17.05.2016

Геймификация ИБ: как это было сделано в Salesforce.com

Не отпускает меня RSA Conference. Позволю себе вспомнить еще несколько интересных тем, прозвучавших на этой конференции и объединенных общим посылом - геймификация в ИБ. И дело тут не только в очередной ИБ-стрелялке, но уже с применением технологий 3D и дополненной реальности, которую на выставке RSA представляла компания BAE System.


Тема геймификации в ИБ поднималась и на более серьезном уровне. Например, в докладе Маши Седовой из Salesforce.com, у которой очень интересная должность - старший директор по Trust Engagement (я даже не знаю, как это можно на русский язык перевести). В своем совместном докладе с Лэнсом Хейденом из Беркли (тоже очень интересный мужик - я его привозил в Москву несколько лет назад и он, будучи автором книги по измерению ИБ, рассказывал, как выстроен процесс измерений ИБ в Cisco, где он тогда работал) она рассказывала о том, как выстроен процесс формирования культуры ИБ в SFDC через геймификацию, которая заключается не в играх, о которых я уже писал, а в выстраивании процесса вовлечения персонала в ИБ в занимательной форме, в оценке и награде особо "ретивых" сотрудников, а также в социализации этой темы. Иными словами, задача - сделать из "скучной" ИБ нечто занимательное с элементами вирусного маркетинга, что и приведет к росту осведомленности работников в вопросах ИБ и повышению уровня защищенности предприятия.

Взяв за основу 5 ключевых элементов геймификации в SFDC

перенесли их в поле ИБ:
Вот так, например, выглядят плакаты, посвященные тем или иным угрозам безопасности - фишингу, подозрительной активности, проходу на территорию организации без бейджа.


Кстати, интересный момент. Второй плакат очень похож на кампанию, запущенную министерством национальной безопасности США и которая дословно звучит так - "Если ты видишь что-то, скажи что-то". Плакаты с этим слоганом висят во многих публичных местах - вокзалах, стадионах, аэропортах и т.п.


Но разработка плакатов, календарей, скринсейверов и других напоминалок - это еще не все. Очень важно вовлекать персонал в процесс, добавляя в него элемент социальности и состязательности. Например, фотография сотрудника с соответствующим баннером и публикация ее в локальной социальной сети позволяет сотруднику заработать баллы затем трансформируемые в реальные призы.


Я уже писал (вкратце и в деталях) про то, как в Cisco реализована программа Cisco Security Ninja. В SFDC реализована схожая идея - переход в зависимости от числа заработанных баллов от уровня к уровню и получение разнообразных "печенек" - от специальных лого (беджей) на визитках и в подписи к e-mail и заканчивая денежными премиями или подарочными картами.


Результат такой геймификации вполне себе интересный и полезный. Например, число кликающих по фишинговым или иным вредоносным ссылкам снизилось у участников программы по геймификации в SFDC на 52% (по сравнению с обычными сотрудниками), а число сообщений об угрозах от участников программы было больше на 82%, чем у тех, кто в программе не участвовал. Вот так, например, выглядело сообщение о подозрительной активности от одного из сотрудников Salesforce.com:


Нельзя сказать, что описанные Машей Седовой действия являются чем-то уникальным и сложно реализуемым. Но это и не требуется - методы геймификации ИБ могут быть вполне простыми в реализации, но при этом очень и очень эффективными. И это то, что не только повышает уровень защищенности предприятия, но и действительно может сблизить специалиста по ИБ и рядового пользователя.

ЗЫ. На днях Маша Седова была названа одной из 20-ти женщин в ИБ, за которой стоит внимательно следить в Twitter. Правда, тут я бы поспорил - Маша в Твиттер пишет очень редко.

4 коммент.:

Святослав Мусейибов комментирует...

Не по теме корпоративной ИБ, но при прочтении поста вспомнил недавний пост Брюса Шнайера (https://goo.gl/ASmlom) о том, как подобная геймификация на уровне всего общества (упомянутая в посте инициатива "see something, say something") вызывает вопросы касательно ее эффективности.

Алексей Лукацкий комментирует...

Пойду почитаю

ser-storchak комментирует...

Геймификация DLP https://digitalguardian.com/blog/gamification-data-loss-prevention-educating-and-enabling-employees-dlp

Алексей Лукацкий комментирует...

http://lukatsky.blogspot.ru/2016/05/dlp.html :-)