Made with
Landing Page SoftwareCelem artykułu jest omówienie szkoleń z ochrony danych realizowanych w taki sposób, żeby ludzie wychodzili z tych szkoleń z umiejętnościami, wiedzą do wykorzystania zaraz po powrocie do stanowiska pracy, żeby z własnej woli wykorzystywali to, czego się nauczyli przez doświadczenie, w praktyce.
Nazywam się Krzysztof Kowalski, od 15 lat zajmuję się bezpieczeństwem informacji, jestem Inspektorem Ochrony Danych, doradcą Prezesa Polskiej Izby Hotelarzy.
Udowodnię, jak ważne są szkolenia dla Pracowników, na podstawie pierwszej RODO-kary dla Hotelu w Rumunii.
Osoba z zewnątrz sfotografowała śniadaniową listę gości, a następnie umieściła ją w Internecie.
Hotel, zgodnie z art. 33 RODO, złożył powiadomienie do miejscowego organu ochrony danych o wycieku danych.
Ten z kolei wszczął z urzędu postępowanie, zakończone karą administracyjną w wysokości piętnaście tysięcy EURO, co stanowiło 0,2% rocznego przychodu Hotelu.
Z analizy opracowanej przez Uniwersytet Brown, wynika, że prawdopodobne przyczyny wycieku to:
Po pierwsze, brak technologicznego zaawansowania Hotelu, ponieważ zamiast papierowej listy można było wykorzystać czytniki kart Gości lub inne skomputeryzowane środki weryfikacji, z odpowiednim zakresem autoryzacji dostępu do danych.
Po drugie brak świadomości Pracowników, w końcu ktoś zostawił listę bez dozoru, w sposób umożliwiający sfotografowanie jej treści, czyli szkolenia, szkolenia i jeszcze raz szkolenia;
W końcu trzeci powód wycieku, to "trywializowanie" zagadnienia. O ile czynności meldowania czy płatności były zgodne z RODO, o tyle czynność weryfikacji Gości hotelowych na śniadaniu w ogóle nie była brana pod uwagę jako źródło wycieku danych.
Podsumuję tę historię cytatem:
"Mam nadzieję, że nigdy nie popełniam błędu robienia niewłaściwych błędów."
Przytaczam te słowa, ponieważ w obecnej sytuacji nie ma 100% zabezpieczeń przed cyber-przestępcami, a niefrasobliwość prowokuje ich do działania. Zakładam, że część z nas spotkała się z opinią, że najsłabszym ogniwem zabezpieczeń jest człowiek. Proszę jednak spojrzeć na to z drugiej strony:
człowiek jest pierwszą linią obrony” przed atakami, człowiek jest pierwszym wektorem cyber-ataku”
Dlatego szkolenia są jednym z podstawowych organizacyjnych środków ochrony danych. Na kompetencje Pracowników wskazują normy dot. zapewnienia jakości (ISO 9001), ciągłości działania (ISO 22301) bezpieczeństwa informacji (ISO 27001). Zwróćmy uwagę, że art. 32 ust. 1 RODO wymaga m. in. testowania, sprawdzania zabezpieczeń. Jednym ze sposobów na to są szkolenia z zakresu bezpieczeństwa informacji. Powinny być one elementem systemu ochrony danych, stawiać wspólne cele takie jak:
Powodzenie biznesu: Szkolenie jest ważne, ponieważ jego celem jest ochrona przedsiębiorstwa, a w końcu zarówno Pracownikom, jak i Kierownictwu, w założeniu, zależy na sukcesach w pracy.
Uznanie za pracę: Realizacja wspólnego celu, jakim jest ochrona danych daje poczucie satysfakcji Pracownikowi, w końcu każdy woli pracować w bezpiecznej firmie, niż nie-bezpiecznej.
Rozwój kompetencji: Z założenia Pracownicy są nastawienie na pozyskiwanie nowych umiejętności. Jeśli bezpieczeństwo będzie ważną częścią pracy, to będzie motywować do uczenia się na ten temat. Poza tym taka wiedza i umiejętności przydają się również w życiu prywatnym, czego przykładem są osoby, których dane osobowe zostały wykorzystane do zaciągania „chwilówek”.
Jasne powody: Należy wyjaśnić, w sposób jasny i czytelny, dlaczego wybrane procesy, praktyki są regulowane przez procedury bezpieczeństwa. Takie podejście może wpłynąć na to, jak Pracownicy traktują zapewnienie zgodności z RODO, jak postrzegają zagrożenia.
Wyzwaniem jest to, żeby szkolenie miało pozytywny, długotrwały efekt.
Z drugiej strony, badania jednej z czołowych firm dostarczających oprogramowanie do ochrony przed złośliwym oprogramowaniem wskazuje , że w 2019 r.:
1) Średnia wartość strat finansowych pojedynczego przedsiębiorstwa spowodowana przez beztroskiego, niedoinformowanego Pracownika wynosił 1 115 000 000 USD.
