web-dev-qa-db-ja.com

ITセキュリティのゲーミフィケーション-まだアプリケーションはありますか?

ゲーミフィケーションは、ゲーム以外のコンテキストでのゲームデザイン要素とゲームメカニクスの使用であり、頻繁に議論されるトピックです。ゲーミフィケーションへの行動の影響を見ると、特に企業環境では、ITセキュリティについてユーザーを教育し、安全な行動に報いる可能性があります。

私が見つけたアプリケーションは、ゲーム自体ではなく、「模倣された」プライバシーポリシー(私が探しているものに近い)であるPrivacyvilleを除いて、ほとんどが深刻なゲームです。

http://www.funtheory.net/internetsecuritygames.htm

http://www.healthit.gov/sites/default/files/cybersecure/cybersecure.html

http://cisr.nps.edu/cyberciege/index.htm

http://company.zynga.com/privacy/privacyville

どのようなアプリケーションがありますか、特にgamifyIT /企業セキュリティ

  • ゲーミフィケーションのメカニズムまたは要素を適用するセキュリティツールはどれですか。

  • どの企業がこれらの技術を使用して、セキュリティコンプライアンスについて従業員を教育または報奨していますか? (実績、バッジ、スコアを与える、またはリーダーボードでランク付けするなど)

7
J_rgen

私が聞いたすべてのプログラム(および数個しかありません)は自家製で、主にプログラムの設計が原因で、さまざまな結果が出ています。私自身、ゲーミフィケーションを進行中のフィッシング意識向上トレーニングに組み込むプログラムを開発しています。私の希望は、この1つの領域での成功を活用して、ユーザーセキュリティトレーニングの他の領域に拡大することですが、このアプローチは非常に新しいものです。

私が行った大きな変更の1つは、混乱を引き起こすため、「ゲーミフィケーション」へのすべての参照を削除することでした。代わりに、「アクティブフィードバックメトリック」および「比較メトリック」という用語を使用し、過度に不適切に聞こえないようにします(「パラダイムのシフト」などすべて...)。

私のデザインの目標は:

  • 知識の伝達ではなく行動の修正
  • 短いトレーニング/相互作用時間
  • ユーザーの成功後に難易度が上がるトレーニング
  • 受動学習ではなく能動学習
  • 相互作用間の短い時間
  • ピアと共有できる単純な「スコアリング」(別名「即時アクティブフィードバック」)

ゲーミフィケーションの予想外の利点の1つは、パッシブラーニングだけの場合よりもはるかに複雑な素材にユーザーを導くことができることです。ユーザーは、スコア/報酬/達成/自慢の権利/積極的なフィードバックを得るために、オプションの資料に取り組むように誘われます。

私の経験から、ゲーミフィケーションは従来のセキュリティトレーニングのギャップを埋めるために使用できると思います。結局のところ、ユーザーには何をすべきかを単に「知って」もらうのではなく、何をすべきかを「実行」してもらいたいからです。 、理由を正確に知らなくても(知識自体は有益ですが)。つまり、私たちが焦点を当てる必要があるのは行動の変更であり、ゲーミフィケーションはこの目的に非常に適しています。

1
schroeder

私は時々ペンテストを行ったり、金融会社の建築家などとの打ち合わせに行ったりしていましたが、彼らの情報セキュリティの第一人者が乗っていて、似たようなことをやろうとしたことが伝わりました。結果は恐ろしいものでした。この人が安全とリスクを伝えているやり方に多くの人が気分を害したと聞いた。例:彼は「この犯罪者はあなたのパスワードなどを望んでいる」のような言葉遣いで銃を持った人々の段ボールの切り抜きを持っていました。

企業はお金を稼ぐためにビジネスをしています。セキュリティには具体的なROIはなく、定性的か定量的かに関わらず、統計(AV * EF = SLE)を投げる人はいません。これについて賛成または反対の議論をすることができ、マーフィーの法則はそれらすべてを打ち負かします。そうは言っても、ゲームに有形のリソースを費やすことで、企業にはどのような利点がありますか。

これは、セキュリティポリシーとセキュリティプロシージャ全体に対する質問であると推測したという意味で答えられました。 「ハクミーバンク」のコメントは、セキュリティベースのフィールドで機能する可能性があります。プログラマーやWeb開発者が言うリスクを説明するのに役立つかもしれませんが、平均的な人(受付、アカウントマネージャー)にとって、彼らはヘッドライトの鹿のようになります(混乱) )。

このようなプログラムにはコストがかかります(数時間、ゲームの仕事から離れて費やした時間など)。したがって、(大企業の)取締役、シニア(CEO、CFOなど)と言うことが証明できない場合は、どういうわけかお金を稼ぐことができますが、それが標準になることはありません。 「お金を節約できる」とCEO、COO、CFOに売り込むことはできますが、彼らは、「技術的な」ソリューション(ファイアウォール、電子メールプロキシなど)を探す可能性があります。ゲームで負けた人時間。

計算する:

Big Corp (10,000 employees)
Security Game (1/2 hour of time)
Game Plays (once per quarter)
Employee Salary $7.25

全員に最低賃金が支払われた場合、賃金の遊びあたりのコストは四半期ごとに$ 36,250.00になります。これには、セットアップのコスト、サーバー、誰かが遊んだことによる潜在的なビジネスの損失などは含まれません。このペースで、人々に通常の情報を提供します(四半期に1回)、給与だけで$ 145,000.00かかります。 (7.25[給与]* 10,000[従業員数]/ 2 [30分の時間]* 4[1年あたりの回数]) CEO/CFO/CTOは、この問題を解決するためのテクノロジーをすぐに探します。たとえば、フィッシングを検出するための電子メールプロキシサーバーは、30,000.00ドルの費用がかかります。 「ゲーム」を環境に導入するのにあまり経済的意味がない。ビジネスはお金を稼ぐことです。

0
munkeyoto