Геймификация в ИБ... Насколько возможно вообще скрестить такие, казалось бы несовместимые вещи? Если вспоминать
вчерашние высказывания Франклина и Конфуция, то это не только вполне реализуемо, но и может дать очень хорошие плоды. В 2009-м году я уже
писал статью про нестандартный маркетинг в области ИБ и в качестве нескольких примеров приводил именно игры, которые позволяли с одной стороны развлечься, а с другой - в игровой форме донести нужную информацию или продвинуть какую-то идею или продукт. И вот еще парочка свежих примеров.
Например, ИБ-игрушка
Security Parashoot, которая является не просто "стрелялкой" или "арканоидом", а позволяет легко донести правильные вещи в области парольной политики на предприятии, лучших практик, техник атак, защиты узлов, юридических вопросов и др. А набор баллов добавляет в игру соревновательность и желание набрать как можно больше очков. Такая игра может быть внедрена как один из элементов программы повышения осведомленности рядовых сотрудников.
Другой пример - известная игра "
Phishing Phil", которая была разработана при Университете Карнеги Меллона. Задача игры - научить пользователей распознавать фишинговые ссылки. Первая версия игры свободно доступна в Интернете, а вот ее навороченный вариант вошел в состав коммерческой платформы для обучения вопросам ИБ, разработанной компанией
Wombat Security.
|
Игра Phishing Phil |
Кстати, Wombat Security, - не единственная компания, которая специализируется на новых технологиях обучения вопросам ИБ. Есть еще одна компания, специализирующаяся в области геймификации ИБ -
Apozy.
Пример более стратегической игры -
Net Invaders. Кто играл на iOS или Android в Tower Defense (я часто коротал в нее время; особенно в самолетах), тот знает, что в этой игре задача защитить башню от стремящейся к ней врагов, выставляя различные виды оружия на их пути. Неправильный выбор оружия приводит к тому, что враги проникают в башню и захватывают ее.
|
Игра Net Invaders |
В Net Invaders таже идея, только вместо башен надо защитить ЦОД, офис и мобильное рабочее место, а вместо пушек, скорострельных луков и "морозилок" нужно использовать средства защиты - МСЭ, средства борьбы с вредоносным кодом и т.п. Эта игра уже больше рассчитана на изучение различных инструментов защиты в зависимости от исходящей угрозы. Полученные баллы можно потратить на новую защиту или подключение облачных сервисов Threat Intelligence.
|
Игра Net Invaders |
Что дают такие игры? Немало. Мотивацию, обучение, укрепление команды (для командных игр), стимуляцию развиваться, лояльность, изменение поведения... Все это то, что обычно так не просто получить в рамках традиционного обучения вопросам ИБ.
Приведенные выше примеры интересны, но есть и свои "Олимпы" в этой области. Например, инновационная игра
CyberCIEGE для изучения концепций сетевой и компьютерной безопасности. По сути это комбинация SimCity и ИБ. Вы симулируете реальную жизнь - покупаете железо и софт, конфигурируете его, продаете, следите за бюджетом. А ваши пользователи при этом совершают ошибки, попадают на удочку хакеров... Ваша задача - защитить свою виртуальную компанию от различных "кибер-напастей". В игре присутствуют различные заранее подготовленные сценарии, которые облегчают вашу игру и позволяют тренировать те или иные навыки в области ИБ.
|
Игра CyberCIEGE |
Почему это работает? Причин много. От банальных "прикольно", "что-то новое" до "мне нравится соревнование", "люблю challenge", "мне нужна мотивация". У каждого человека своя причина, но результат один - вовлеченность с последующим получением нового знания и нового опыта. Именно поэтому, по версии Gartner, свыше 70% глобальных компаний из Топ2000, должны уже иметь хотя бы одно приложение-игру.
"Парашют", "Фил", "Захватчики сети"... Это интересно, но это не командные игры. Они рассчитаны на одиночек, которые будут играть по своим мотивам. В корпоративной же среде, особенно когда сотрудников много, нужны немного иные методы стимулирования работников играть, играть и еще раз играть. У нас в Cisco выделили несколько таких стимулов, которые заставляют сотрудников стремиться играть и выигрывать:
- переход на новые уровни
- строка достижений
- награды
- виртуальная валюта
- репутация
- таблицы лидеров
- доска почета.
Когда все вокруг видят, что ты "крут", то это стимулирует тебя поддерживать свой уровень, а других "догнать и перегнать". Именно этот принцип позволил нам обучить свыше 20 тысяч инженеров и разработчиков Cisco по вопросам информационной безопасности. Данная программа, получившая название "Cisco Security Ninja", позволила быстро внедрить процесс безопасного программирования в жизненный цикл разработки ПО Cisco (CSDL). Для этого было создано виртуальное додзё, то есть место для проведения тренировок и аттестаций в области ИБ.
|
Додзё безопасности Cisco |
Додзё - это японский термин, используемый в боевых искусствах Японии, в том числе при подготовке ниндзя. Как и в настоящих боевых искусствах, каждый прошедший определенную программу обучения и сдавший экзамен, получает "пояс" (их пять), который олицетворяет статус сотрудника. Этот статус можно продемонстрировать по-разному - получить соответствующий бейдж, включить в подпись e-mail соответствующую иконку, включить иконку в корпоративный справочник и т.п.
Но я не буду сейчас глубоко погружаться в программу Cisco Security Ninja. Во-первых, заметка носит обзорный характер, а, во-вторых, я планирую более подробно написать про нашу программу геймификации вопросов ИБ - там есть, чему поучиться. А пока...
GAME OVER!!!
Еще один жанр, видео-квест от TrendMicro http://targetedattacks.trendmicro.com/rus/index.html Интересно, есть ли что-то подобное для реального обучения ИБ? И насколько это эффективно?
ОтветитьУдалить