2) Średnie i małe przedsiębiorstwa średnio traciły ok. 100 000 USD w wyniku ataku phising lub ataku socjotechnicznego
Wyliczyli nawet to, że to daje średnio 400 USD strat finansowych na Pracownika przez ataki typu phising.
Co więcej środowiska akademickie wskazywały na problem, że edukacja dot. bezpieczeństwa informacji może mieć działanie kontr-produktywne, w tym sensie, że po szkoleniu faktycznie zwiększa się poziom ryzyka, na jakie wystawia się Pracownik. Praktycy bezpieczeństwa informacji powinni zagwarantować, że szkolenie łączy to, co Pracownik wie z tym, jakie zachowanie jest od Pracownika wymagane.
Ponad to opracowania badaczy wskazują na to, że obecnie stosowane metody szkolenia w zakresie bezpieczeństwa informacji, jak ja to nazywam – metody pasywne, bo nie wymagające od Uczestnika szkolenia większego zaangażowania poza słuchaniem, często nie osiągają celów związanych z poprawą cyber-zachowań Pracowników.
Dlatego jedną z odpowiedzią na ten stan rzeczy jest wykorzystanie technik gamifikacji do zwiększania efektów szkoleń z zakresu ochrony danych, do zmiany zachowań Pracowników, na zasadzie: „małe kroki uruchamiają duże zmiany”.
Ustaliliśmy, że systemy Informatyczne, ochrony danych są zależne od ludzi. Dlatego są naukowcy, którzy twierdzą, że bezpieczeństwo informacji to zagadnienie bardziej z dziedziny, psychologii behawioryzmu niż innej specjalizacji naukowej. Stąd efektem szkolenia powinno być, cytuję, „getting people to behave in a certain way”, w wolnym tłumaczeniu: „Doprowadzić do tego, żeby ludzie zachowywali się w określony sposób”.
Gamifikacja to z kole, wykorzystanie mechaniki gier, w tym symulacyjnych, do modyfikowania zachowań ludzi w sytuacjach niebędących grami, w celu zwiększenia ich zaangażowania.
Stąd idea wykorzystania gamifikacji do szkoleń z ochrony danych.
Z naukowego punktu widzenia odwołuję się do filozofii pragmatyzmu w edukacji, do koncepcji rekonstrukcji doświadczenia w procesie uczenia się. Doświadczenie to jedno z „zasadniczych pojęć teorii eksperymentalistycznej, oznacza interakcję, czy też transakcję pomiędzy organizmem a środowiskiem zewnętrznym. Zdobywamy wiedzę dzięki doświadczeniom, czyli interakcjom z otoczeniem. Każdy taki epizod eksperymentalny pogłębia nasze doświadczenie.”
Jednym z przedstawicieli pragmatyzmu był John Dewey, reformator systemu edukacji, który opracował metodę rozwiązywania problemów zwaną „pełnym aktem myślenia”. Ta metoda, z naukowego punktu widzenia, jest odpowiedzą, dlaczego należy stosować gamifikację do szkoleń. Metoda składa się z pięciu etapów.
1. „Pojawienie się problemu: człowiek jest zdezorientowany, ponieważ sytuacja, w jakiej się znajduje ma charakter nieokreślony, niepełny. W sytuacji problemowej działanie” człowieka zostaje przerwane przez okoliczności, których nie ma w przeszłych doświadczeniach.
2. Definiowanie problemu: człowiek analizuje sytuację problemową i identyfikuje ten aspekt sytuacji (szczegół odbiegający od standardu), który uniemożliwia mu kontynuowanie działania.
3. Precyzowanie problemu: uważna obserwacja i analiza elementów istotnych dla sytuacji problemowej. Na tym etapie człowiek systematycznie i racjonalnie bada problem, aby zidentyfikować idee, materiały i instrumenty, które mogą okazać się przydatne przy jego rozwiązywaniu.
4. Konstruowanie wstępnej hipotezy: człowiek formułuje uogólnienia, twierdzenia typu „jeśli – to”, będące możliwymi sposobami rozwiązania problemu. Ten proces polega na mentalnym projektowaniu siebie w przyszłości i przyglądaniu się prawdopodobnym konsekwencjom swoich działań – jak w analizie ryzyka. W wyniku tego procesu człowiek konstruuje próbne rozwiązania, które mogą się przyczynić do poradzenia sobie z trudnością i które najlepiej gwarantują pożądane skutki.
5. Testowanie wybranej hipotezy w działaniu: jeśli dzięki danej hipotezie można rozwiązać problem i uzyskać pożądane skutki, człowiek podejmuje aktywność i kontynuuje ją do kiedy nie napotka kolejnego problemu.
Ten eksperymentalistyczny schemat stanowi podstawę dla koncepcji nauki przez doświadczenie, którą można odnaleźć w gamifikacji, czyli zastosowaniu mechaniki gier do angażowania Uczestników w szkolenia i do trwałej zmiany zachowań w wyniku tych szkoleń.
