Тема геймификации в ИБ поднималась и на более серьезном уровне. Например, в докладе Маши Седовой из Salesforce.com, у которой очень интересная должность — старший директор по Trust Engagement (я даже не знаю, как это можно на русский язык перевести). В своем совместном докладе с Лэнсом Хейденом из Беркли (тоже очень интересный мужик — я его привозил в Москву несколько лет назад и он, будучи автором книги по измерению ИБ, рассказывал, как выстроен процесс измерений ИБ в Cisco, где он тогда работал) она рассказывала о том, как выстроен процесс формирования культуры ИБ в SFDC через геймификацию, которая заключается не в играх, о которых я уже писал, а в выстраивании процесса вовлечения персонала в ИБ в занимательной форме, в оценке и награде особо «ретивых» сотрудников, а также в социализации этой темы. Иными словами, задача — сделать из «скучной» ИБ нечто занимательное с элементами вирусного маркетинга, что и приведет к росту осведомленности работников в вопросах ИБ и повышению уровня защищенности предприятия.
Взяв за основу 5 ключевых элементов геймификации в SFDC
перенесли их в поле ИБ:
Но разработка плакатов, календарей, скринсейверов и других напоминалок — это еще не все. Очень важно вовлекать персонал в процесс, добавляя в него элемент социальности и состязательности. Например, фотография сотрудника с соответствующим баннером и публикация ее в локальной социальной сети позволяет сотруднику заработать баллы затем трансформируемые в реальные призы.
Я уже писал (вкратце и в деталях) про то, как в Cisco реализована программа Cisco Security Ninja. В SFDC реализована схожая идея — переход в зависимости от числа заработанных баллов от уровня к уровню и получение разнообразных «печенек» — от специальных лого (беджей) на визитках и в подписи к e-mail и заканчивая денежными премиями или подарочными картами.
Результат такой геймификации вполне себе интересный и полезный. Например, число кликающих по фишинговым или иным вредоносным ссылкам снизилось у участников программы по геймификации в SFDC на 52% (по сравнению с обычными сотрудниками), а число сообщений об угрозах от участников программы было больше на 82%, чем у тех, кто в программе не участвовал. Вот так, например, выглядело сообщение о подозрительной активности от одного из сотрудников Salesforce.com:
ЗЫ. На днях Маша Седова была названа одной из 20-ти женщин в ИБ, за которой стоит внимательно следить в Twitter. Правда, тут я бы поспорил — Маша в Твиттер пишет очень редко.
Не по теме корпоративной ИБ, но при прочтении поста вспомнил недавний пост Брюса Шнайера (https://goo.gl/ASmlom) о том, как подобная геймификация на уровне всего общества (упомянутая в посте инициатива "see something, say something") вызывает вопросы касательно ее эффективности.
Пойду почитаю
Геймификация DLP https://digitalguardian.com/blog/gamification-data-loss-prevention-educating-and-enabling-employees-dlp
http://lukatsky.blogspot.ru/2016/05/dlp.html 🙂