEGE для изучения концепций сетевой и компьютерной безопасности. По сути это комбинация SimCity и ИБ. Вы симулируете реальную жизнь - покупаете железо и софт, конфигурируете его, продаете, следите за бюджетом. А ваши пользователи при этом совершают ошибки, попадают на удочку хакеров... Ваша задача - защитить свою виртуальную компанию от различных "кибер-напастей". В игре присутствуют различные заранее подготовленные сценарии, которые облегчают вашу игру и позволяют тренировать те или иные навыки в области ИБ.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgL8bRBMtNYDnaAObFfLsNCwZCw5Plgb7LduyEmmdM8PA_xjcY1Tqf30Sz1ahwDqS63CC-glSxKFa0lIgG2-XQ_zfrmaiBYLzdhm6KjLGIYxua6GtOSBWET_v_ODKQUSgq_ZqnuZPTRM4xY/s320/maxresdefault-1.jpg) |
Игра CyberCIEGE |
Почему это работает? Причин много. От банальных "прикольно", "что-то новое" до "мне нравится соревнование", "люблю challenge", "мне нужна мотивация". У каждого человека своя причина, но результат один - вовлеченность с последующим получением нового знания и нового опыта. Именно поэтому, по версии Gartner, свыше 70% глобальных компаний из Топ2000, должны уже иметь хотя бы одно приложение-игру.
"Парашют", "Фил", "Захватчики сети"... Это интересно, но это не командные игры. Они рассчитаны на одиночек, которые будут играть по своим мотивам. В корпоративной же среде, особенно когда сотрудников много, нужны немного иные методы стимулирования работников играть, играть и еще раз играть. У нас в Cisco выделили несколько таких стимулов, которые заставляют сотрудников стремиться играть и выигрывать:
- переход на новые уровни
- строка достижений
- награды
- виртуальная валюта
- репутация
- таблицы лидеров
- доска почета.
Когда все вокруг видят, что ты "крут", то это стимулирует тебя поддерживать свой уровень, а других "догнать и перегнать". Именно этот принцип позволил нам обучить свыше 20 тысяч инженеров и разработчиков Cisco по вопросам информационной безопасности. Данная программа, получившая название "Cisco Security Ninja", позволила быстро внедрить процесс безопасного программирования в жизненный цикл разработки ПО Cisco (CSDL). Для этого было создано виртуальное додзё, то есть место для проведения тренировок и аттестаций в области ИБ.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyyB-mta7LtUfAHOkMZNiXud4PP-cViL-h3bxfHaBZOD7qZlSlAtauH75Hkexbwxwq1dM_YL3V6YifPBju9sWKDBKhPnrIFXydXIiZp6ML2CTS7kIehQJH_9cxW5MnIkMT9u4P8dJViOhF/s320/Unknown.png) |
Додзё безопасности Cisco |
Додзё - это японский термин, используемый в боевых искусствах Японии, в том числе при подготовке ниндзя. Как и в настоящих боевых искусствах, каждый прошедший определенную программу обучения и сдавший экзамен, получает "пояс" (их пять), который олицетворяет статус сотрудника. Этот статус можно продемонстрировать по-разному - получить соответствующий бейдж, включить в подпись e-mail соответствующую иконку, включить иконку в корпоративный справочник и т.п.
Но я не буду сейчас глубоко погружаться в программу Cisco Security Ninja. Во-первых, заметка носит обзорный характер, а, во-вторых, я планирую более подробно написать про нашу программу геймификации вопросов ИБ - там есть, чему поучиться. А пока...
GAME OVER!!!
1 коммент.:
Еще один жанр, видео-квест от TrendMicro http://targetedattacks.trendmicro.com/rus/index.html Интересно, есть ли что-то подобное для реального обучения ИБ? И насколько это эффективно?
Отправить комментарий