Dodatkowych argumentów za wykorzystaniem zasad gier do szkoleń dostarcza praca Manfreda Eigena, noblisty z 1967 r. z dziedziny kinetyki szybkich reakcji chemicznych. W książce pt. „Gra”, napisanej wspólnie ze swoją współpracowniczką z Instytutu Maxa Plancka, p. Ruthild Winkler, stwierdza: „Wszystko, co dzieje się w naszym świecie, podobne jest do wielkiej gry, ustalone zaś w niej są z góry jedynie reguły. I tylko one dostępne są obiektywnemu poznaniu. Sama gra nie jest tożsama ani ze zbiorem samych reguł, ani też z łańcuchem przypadków, które kształtują każdy jej poszczególny przebieg. Nie jest ona ani tym, ani tamtym, ponieważ jest zarazem jednym i drugim i ma nieskończenie wiele aspektów, tyle mianowicie, ile można ich rzutować na nią w formie pytań. Pisze dalej, że „gra jest fenomenem przyrodniczym, który od samego zarania kierował biegiem świata: ukształtowaniem materii, jej zorganizowaniem w struktury żywe i także społecznym zachowaniem ludzi.”
Dlatego postuluję wykorzystanie mechaniki gier do realizacji szkoleń z zakresu ochrony danych. Koresponduje to z tym, że na rynku pracy jest co raz większa grupa osób, która wychowała się na grach komputerowych lub w ich otoczeniu. Za chwilę będziemy mieć do czynienia z całym pokoleniem, które nie pamiętam świata bez telefonów komórkowych i Internetu. Nawet jeśli nie jesteście „gamersami”, wpływ gier komputerowych na nasze społeczeństwo jest widoczny.
Co wtedy od nas – dorosłych – dostaną? Dostaną szkolenia zgodne z systemem edukacji ery przemysłowej, tj. siedź i słuchaj.
Gry uruchamiają reakcje chemiczne, które ułatwia zapamiętywanie doświadczeń. Ten mechanizm to: „wyzwanie – sukces – satysfakcja”. W ten sposób wydziela się dopamina – hormon szczęścia, w ten sposób skonstruowane są fabuły wszystkich popularnych gier. Gamifikacja pozwala wywołać te miłe uczucie w uczestnikach szkolenia w formie symulacji, ponieważ pozwala:
• na popełnianie błędów bez negatywnych konsekwencji dla firmy,
• osiągać szybkie sukcesy, by następnie przekładać je na codzienne obowiązki.
Gry oddziałują na ludzki mózg inaczej niż inne interakcje. Gry odwołują się do naszego „repozytorium nagród”, w naszym mózgu, uruchamiając dopaminę, która powoduje, że przez krótki czas czujemy się zadowoleni z siebie.
No dobrze, tylko to nie rozwiązuje problemu, że gamifikacja jest zasadniczo nową dziedziną. Skąd wiadomo, kiedy ją zastosować?
Kryteria oceny są następujące:
1) Czy problem można załatwić za pomocą technologii? -
Jeśli TAK, to warto to zrobić, bo zmiana mentalności jest trudniejsza.
Jeśli NIE, to należy sprawdzić,…
2) Czy pracownik wie, że ochrona danych to część jego obowiązków?
Jeśli NIE, to należy przeprowadzać akcje komunikacyjne i kampanie uświadamiające.
Jeśli jednak Pracownik po mimo tego, że zna swoje obowiązki nie realizuje ich w zakresie ochrony danych osobowych, to zalecamy sprawdzić…
3) Czy pracownik wie, co ma robić, żeby zapewnić ochronę danych osobowych?
Jeśli NIE, to należy zaplanować tradycyjne szkolenia.
Być może jest tak, że Pracownik ma procedurę zgłaszania naruszeń ochrony danych, tylko nie wie, czym jest naruszenie ochrony danych, jakie są przykłady.
Jeśli jednak jest i tak, że Pracownik wie, jak chronić przetwarzane dane, a i tak nie realizuje tego, to warto sprawdzić…
4) Czy są zasoby i wsparcie organizacji dla zmiany zachowań pracowników?
Jeśli NIE, to należy pozyskać wsparcie Kadry Kierowniczej.
Być może temu Pracownikowi brakuje narzędzi do przetwarzania zgodnie z procedurami ochrony danych osobowych. Np. oczekujemy wpisywania incydentów do bazy danych, tylko IT nie dało dostępu do bazy Pracownikowi.
5) Czy pracownik jest zaangażowany w realizowanie obowiązków związanych z bezpieczeństwem informacji?
