Hoe gamificatie security kan ondersteunen

Rob Pronk is Regional Director Central, Northern & Eastern Europe bij LogRhythm

Ondanks de grote hoeveelheid securitytraining die ze tegenwoordig krijgen, vormen medewerkers nog te vaak de zwakste schakel in de securityketen. Gebruikersgedrag is nu eenmaal moeilijk te veranderen. En nu steeds meer criminelen overstappen op social engineering in plaats van – bijvoorbeeld – ransomware te verspreiden, wordt dat nóg lastiger.

Met social engineering, zoals CEO-fraude, wordt het doelwit overgehaald geld af te staan op basis van de inhoud van een e-mail, in plaats van ze een bijlage met kwaadaardige code toe te sturen. Cybercriminelen winnen zo het vertrouwen van het slachtoffer – iets wat zelfs met een uitgebreide securitytraining moeilijk is om volledig te voorkomen.

En hoe goed de training ook bedoeld is, vaak komt deze toch een beetje over als een weinig motiverende, ongeïnspireerde oefening. Beter is het te kiezen voor een aanpak die niet draait om een online tutorial en een meerkeuzetest, maar die erop gericht is om het personeel te motiveren en meer aandacht te creëren voor security.

Gamificatie als bedrijfsbreed motivatiemiddel

Verschillende organisaties zien gamificatie als mogelijke oplossing. Volgens Gartner word gamificatie gezien als “het toepassen van spelmechanismen buiten spelwerelden om mensen digitaal te motiveren en hun gedrag te veranderen.” Onder meer op HR-afdelingen wordt deze aanpak al langere tijd succesvol ingezet op het gebied van training, on-boarding en leiderschapsontwikkeling. En dat kan bedrijfsbreed. Zo zijn er organisaties die gamificatietechnieken specifiek inzetten voor hun securityteams en bestaan er initiatieven die zich specifiek richten op het seniormanagement.

PriceWaterhouseCoopers ontwikkelde op managementniveau bijvoorbeeld een gamificatiesysteem genaamd ‘Game of Threats’, bedoeld om bedrijfsmanagers meer bij te brengen over cybersecurity en hoe ze op cyberaanvallen moeten reageren. De online game simuleert een realistische cyberaanval en creëert een omgeving waarin executives leren omgaan met een dergelijke crisis. Tijdens de simulatie worden ze aangemoedigd om snel belangrijke beslissingen te nemen en zo de schade te beperken die door de fictionele criminelen wordt veroorzaakt.

Het spel helpt de spelers om incidenten te begrijpen, erop te reageren en ze op te lossen. Tijdens het spel kunnen ze kiezen voor de rol van bedrijf of cybercrimineel, om vanuit beide perspectieven te zien wat er gebeurt. Een van de doelen hiervan is om senior managers meer inzicht te bieden in cybersecuritytechnologie en -terminologie.

Uitbreiden van vaardigheden

Maar gamificatie draagt niet alleen bij aan security-awareness. Het kan ook een rol spelen in het uitbreiden van de vaardigheden binnen securityteams. Zoals bij Marks & Spencer, dat gamificatie in zijn werkzaamheden opnam. Het Marks & Spencer-systeem bestaat uit een blauw team, dat het netwerk moet verdedigen, en een rood team, dat de verdediging probeert te doorbreken en op zoek gaat naar kwetsbaarheden. Teams en individuen ontvangen punten en naarmate ze meer doelen behalen een steeds hogere status. Bij navraag blijkt het personeel erg enthousiast te zijn over de progressie- en concurrentie-elementen van het systeem.

Het lijkt er dus op dat gamificatie kan helpen oplossingen te vinden voor bekende problemen, zoals slechte security-awarenesstraining en de zogenaamde zwakke menselijke schakels in de securityketen. Het succes van gamificatie is gebaseerd op een compleet andere benadering van het probleem. Daarnaast zorgt deze aanpak ervoor dat het werk leuker wordt, en misschien zelfs niet eens meer op werken lijkt. Door mensen te vragen om de issue in een nieuw en ander licht te zien, kunnen we hen interesseren en zo de cybersecurity verbeteren.