Den menneskelige faktor i organisationer er årsagen til størstedelen af databrud og sikkerhedshændelser globalt. Menneskelige fejl, hvad enten det er intentionelt eller skyldes uopmærksomhed eller uvidenhed, fører til flere sikkerhedshændelser end cyberangreb, der er direkte målrettet en virksomheds IT-systemer.
Og selvom langt de fleste medarbejdere ikke ønsker at forårsage skade, gør mange af dem det utilsigtet gennem dårlig cyber-hygiejne, herunder dårlige adgangskodevaner, skødesløs internetbrowsing eller klik på links i phishing-mails.
Cyberkriminelle kender til de dårlige vaner, og medarbejdere er derfor ofte de primære mål for social engineering-angreb som spear phishing.
Stærk cybersikkerhed starter med medarbejderne
Mens mange virksomheder hævder at have etableret effektive politikker og procedurer til at hjælpe deres personale med at undgå og håndtere cybertrusler, tegner historierne om databrud, der fylder overskrifterne på daglig basis, et meget andet billede, da de ofte beskriver, hvordan cyberkriminelle har fået adgang til virksomheders systemer og data gennem en uopmærksom ansat.
Alt for ofte undervurderer arbejdsgivere den rolle, som deres egne medarbejdere, fra kundeservice til bestyrelseslokalet, kan spille. Enhver kæde er kun så stærk som dens svageste led, og selvom medarbejderne har potentiale til at være en meget effektiv sikkerhedsforanstaltning, er de normalt en af de største sårbarheder over for potentielle angreb.
Ydermere intensiveres cyberkriminalitet i øjeblikket, da trusselsaktører bliver mere og mere beslutsomme og aggressive, og deres metoder bliver mere komplekse og sofistikerede. Det betyder, at private og offentlige organisationer skal finde bedre måder at engagere deres medarbejdere, når de deltager i awareness-træning.
Hvad er gamification?
Gamification er en beskrivelse af, at man tager klassiske spilmekanikker og overfører dem til en situation, medie eller handling, som normalt ikke indeholder de elementer. Det er typisk elementer fra computer- og videospil, som langt de fleste er bekendte med.
Ved gamification kan man tage de oplevelser og belønninger, der gør spil sjove og engagerende, og anvende dem i hverdagssituationer og scenarier for at motivere mennesker til at udvise en bestemt adfærd eller opnå et bestemt mål.
Gamification kan være noget så simpelt som at tilføje et leaderboard til en træningsøvelse, så medarbejderne kan sammenligne resultater, eller lige så komplekst som at bruge et rollespil med niveauer og udfordringer for at hjælpe spillere med at opbygge gode vaner og nå forskellige mål.
Gamification inden for cybersikkerhed og awareness-træning
Gamification bruges oftere og oftere inden for uddannelse og kan bruges på mange måder, i alt fra andensprogstilegnelse til ingeniører-uddannelser. Gamification er ideelt til indlæring, da det omdanner passiv læring til interaktiv læring. I stedet for udelukkende at lære gennem undervisningsmateriale og undervisere, bliver brugerne en del af undervisningen gennem interaktive øvelser.
Traditionel awareness-træning har ry for at være kedeligt og tungt – og anses som en pligt for medarbejderne. I mange brancher er awareness-træning obligatorisk for alle medarbejdere. Det betyder, at sikkerheds- eller træningshold typisk tildeler medarbejderne et træningsforløb en gang om året, og de skal derefter sikre sig, at alle medarbejderne gennemfører den obligatoriske træning.
Det kan desværre være en vanskelig opgave at styrke motivationen hos sine medarbejdere og få dem til at engagere sig i awareness-træningen, så de kan bevare den tilegnede viden og konvertere den til en sikker adfærd, der hjælper organisationen med at opdage og undgå sikkerhedstrusler.
Derfor burde alle organisationer anvende gamificerede elementer i deres awareness-træning, som sørger for, at træningen rent faktisk virker og skaber nye vaner.