Jesteśmy w sytuacji, kiedy problemu nie można załatwić za pomocą technologii, Pracownik wie, że ochrona danych to część jego obowiązków związana z przetwarzaniem danych. Ponad to Pracownik ma wiedzę i narzędzia do tego, żeby zapewnić ochronę danych, a nadal nie jest odpowiednio zaangażowany w ochronę danych, to pozostaje… wykorzystanie mechaniki gry do modyfikowania zachowań pracowników jest potrzebne, czyli gamifikacji.
W tym miejscu warto zastanowić się nad tym, czym jest „zmiana zachowań” w ujęciu gamifikacji. Odniosę się do oryginalnego określenia „behaviour engineering” – inżynieria zachowań,użytego przez mojego guru gamifikacji – Gabe’a Zichermanna, autora książki Game-Based Marketing: Inspire Customer Loyalty Through Rewards, Challenges, and Contests.” Oraz współautora książki Gamification by Design: Implementing Game Mechanics in Web and Mobile Apps”. Będę z resztą dzisiaj często odwoływał się do tego, co głosi Gabe. Specjalnie używam określenia „głosi’, ponieważ społeczność gamifikacji jest otwarta, dzieli się wiedzą, korzysta z licencji typu „open source”. Te podejście wpisuje się w poglądy przywołanego wcześniej przeze mnie słynnego filozofa pragmatyzmu – Johna Dewey’a, który do oceny zagadnień zalecał „stosować naukową metodę sprzyjającą rozwijaniu inteligencji społecznej (tzw. „shared scientific intelligence).
Wracając do zmiany zachowań, czyli „behaviour engineering” – Gabe Zichermann, jest z wykształcenia inżynierem, więc mówi, że „inżynieria”, rozłożona na czynniki pierwsze, produkuje:
1. Odporne
2. Powtarzalne
3. Przewidywalne
4. Wydajne
Rozwiązanie na problem strukturalny.
Z drugiej strony „behaviuor”, czyli zachowanie Gabe Zichermann definiuje jako interakcje pomiędzy „stymulantem”, a odpowiedzią celu na dany „stymulant”. To podobnie jak wspomniany przeze mnie Dewey, który definiował doświadczenie człowieka, jako transakcj,e pomiędzy organizmem a otoczniem zewnętrznym. Stąd Gabe Zichermann daje teoretyczny przykład, że „behaviuor engineering” – zmiana zachowań, polega na zmianie wielu zachowań przez zmianę pojedynczego zachowania na raz.
Stąd efektywne projekty zmiany zachowań polegają na tym zazwyczaj, że:
1. Kopiują projekt, który jest sukcesem.
2. Dodane są właściwe dla projektu zmianne.
3. Testowaniu małych zestawów zachowań na raz.
4. Nowości i zaangażowaniu.
5. Ludzie mają dobre intencje, tylko zazwyczaj brakuje im czasu lub wiedzy.
Dlatego przykładem szkolenia w formie gamifiakcji, które wpływa na zachowania ludzi jest moim zdaniem Gra pt. „Backdoors & Breaches”, czyli luki bezpieczeństwa i wycieki danych. Gra została opracowana przez firmę zajmującą się m. in. „red teamingiem”, „pentestami”. Otóż zebrali doświadczenie swoich Pracowników nt. incydentów bezpieczeństwa i na tej podstawie stworzyli grę.
Opis gry jest taki:
Celem gry jest pomoc organizacjom i ludziom w lepszym zrozumieniu cyber-ataków i sposobów obrony.
W tej grze jest 6 różnych rodzajów kart.
Pierwszy zestaw kart nazywa się INITIAL COMPROMISE. Te karty są czerwone i przedstawiają jak atakujący najpierw uzyska dostęp do twojej sieci. Drugi zestaw kart nazywa się C2 i EXFIL. Te karty są brązowe i przedstawiają jak atakujący zachowałby dostęp do systemu, który złamał w sieci. Trzeci zestaw kart nazywa się PERSISTENCE. Te karty są fioletowe i przedstawiają jak atakujący zachowałby dostęp do zainfekowanego systemu. Czwarty zestaw kart nazywa się PIVOT i ESCALATE. Te karty są żółte i opisują jak atakujący poruszałby się po sieci i zwiększał ich uprawnienia. Piąty zestaw kart nosi nazwę PROCEDURY. Te karty są niebieskie i reprezentują różne Procedury reagowania na incydenty (IR), które organizacja może wykorzystać do zidentyfikowania i zneutralizowania ataku.
Za każdym razem, gdy wykonywana jest akcja przy użyciu jednej z kart PROCEDURY, daje to Zespołowi modyfikator +3 do rzutu kością. Zwiększa to szanse powodzenia tej akcji.
Szósty zestaw kart nazywa się INJECTS. Te karty są białe i są wyciągane w różnych momentach w grze, aby dodać zwroty akcji. Są one również używane, aby gra była odtwarzalna i realna.
