Computerworld News Service: Der findes en ny løsningen på den gamle udfordring med at få medarbejdere til at tage sikkerheden alvorligt: Gamification.
Det drejer sig om spilagtige elementer i arbejdsgangene, der kan bruges til at skabe øget opmærksomhed på sikkerheden og ændre brugernes adfærd. Implementeret rigtigt kan det give resultater, der er til at føle på.
"Deltagerne i vores program havde 50 procent mindre sandsynlighed for at klikke på et phishing-link og 82 procent større sandsynlighed for at indberette en phishing-mail."
Sådan beskriver Patrick Heim, der er chief trust officer hos Salesforce.com, resultaterne af de første 18 måneder af selskabets igangværende forsøg på at styrke medarbejdernes opmærksomhed på god sikkerhedspraksis ved hjælp af gamification, der er baseret på belønning som positiv konsekvens fremfor negativ.
Også øget opmærksomhed på den fysiske sikkerhed er en del af initiativet hos Salesforce.com, der har 13.000 medarbejdere.
En kampagne for at teste sårbarheden for såkaldt tailgaiting (hvor en uautoriseret person sniger sig igennem en sikret dør ved at følge i hælene på en autoriseret person) benyttede sig af 300 frivillige medarbejdere, der blev belønnet, hvis det lykkedes dem at snige sig gennem en dør og stjæle noget.
Alt for mange lader sig narre
Før sikkerhedstræning gælder det generelt, at 30 til 60 procent af brugerne lader sig narre af phishing-mails, udtaler Lance Spitzner, der er uddannelsesdirektør hos SANS Institute, der udbyder erhvervskurser i god sikkerhedspraksis.
Efter et kursus og seks til 12 måneder med et gamification-tiltag er andelen faldet til fem procent, hævder han.
Hvad er gamification?
"Gamification har ikke noget at gøre med computerspil," forsikrer Ira Winkler, der er direktør for it-sikkerhedsfirmaet Secure Mentem.
"Derimod drejer det sig om anvendelsen af spilprincipper i løsningen af et forretningsproblem."
Gamification består ifølge Winkler af fire principper:
• Definer et mål.
• Lav nogle regler for at nå målet.
• Skab en mekanisme, der giver deltagerne feedback.
• Lad det være frivilligt at deltage.
De principper kan man se i brug for eksempel i spillet golf, bemærker han: Målet er at få bolden i hul på færrest mulige forsøg, mens reglerne om, hvordan skal gøres, gør det til en interessant udfordring. Feedbacken leveres af pointsystemet, og spillerne deltager frivilligt.
Når gamification anvendes til at øge medarbejderes kendskab til deres virksomheds sikkerhedspolitik, indebærer det som regel at give point til de medarbejdere, der gør det rigtige.
Pointsystemet bliver grundlag for forskellige former for anerkendelse heriblandt badges, præmier og en pointtavle, der viser de førende medarbejderes samlede antal point, forklarer han.
Sådan kan du belønne de opmærksomme
Af sikkerhedsrelateret adfærd, der belønnes i sådanne programmer, kan nævnes indberetning af phishing-mails, forhindring eller indberetning af tailgaiting og forhindring eller indberetning af forsøg på anden indtrængen (især ved hjælp af såkaldt social engineering).
Det kan også være indlevering af USB-nøgler fundet på gulvet, at holde sin pc's software opdateret, at bruge stærke adgangskoder, at deltage i seminarer om sikkerhed, at undgå at efterlade bærbare pc'er i parkerede biler og (for udviklere) indberette fundne fejl og sårbarheder i software anvendt af virksomheden.
Men ordet gamification vækker ikke umiddelbart tillid i erhvervslivet.
"Så snart man bruger ordet 'game' hos en virksomhed, opstår der som regel en del modstand, fordi arbejde er noget seriøst, og det er spil ikke," fortæller Jordan Schroeder, der er it-sikkerhedsadministrator hos Family Insurance Solutions.
"Derfor har jeg i stedet vænnet mig til at bruge vendingen 'aktiv feedback'. Den glider lettere ned."
Her er resultaterne
Spitzner fra SANS bemærker, at gamification brugt til at skabe øget opmærksomhed på sikkerheden endnu ikke er et felt med stor modenhed, og at de få organisationer, der har brugt det, har fokuseret på at ændre blot nogle få adfærdsmønstre.
Ikke desto mindre er der succeshistorier, såsom Salesforce.coms erfaringer.
"Vi ville se, hvad der skete, hvis vi lavede et program, hvor medarbejderne selv ønskede at gøre tingene korrekt, fremfor at de blev presset til det," forklarer Heim fra Salesforce.com.