Gamificerede elementer inkluderer:
-
Point
-
Leaderboards
-
Belønninger
-
Tidsbegrænsning
-
Levels
-
Narrativer
-
Quizzer
-
Konkurrencer
-
Udfordringer
-
Badges
Det er ekstremt effektivt at bruge flere elementer, som skaber en sammenhængende og meningsfuld træning.
Gamification = effektiv træning
Når det anvendes til awareness-træning, har gamification vist sig at øge medarbejderes deltagelse og engagement, booste fastholdelse af viden og forstærke sikker adfærd – adfærd som dine medarbejdere kan bruge for at holde din organisation godt beskyttet.
Øget deltagelse
En væsentlig årsag til, at spil fanger spillerne, er, at de indeholder genkendelige, spændende og relaterbare elementer, som får spillerne til at vende tilbage igen og igen.
Tilføjelse af gamification i cybersikkerhedsawareness-træning gør det til en sjov teamaktivitet og indfører lidt sund konkurrence mellem deltagerne. Det er også en positiv måde for medarbejdere at engagere sig i sikkerhed på. Medarbejderne tilegner sig en stor mængde viden uden at tænke over det, da det føles mere som underholdning end egentlig træning.
Hvis medarbejderne har det sjovt, mens de lærer om cybersikkerhed, er der langt større sandsynlighed for, at de vil gennemføre træningsforløbene og måske endda se frem til at deltage i det næste.
Gamification har vist sig meget effektivt til at sikre medarbejderdeltagelse i træningen, fordi det tilskynder dem til at udføre visse handlinger ved at appellere til den del af dem, der går op i konkurrencer og selvudvikling. For at gamification skal være effektivt, skal virksomheder gøre deltagelse til en nem og sjov del af brugeroplevelsen.
Højere engagement blandt alle medarbejdere
Traditionel awareness-træning følger typisk samme model: introduktion, undervisning og til sidst en quiz, der tester medarbejderne i deres nye viden. Denne model fører sjældent til højt engagement. Det gør gamification til gengæld, da det gør træningen interaktiv og fordybende, uden at det føles som tung undervisning.
Gamification giver medarbejdere flere grunde til at deltage i træningen, hvilket gør det langt mere motiverende og givende for den enkelte medarbejder.
Fastholdelse af viden
Awareness-træning bør være kontinuerlig og ikke begrænset til et par træningsforløb om året. En del af gamification er, at medarbejderne kan se, hvordan de bliver bedre og bedre, og det forstærker kontinuiteten. En vedvarende deltagelse i træningen, samt den personlige motivation til at lære og dermed blive bedre, fører naturligt til en højere indlæring. Og den viden, som medarbejderne får, bliver fastholdt gennem gentagelse.
Facilitering af adfærdsændring
Et stort problem med de fleste awareness-træningskampagner er, at medarbejderne ikke mener, at indholdet og øvelserne er direkte målrettet dem. Selvom de deltager i træningsprogrammerne, kan de ikke se relevansen og omdanner derfor ikke deres viden til handling.
Med gamification kan medarbejderne interagere med indholdet og få feedback gennem point, levels eller achievements. Det gør, at de bliver langt mere interesserede i træningen, da de bliver belønnet for deres indsats og kan se en udvikling. Indlæringen stiger og den kontinuerlige deltagelse i træningen fører naturligt til en positiv adfærdsændring.
Udover at mange eller samtlige medarbejdere på arbejdspladsen over en længere periode skaber en adfærdsændring, så skaber gamification også en sikkerhedskultur, der bidrager til en positiv indstilling til cybersikkerhed. Sikkerhedskulturen styrker interessen og er med til at holde et fokus på stærk cybersikkerhed på tværs af den interne kommunikation.
Gamification kan nemt integreres i alle typer af awareness-træning og passer godt til kontinuerlig træning på alle niveauer, som samtidigt er den mest effektive form for træning til alle virksomheder.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Se alle indlæg af Sofie Meyer