Aby rozpocząć grę, wybierz jedną osobę, która jest mistrzem incydentów. Jedynym celem tej osoby jest życie aby utrzymać grę w ruchu. Wyciągną jedną losową kartę z Wstępnego kompromisu, C2 i Pokłady EXFIL, TRWAŁOŚĆ oraz PIVOT i ESCALATE. To „budowanie incydentu”. Tych kart nie należy jeszcze pokazywać innym graczom.
Następnie pozostali gracze tworzą zespół IR i losują 4 losowe karty PROCEDURY.
Karty te są udokumentowanymi procedurami dla obrońców.
Teraz mistrz IR rozpoczyna grę wprowadzając opowieść o tym, jak zespół IR
dowiaduje się o incydencie.
Na przykład:
„Dział pomocy technicznej dzwoni i powiadamia, że użytkownik końcowy zauważył alert antywirusowy”.
„Główny administrator systemów twierdzi, że jego pulpit nie działa tak jak zwykle”.
„CISO mówi, że„ czuje, że coś jest nie tak ”.
„Użytkownik końcowy dzwoni i mówi, że myśli, że coś jest nie tak z jego komputerem.
Teraz zespół IR zaczyna działać. Wszystkie akcje wymagają rzutu 20-stronnymi kostkami.
Jeśli rzut wynosi 11-20, akcja się powiedzie. W tym momencie jedną z kart incydentów może być
ujawnił. Mówię „może być”, ponieważ decyzja o ujawnieniu karty zależy wyłącznie od Incydentu
Mistrz. Na przykład zespół IR może zdecydować się poddać i pójść po kawę. Toczą się. To
może być udanym rzutem i nadal nie zostaną ujawnione żadne karty.
Jeśli drużyna IR wykona akcję, za którą ma kartę PROCEDURY, otrzyma +3
modyfikator do wyniku rzutu kostką. Oznacza to, że jeśli wyrzucą 9, normalnie by się nie udało. Jeśli jednak podejmują akcję, dla której mają kartę PROCEDURY, rzut wyniesie 9 + 3 = 12.
Ma to na celu podkreślenie znaczenia udokumentowanych procedur dla IR.
Należy zauważyć, że zespół IR nie musi tylko wykonywać akcji wynikających z Kart PROCEDURY. Mogą robić, co chcą.
Pamiętaj, to jest gra stołowa. Celem Mistrza Incydentu jest opracowanie narracji.
Karty pomagają w tym.
Podsumowując tę część rozważań odwołam się ponownie do opinii naukowców z zakresu edukacji.
„(…) umiejętnie skonstruowane gry symulacyjne mogą być pomocne w kształtowaniu wiedzy, postaw, umiejętności ludzkich. Gra symulacyjna może bowiem wpływać nie tylko przez swoją treść (czyli właściwe dobrany model symulacyjny), ale także przez sytuację gry, sytuację, w której wszelkie oddziaływania społeczne są regulowane przez ogólne i szczegółowe przepisy gry. „Drugim aspektem podanego przeze mnie przykładu gry jest wprowadzenie losowości do przebiegu gry, przez rzut 20-ścienną kością. Jak piszę Manfred Eigen „ (…) Przypadek ma w królestwie gry specjalne imię. Nazywam go szczęściem, gdy nam sprzyja, pechem, gdy jest niekorzystny.”
Ludzie uczą się najlepiej przez własne doświadczenia – w sytuacjach wymagających zaangażowania procesów: poznania, emocji i działania (poziomy: poznawczy, emocjonalny, behawioralny). Jeżeli chcemy stworzyć warunki do uczenia się, powinniśmy zaproponować metody, które umożliwiają doświadczenie i refleksję na wszystkich trzech poziomach. Jedną z takich metod jest gra symulacyjna.
Dobrze, tylko nie każdy lubi gry, nie każdy jest gamersem, szczególnie „starsze” pokolenie może nie być podatne na efekt takich szkoleń. Z tym wiąże się pytanie do czego stosować gamifikację?
Po pierwsze każdy z nas zna takie gry, jak chińczyk, warcaby, czy kwadraty. Rozwiązywanie krzyżówek, zbieranie punktów lojalnościowych, gra w karty, robienie zakupów to wszystko są formy uruchamiania tego mechanizmu wydzielania dopaminy „wyzwanie – sukces – satysfakcja”. Ten mechanizm dotyczy każdego, bo ludzki mózg jest tak skonstruowany. Skoro tak jest, to zastanówmy się, do jakich zachowań planujemy zastosować gamifikację, żeby zmienić to zachowanie. Z pomocą przychodzi następująca lista kontrolna pytań.
1) Jakie zachowania chcemy zmienić?
2) Co pracownicy będą robili inaczej (lepiej) po takim szkoleniu/warsztacie?
3) Jak to zostanie zmierzone?
Odpowiedź na pierwsze pytanie będzie determinować odpowiedzi na następne dwa pytania. Zatem, żeby ustalić kluczowe zachowania do zmiany trzeba wiedzieć:
1) Jakie incydenty najczęściej są rejestrowane?