Efter at have konsulteret med de forskellige afdelingschefer "kom vi frem til en kort liste af adfærd, som vi mente, ville have den største virkning, heriblandt frivillig sikkerhedstræning, indberetning af phishing-mails og forhindring af badge surfing," som tailgaiting også kaldes.
Hos Salesforce.com er sikkerhedstræning obligatorisk, men det er deltagelse i selskabets gamification-program til højnelse af sikkerheden ikke, tilføjer Heim.
Men medarbejderne får point og anerkendelse, hvis de deltager og udviser sikkerhedsmæssigt ansvarlig adfærd såsom indberetning af phishing-forsøg, forklarer han.
Du skal ikke skælde ud
Schroeder fra Family Insurance Solutions forklarer, at han nøjes med at give positiv feedback, når brugerne gør noget rigtigt (i forbindelse med for eksempel forsøg på phishing eller indbrud, hvadenten det drejer sig om en øvelse eller et reelt tilfælde) og blot vise dem, hvad de skulle have gjort, når de gør noget forkert.
Til forskel fra hos Salesforce.com bruges her ingen point, badges, niveauer eller præmier, fortæller han. "Jeg er ikke overbevist om, hvor effektivt det er at uddele fysiske belønninger i en lille virksomhed," tilføjer han.
Han har ikke statistik på det, men har lagt mærke til, at brugerne ikke længere forsøger at skjule det af frygt for repressalier, når de er kommet til at gøre noget galt.
"Hvis de har tillid til, at de altid vil blive mødt med en positiv respons, så har de et stærkt ønske om at få den respons og vil derfor indberette phishing-mails i håbet om at få den respons. Folk, som normalt er tilbageholdende, går nu i åben dialog med mig og spørger, om dit eller dat er OK."
"Det er spændende at se dem selv sætte sig ind i nye ting. Folk, der før var nogle af mine største bekymringer, er nu mine bedste partnere i forhold til sikkerheden. Jeg er overrasket over, hvor stor en succes det har været hos folk, som jeg ellers troede, ikke var modtagelige."
Midaldrende kontorassistenter er ofte de, der tager gamification bedst til sig, mens Schroeder oplever størst vanskelighed ved at trænge igennem til yngre folk, der spiller computerspil, fortæller han. "De gennemskuer som regel systemet, men reagerer godt på udfordringer," bemærker han.
Råd og faldgruber
Winkler tilføjer, det er vigtigt for at undgå spildt arbejde, at man klarlægger, hvor opmærksomme på god sikkerhedspraksis medarbejderne i forvejen er, før man iværksætter et gamification-program. Derefter er det vigtigt, at man skaber en belønningsstruktur, der tager udgangspunkt i virksomhedens kultur og forretningsmål.
"Man skal ikke begynde at belønne adfærd, der ikke har nogen værdi," forklarer han. Desuden skal man bruge "belønninger, som folk faktisk eftertragter." At belønne medarbejderne ved at rangordne dem som Jedi-riddere fra Star Wars kan måske fungere, hvis det er programmører, men ikke hvis det drejer sig om investeringsrådgivere.
Måske viser det sig, at point, der kan veksles til små præmier, virker motiverende, eller måske virker det alene at skrive folks navne op på en pointtavle, bemærker Winkler.
Virksomheder med kontorer på forskellige adresser, især når det er på tværs af landegrænser, vil sandsynligvis have størst succes ved at tilpasse strategien til hvert kontor.
For eksempel vil det i visse asiatiske lande sandsynligvis virke som et stærkt incitament for medarbejderne, hvis de kan få en chance for at give hånd til topchefen, tilføjer han.
Sådan kan et pointsystem se ud
Hvis man vælger at bruge et pointsystem, bør det blive sværere og sværere at få point, jo flere point man har. Det kan man sørge for ved at inddele i niveauer.
På første niveau bør det være let at få point ved at udføre nemme handlinger såsom at deltage i seminarer. På næste niveau bør det først udløse point, når man handler af sig selv, eksempelvis ved at indberette en phishing-mail eller en sikkerhedhændelse.
På højere niveauer bør pointene kun gives for komplekse sikkerhedsaktiviteter såsom deltagelse i øvelser, forklarer han.
"Selv hvis der er tale om et fejltrin (såsom at være faldet for en phishing-mail), så skal man belønne medarbejderen for at indberette det fejltrin," tilføjer Winkler.
"Hvis jeg kender til det, kan jeg jo advare resten af firmaet. Med gamification virker det ikke længere på medarbejderene, som om sikkerhedsafdelingen er til for at straffe dem, men hvis alle deres oplevelser med sikkerhedsafdelingen er negative, vil de være mindre tilbøjelige til at indberette hændelser."
"Offentliggør aldrig navnene på folk, der falder for phishing," fremhæver Spitzer. "Gør alle opmærksom på, at deres overordnede ikke vil få det at vide, hvis de bliver ofre for et sikkerhedsangreb."
