Gaming: het leren zien van risico’s
Gaming in security-awareness gaat niet over aanleren van regels maar over het zien van risico’s.
Serious gaming is een middel om het beveiligingsbewustzijn bij medewerkers te verhogen. Om daar meer over te weten komen heb ik een avond over dit onderwerp georganiseerd. In deze blog deel ik een aantal van de lessen uit die avond, verteld door gebruikers en opdrachtgever van de Elevator-game.
Met welk doel zet je gaming in?
Ludiek genoeg om er bij de koffieautomaat over te praten, dat is het doel als je gaming inzet. Het gaat er niet om dat de medewerkers procedures en regels leren kennen. Het gaat erom dat ze alert worden, daarmee creëer je de meeste veiligheid. Niemand wil dat zijn bedrijf out of business raakt door een probleem in de informatiebeveiliging. In de mix van middelen is een game iets leuks, het maakt het onderwerp toegankelijk. Met een game bereik je groter draagvlak voor het onderwerp. Ook geeft het een signaal dat de organisatie er ruimte voor maakt en het dus blijkbaar een onderwerp is dat op de agenda staat. Een paar jaar geleden zei men: “Beveiliging, daar is IT toch voor?” Nu zeggen ze: “Waarom heb je dit niet eerder verteld, dit willen we weten!” Als mensen in een groep gamen bereik je dat steeds meer mensen erbij willen horen. Zo maak je ook dat men het erover heeft. Je overtuigt mensen en als ze bereid zijn die overtuiging ook te delen, dan heb je je doel bereikt. De informatie die wij hebben gekregen ging over de game Elevator. Deze is voor het CIO-platform ontwikkeld door IJsfontein.Implementatie van een game
Een penetratie van 70%, dat is waar onze spreker naar streeft. Hij moet nog starten met implementeren. Onze andere spreker begon zo’n vijf maanden geleden met de communicatie over de game. De medewerkers die daadwerkelijk de game speelden waren enthousiast. Er heerst in deze organisatie een enigszins behoudende cultuur, maar veel medewerkers houden wel van gadgets en nieuwe dingetjes. Een game past daar bij. Ondanks dat, en alle aanmoedigingen, bleef de penetratie steken op 8%. De leverancier van de game heeft aangegeven dat dat voor een serious game waar medewerkers vrijwillig aan meedoen een prima score is. Die vrijwilligheid was een bewuste keuze. Maar zoals gezegd, voor de andere spreker ligt de lat echt hoger, het doel is 70% met 30% als ondergrens: “Als 8% mijn doel was zou ik er niet eens aan beginnen!” De vraag is dan hoe je de game uitrolt. De spreker die de game al geïmplementeerd heeft wilde niet de eerste zijn en wachtte tot al enkele organisaties ervaring met Elevator hadden opgedaan. Enkele maanden na de oplevering van de game startte deze organisatie. De communicatie ging over zo veel mogelijk kanalen: intranet, posters, flyers in de kantine, oproep tot spelen bij iedere presentatie, enzovoorts. Dit is na ongeveer een maand nog een keer herhaald, wat een opleving in het aantal gespeelde spellen tot gevolg had. Ook werden er prijzen verloot onder de mensen die het laatste level behaald hadden. De CIO was super enthousiast en heeft de meeste spellen gepeeld. In de cultuur van de organisatie werd het niet passend geacht de leidinggevenden een voortrekkersrol te geven om meer mensen aan het spelen te krijgen.Tijdens de bijeenkomst konden we zelf de game Elevator spelen.
Evaluatie
Bij evaluatie bleek dat iedereen die gespeeld had heel enthousiast was. Achteraf concludeert men dat het verstandig was geweest dit enthousiasme te gebruiken om meer medewerkers aan het spelen te krijgen. Je speelt het spel in tweetallen. De interactie en het samen spelen werden als zeer positief ervaren. Een punt dat minder gewaardeerd werd waren de informatieve teksten. Deze werden soms als belerend ervaren. Gelukkig zijn deze aanpasbaar, een verbeterpunt voor de volgende ronde. Met het stoppen van de publiciteit liep het aantal spelers al snel terug naar nul. Resultaat is dat nieuwe mensen bereikt zijn. Ook zijn er mensen compleet anders tegen het onderwerp aan gaan kijken, terwijl zij aangaven niet van gamen en het onderwerp informatiebeveiliging te houden. Al met al kan gezegd worden dat de cultuur bepalend is voor het succes van de game. Het starten met een kleine groep en dan de kring daaromheen groter maken wordt gezien als de beste methode voor implementatie. Hiermee heb je aandachtspunten gekregen voor de implementatie van gaming als middel voor het verhogen van security-awareness. Maak er gebruik van, als jouw organisatie klaar is voor gaming. De bijeenkomst heb ik georganiseerd vanuit onze LinkedIn-groep Security Awareness NL. Als je meer van dit soort informatie wilt krijgen, of uitgenodigd wilt worden voor onze volgende bijeenkomst, word dan ook lid van de groep. Deel alsjeblieft dit artikel met jouw netwerk via de deelknop op Facebook, Twitter, Tumblr en Google+, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. Delen op LinkedIn moet handmatig .[learn_press_profile]
0 Comments