2) Co byłoby najbardziej niszczące dla firmy?
3) Jakie są szybkie korzyści ze zmiany danego zachowania?
4) Co jest najbardziej widoczne przed i po zmianie zachowania?
5) Co mogłoby mieć największy wpływ na profil ryzyka organizacji wprowadzając zmianę zachowania?
6) Jakie wskaźniki mierzenia zachowań pracowników już są w użyciu?
Taka analiza sprowadza się do łączenia rezultatu z zachowaniem.
Dlatego każdy projekt szkolenia w formie gamifikacji można traktować jako badania. Nasze szkolenia w formie gamifikacji często odpowiadają na pytania, których wcześniej nikt nie stawiał. Chociaż większość z naszej społeczności gamifikacji, nie robi tego w ramach systemu szkolnictwa wyższego, to jednak jeśli spojrzymy na każdy projekt gamifikacji jako na projekt badawczy, to społeczność gamifikacji realizuje więcej badań niż inne branże. Nasz społeczność jest niejako sprzymierzeńcem środowisk uniwersyteckich w przyciągnięciu millenialsów na studia, o czym powiem w dalszej części wykładu.
Przykładem szkolenia w formie gamifikacji, które z początku było narzędziem badawczym wykorzystywanym przez naukowców z University of Bristol, jest projekt pt. „Decision & Disruptions” (Decyzje i Dezorganizacje, w wolnym tłumaczeniu.). Gra ma wiele wersji i jest dedykowana dla brytyjskich instytucji publicznych, żeby zwiększyć świadomość w zakresie cyber-bezpieczeństwa. Przeszkolonych zostało w ten sposób ponad 2000 osób, z ponad 200 organizacji.
Gra jako narzędzie badawcze służyła do poznania tego, jak Pracownicy postrzegają cyber-bezpieczeństwo i jak w tym zakresie są podejmowane decyzje. Uczestniczy tworzą zespół doradców ds. cyber-bezpieczeństwa pracujący dla fikcyjnej hydro-elektrowni. Elektrownia ma dwie lokalizacje. Jedną z turbiami do produkowania prądu i drugą lokalizację – biurową. Zespół dysponuje fizycznym odwzorowaniem infrastruktury Elektrowni, zbudowanej z klocków Lego.
Jak widać nie trzeba być „gamerem”, żeby korzystać z gamifikacji, wystarczą do tego klocki, które są „międzypokoleniowe”.
Zespołom mówi się, że obecnie ta firma hydroelektryczna nie ma żadnych zabezpieczeń specyficznych dla cyberbezpieczeństwa, zostali poproszeni o pomoc w określeniu, które mechanizmy obronne powinni inwestować i w jakiej kolejności. Zespoły mają w celu zidentyfikowania inwestycji z dostępnych rozwiązań, przez cztery rundy. Otrzymują budżet w wysokości 100 000 USD do wydania w każdej rundzie (mogą toczyć się na wszelkie niewydane pieniądze między rundami). Na końcu każdej rundzie drużyny są informowane o atakach organizacji ucierpiał w wyniku swoich inwestycji. Tam 30 ataków różni się od ataków na niskim poziomie do zniszczenie Elektrowni. Atakujący to Skrypciarze, Zorganizowane grupy przestępcze i państwa narodowe.
Ta pierwsza wersja D-D została wykorzystana do zebrania danych badawczych do pracy naukowej z udziałem 43 uczestników wraz z danymi od dalszych 137 uczestników innych sesji. Druga iteracja D-D została opracowana w połączeniu z krajową organizacją publiczną specjalizującą się w podnoszeniu świadomości w zakresie bezpieczeństwa. Adaptacja D-D zachowuje wiele podstawowe aspekty oryginalnej gry. Zespoły nadal działają aby pomóc ulepszyć rzeczy dla hydroelektrowni, ma tę samą infrastrukturę. Zespoły mają również ten sam budżet 100 000 $ do wydania przez cztery rundy i na kolejne te same potencjalne inwestycje. Drużyny spotykają się jednak inny zestawy ataków w odpowiedzi na ich inwestycje, ataki te mają zwykle bardziej namacalne konsekwencje. Wiele z tych ataków wyszczególnia kwotę, jaką może drużyna przegrać w wyniku ataku. Straty te są wykorzystywane jako dodatkowy mechanizm gry podczas gry z wieloma
zespołami jednocześnie; każda drużyna sumuje straty po atakach i drużyna, która straci najmniej uważana jest za zwycięzcę.
Jakie były wnioski z gry:
Po pierwsze: Podczas gry znaleźliśmy zespoły o różnym stażu pracy i doświadczeniu zyskał najwięcej. Kontrastujące perspektywy pomógł wszystkim uczyć się od siebie i identyfikować nowe kąty bezpieczeństwa.
Po drugie: Podczas gry zauważono, że niektórzy uczestnicy byli bardziej zainteresowani w biznesowych aspektach gry, dla innych graczy zagadnienia techniczne były najwazniejsze.
Po trzecie: Świadomości cyberbezpieczeństwa nie można rozwinąć za pomocą jednej gry, dlatego gra musi zostać opracowana tak, aby Uczestnicy mogli grać na wiele sposobów i wiele razy, za każdym razem doświadczając różnych scenariuszy.
Po czwarte: Opracowanie gry, która trwa ok. 2 godziny. Jest to odzwierciedlenie nałożonych ograniczeń czasowych na organizowane szkolenia.
Jak widać na tym przykładzie: „gry symulacyjne to gry, w których odtwarza się lub uczy wzorów i procesów zachowań i w których człowiek odgrywa określoną prawdziwą lub symulowaną rolę. Gra symulacyjna przedstawia model pewnej rzeczywistości, w której uczestnicy mogą sprawdzić własne ograniczenia i odkryć nieznane im dotąd im dotąd aspekty swego „Ja”. Im lepiej skonstruowana gra, tym łatwiej jest uczestnikom powiązać symulowane działania i decyzje z doświadczeniami ze swego codziennego życia, a dzięki temu zdobywać wiedzę stanowiącą podstawy umiejętności kształtowania zachowań.
O co trzeba zadbać, żeby skonstruować grę symulacyjną z walorem edykacyjnym? Aby gra przyniosła oczekiwane rezultaty należy zadbać o następujące elementy:1
1. OTOCZENIE (atmosfera otoczenia):
2. TREŚCI I CELE
3. ZASADY
4. RAMY CZASOWE
Tak, to dobrze wygląda w innych krajach i w innych branżach, u nas w branży tak się nie da. Można spotkać się z takim stwierdzeniem. Mówiłem o otwartości społeczności gamifikacj. Otóż ta otwartość na drugiego człowieka, dzielenie się wiedzą, powoduje, że do zmiany zachowań nie używa się na strachu i poczuciu wstydu, tylko ta zmiana opiera się na wspomnianym przeze mnie wcześniej mechanizmie wydzielania dopaminy „wyzwanie – osiągnięcie – satysfakcja”. Gry oddziałują na ludzki mózg inaczej niż inne interakcje. Gry odwołują się do naszego „repozytorium nagród”, w naszym mózgu, uruchamiając dopaminę, która powoduje, że przez krótki czas czujemy się zadowoleni z siebie.
Przykładem jest gra symulacyjna z zarządzania ochroną danych pt. „RODO w Firmie, która na potrzeby Polskiej Izby Hotelarstwa została nazwana „RODO w Hotelu”. Przez 4 edycja przeszkoliliśmy PONAD 50 Pracowników hoteli, restauracji, ośrodków wypoczynkowych, pensjonatów, czyli przeszło ponad 20 obiektów. Szkolenia były realizowane w ramach statutowej działalności Izby, jaką jest m. in. zapewnienie wiedzy i szkoleń dla członków Izby.
Celem szkolenia jest:
1. PRZYGOTOWANIE DO KONTROLI Z URZĘDU.
2. ZAPEWNIENIE PRACOWNIKOM I KLIENTOM PRYWATNOŚCI.
3. OCHRONA WYNIKU FINANSOWEGO.
Firma wymaga utrzymania zgodności z RODO i zapewnienia, że prywatność Pracowników i Klientów jest chroniona. Uczestnicy wcielają się w Pracowników, do których Właściciel i Zarząd mają całkowite zaufanie. Zadaniem Uczestników jest dobrać środki ochrony danych, tak aby ochronić firmę przed naruszeniem zasad ochrony danych, a następnie ocenić ryzyko. Spośród 30 środków ochrony danych, to od Was zależy, które zostaną wybrane.
Uczestnicy mają do dyspozycji ograniczony budżet, a każdy środek ochrony ma wpływ na poziom ochrony danych i na pracochłonność.
Po każdym etapie sytuacja się zmienia, więc Uczestnicy dostają ocenę swoich dokonań liczoną w dodatkowych punktach bezpieczeństwa, które Mistrz IOD-a dodaje za odpowiednie kombinacje środków ochrony.
Zespołowo są oceniane, wybierane środki ochrony, które należy zastosować. Wyniki zespołów są porównywane. Najlepszy wynik nie jest taki oczywisty, ponieważ na Uczestników czekają na pułapki.
Nie ma 100% zabezpieczeń, dlatego po mimo wysiłków Uczestników i tak może dojść do naruszenia ochrony. Dlatego trzeba wiedzieć, jak na to reagować, ćwicząc reagowanie na naruszenia, tak żeby ograniczyć straty.
Stąd zadaniem Uczestników podzielonych na zespoły będzie zapewnienie odpowiednich środków technicznych i organizacyjnych. Ponieważ nie ma 100% zabezpieczeń, w zależności od dobranych środków ochrony danych każdy zespół zmierzy się z różnego kalibru naruszeniami ochrony danych, które miały miejsce i zostały udokumentowane.