"Hvis medarbejderne tror, de vil få en anmærkning, vil de føle modstand mod programmet, fordi de frygter, det vil skade deres karriere. Den overordnede bliver kun informeret, hvis en medarbejder gentagne gange bliver offer for sikkerhedshændelser og derfor udgør en særlig risiko. Men sørg endelig for at offentliggøre navnene på medarbejdere, der gør det godt," tilføjer han.
En gang om måneden bør man gennemføre en eller anden øvelse (såsom udsendelse af falske phishing-mails eller at have nogen til at forsøge tailgating). "Men hvis det sker ugentligt, bliver det bare irriterende," advarer Spitzner.
"Man skal ikke forvente mirakler. Man bliver nødt til at tilpasse programmet med udgangspunkt i, hvad der virker, og hvad der ikke virker," understreger Winkler.
Når man belønner forkert adfærd
Det er meget almindeligt at komme til at belønne en forkert adfærd. Han erindrer et tilfælde, hvor softwareudviklere blev belønnet blot for at finde fejl i kode, og derfor begyndte at indberette gamle fejl og endda med vilje lavede nye fejl alene for at indberette dem.
Endelig advarer Winkler også, at gamification ikke er svaret for enhver organisation, især ikke hvor sikkerhedsreglerne er lovmæssigt skarpt reguleret, og hvor deltagelse ikke kan være frivillig.
Gamification er på vej frem
I de store virksomheders sikkerhedsafdelinger griner man ikke af gamification.
"Gamification er da noget, vi undersøger," bekræfter Ahmad Douglas, der er chef for sikkerhedskendskab hos Visa.
"Nogle steder antager man, at det vil forbedre medarbejdernes adfærd, hvis man i en uge fokuserer på at forbedre folks kendskab til god sikkerhedspraksis og uddeler gratis kuglepenne. Det er ikke en antagelse, vi gør os."
I stedet har Visa sat en kognitiv psykolog til at undersøge, hvordan man imødegår trusler ved at ændre folks adfærd målbart.
"Gamification er et værktøj, men jeg antager ikke på forhånd, at det er løsningen," tilføjer Douglas.
"Gamification eller historiefortælling eller at hænge tegninger op på toiletterne - hvad end der virker - det er sådan, vi får folk engageret," mener Douglas. "Hvad end vi gør, så vil det være relateret til en specifik trussel, det vil have målbare resultater og det vil være baseret på rigtig psykologi."
Problemet med brugernes opmærksomhed på god sikkerhedspraksis er faktisk todelt, fortsætter Douglas.
"Ved de hvilken handling, der forventes af dem? Og er de villige til at handle? Man kan ikke løse begge udfordringer med den samme løsning."
"Hvis de ikke ved, hvad der forventes af dem, er man nødt til at vurdere, om det er realistisk at forvente det, man forventer, og hvordan man bedst oplyser brugerne om det. Hvis brugerne ved, hvad der forventes, men foretrækker ikke at handle, har man et incitamentsproblem, og er nødt til at tilbyde en belønning."
Ikke alle sikkerhedseksperter er dog lige entusiastiske for gamification. "Vi bruger det til en vis grad, men ikke sådan at vi ligefrem har niveauer og point," fortæller Jonathan Feigle, der er it-sikkerhedschef hos Hyatt Hotels.
Han bemærker, at det også ville blive ret kompliceret at uddele point til en global medarbejderstab med mange forskellige nationaliteter og sprog.
Mens Winkler og flere andre understreger, at gamification ikke betyder, at brugerne spiller et spil, så er der dog nogen, der er villige til at krydse den grænse. For eksempel er startup-virksomheden Apozy ved at udvikle et cloud-baseret computerspil, der skal bruges til at højne brugernes kendskab til sikkerhed, fortæller medstifter Rick Deacon, der tidligere har arbejdet som penetrationstester for store virksomheder.
"Vi sigter efter at få brugerne engageret, ved hjælp af noget de synes er sjovt," forklarer han. Spillet simulerer et virksomhedsmiljø, og som spiller skal man forsøge at gennemføre angreb mod virksomheden. Samtidig analyserer softwaren brugernes beslutninger for at give et billede af, om de har forstået situationen korrekt.
Men ligegyldigt om vi taler om gamification eller egentlige spil, peger successen med disse tilgange på, at løsningen af problemet med manglende opmærksomhed på sikkerheden ikke drejer sig om teknologi men derimod om menneskelig adfærd.
I stedet for at være ofre for social engineering viser virksomhederne, at de kan beskytte sig selv med deres egen form for håndtering af sociale aspekter på arbejdspladsen - baseret på belønning af medarbejderne for at tage medansvar for sikkerheden.
Oversat af Thomas Bøndergaard
Læs også: