Hvad vil du foretrække?
At nærstudere Det Internationale Tennisforbunds kompendium over de officielle regler for spillet. Eller springe ind på en tennisbane med en erfaren tennisspiller og lære reglerne mens I spiller.
Jeg tror, de fleste ville foretrække at lære gennem leg, frem for at skulle pløje sig gennem tykke regelsæt for at forstå, hvordan man spiller spillet.
Det er ikke anderledes, når det handler om informationssikkerhed.
Hvis medarbejderne kan lege sig til læring, vil de fleste være mere tilbøjelige til at engagere sig. Og så virker det i øvrigt meget bedre, end hvis man beder dem læse informationspolitikken igennem fra a til z.
Leg, spil, gamification udbydes i mange former af forskellige leverandører, og der er rig mulighed for at du enten kan købe dig til løsninger eller selv sætte gang i informationssikkerhedsaktiviteter med spræl i.
En af de oplagte muligheder er at knytte gamification til test-phishing.
Jeg har set en demonstration af det finske firma Hoxhunts løsning. Det ser ret cool ud.
Medarbejderne konkurrerer mod hinanden om at få point og stjerner. Hvis Peter gennemskuer en test-phishing e-mail og rapporterer den ved at klikke på rapporteringsknappen i Outlook får han point, og hvis han vælger at se en kort læringsvideo, får han yderligere point.
Hvis Anna kommer til at klikke på linket i en test-phishing mail, får hun naturligvis ikke point, men kan genvinde point ved at se en læringsvideo. Peter, Anna og de øvrige medarbejdere – der i øvrigt deltager frivilligt i spillet – konkurrerer mod hinanden og kan i en oversigt se, hvem der fører og har flest point og stjerner.
Sammenlignet med en test-phishing løsning uden gamification, vil konkurrenceaspektet appellere til en stor gruppe medarbejdere, der bare finder det alle tiders at konkurrere med kollegerne. Alt imens de opbygger informationssikkerhedsevner.
En quiz vækker interesse blandt mange medarbejdere. Jeg har brugt det i forskellige sammenhænge, fx i en info-sec stand, hvor medarbejderne defilerer forbi på vej til kantinen. De fleste synes, det er meget sjovt at besvare en håndfuld spørgsmål, der relaterer til de sikkerhedstiltag, der er ved at blive rullet ud. Præmien behøver ikke være stor, men quizzen skal være kort, præcis og være krydret med svarmuligheder, der får deltagerne til at trække på smilebåndet.
Quizzer kan også engagere i workshops, hvor medarbejderne skal arbejde med informationssikkerhed. Prøv fx at få fat i nogle konkrete eksempler på phishing mails, som virksomheden har modtaget. Vis eksemplerne til deltagerne og få dem til at vurdere, hvordan disse phishing mails ‘afslører’ sig selv. Det virker bedst med multiple choice, hvor du har opstillet en række karakteristika, som de skal spotte i phishing-mailen.
Enkelt stående events med et konkurrence element tiltrækker også interesse. I en kampagne hyrede jeg skuespillere til at agere hackere, der sneg sig ind i en virksomhed. På intranettet startede jeg et stop-ur samtidig med at jeg annoncerede, at der var ‘hackere’ på spil. Jeg havde sat en præmie på spil til den medarbejder, der fangede hackerne. Og med konkurrencen fik jeg sat fokus på vigtigheden af at bære ID – og om at være opmærksom på om uvedkommende kommer ind i virksomheden.
Det er også muligt at sætte fokus på brug af USB-sticks, der risikerer at inficere netværket. I en indsats kommunikerede jeg, at USB-sticks skulle tjekkes for malware, inden de måtte benyttes. Dernæst spredtes 100 USB-sticks på virksomhedens lokationer. Der lå en enkelt fil på enheden: ’Topledelsens bonus-program’. Klikkede medarbejderen på filen talte det som en fejl (uden at medarbejderen dog blev hængt ud), men afleverede medarbejderen USB’en til IT, udløste det en præmie. Således fik en konkurrence sat sikker brug af USB’er på dagsordenen.
Lege, quizzer, spil og gamification kan bruges som katalysatorer til at engagere medarbejderne i forskellige informationssikkerhedsemner. Muligheden for at få dem til at læse IT-sikkerhedspolitikken foreligger naturligvis også.
Hvad ville du foretrække?