Na koniec zespoły przeanalizują poziom ryzyka w firmie, po tym, jak naruszenie ochrony danych zostanie zażegnane. Ocena poziomu ryzyka będzie m. in. zależna od tego, jak każdy z zespołów poradzi sobie ze skutkami naruszeniem ochrony danych oraz jak zaplanuje ograniczenie wystąpienia naruszenia w przyszłości.
Dlatego podczas tego szkolenia można bez konsekwencji popełniać błędy, ale również osiągać szybkie sukcesy, ponieważ jest to gra symulacyjna nt. rozliczalności ochrony danych, w której możliwości rozwiązania jest wiele, a po każdym ćwiczeniu omawiamy wyniki zespołów.
Jak uniknąć reklamacji składanych przez Klientów zaniepokojonych o prywatność swoich danych oraz przygotować się na ewentualne kontrole z Urzędu Ochrony Danych Osobowych? Na to pytanie odpowie szkolenie "RODO w Firmie. Mistrz IOD-a".
Czyli w pierwszym etapie uczestniczy mają do wyboru, w ramach ograniczenego budżetu, środki ochrony, biorąc pod uwagę ich wpływ na poziom ochrony oraz pracochłonność. Im wyższa pracochłonność, tym wyższe prawdopodobieństwo błędu ludzkiego.
W drugim etapie Uczestnicy reagują na zadanym im incydent bezpieczeństwa, a w trzecim etapie przeprowadzamy wspólną analizę ryzyka. Oto przykład analizy ryzyka, którą w 45 min. z moja pomocą przygotowali uczestnicy jednego ze szkoleń. Zastosowałem w nomenklaturze nazewnictwa wykorzystałem kombinację PID oraz kategorii danych osobowych, tj. Goście hotelowi, Pracownicy, Dostawcy, Kandydaci do pracy.
Aktywny udział, to dowód na to, że ochrona prywatności Gości hotelowych jest dla Uczestników ważna, a to dobra informacja dla Gości tych Hoteli.
Branża hotelowa jest w polu zainteresowania cyber-przestępców, dlatego, że są tam takie same dane, jak w bankach (np. dane z kart kredytowych), jak u lekarza (np. informacje ze "spa"), jak w firmie telekomunikacyjnej (dane kontaktowe wraz z danymi z dowodu tożsamości).
W toku gry symulacyjnej "RODO w Hotelu" Uczestnicy ćwiczyli na czym polega zasada rozliczalności oraz podejście oparte na analizie ryzyka.
W odniesieniu do naruszeń ochrony danych Pracownicy uczyli się:
Czyli:
- co i jak powinni zgłaszać pracownicy?
- w jaki sposób zgłoszenie incydentu powinno być obsłużone?
- czy notyfikować naruszenie do UODO i informować podmioty danych?
Te szkolenie, którego jestem współautorem jest typowym przykładem nauki przez doświadczenie postulowanej przez Johna Dewey’a, na którego już wcześniej się powoływałem.
Szanowni Słuchacze mamy dowody naukowe na to, że szkolenia zakresu bezpieczeństwa informacji nie spełniają swojej roli, nie dają spodziewanych efektów. Co więcej mamy dowody, z życia wzięte, że szkolenia nie zawsze trafiją tam gdzie trzeba. Przykładem może być wyciek danych z kart kredytowych w jednym z Hoteli. W tamtym przypadku, zgodnie z oświadczeniem Hotelu z początku tego roku, komunikacja na terminalach płatniczych była szyfrowana, więc nie one były źródłem wycieku.
Okazało się, że część kelnerów "przeciągała" kartą kredytową po urządzeniach służących do przyjmowania zamówień i otwierania kuchni.
Te urządzenia nie miały skonfigurowanego szyfrowania danych.
W międzyczasie do zabezpieczonej sieci komputerowej, dostał się malware, czyli złośliwe oprogramowanie.
Z początku te oprogramowanie nic nie robiło, więc nie wzbudzało aktywności ani firewalla, ani antywirusa.
Jego jedynym celem było wykradanie danych z kart kredytowych.
Jakkolwiek nie mogło tego zrobić na urządzeniach "Point of Sale", z uwagi na wspomniane wcześniej szyfrowanie danych, w trybie "end-to-end".
O tyle malware ukradł dane z nie-szyfrowanych urządzeń, jak tylko te dane pojawiły się na nie-szyfrowanych urządzeniach, a następnie próbował je wysłać poza naszą sieć do hakera odpowiedzialnego za atak.
Szkolenie mogło zbudować świadomość kelnerów, że takie działania służą „fraudom” i wyciekom danych.
Szkolenie w formie gamifikacji powinno umieścić w centrum Uczestników, biorąc pod uwagę, czy podczas szkolenia:
1) Czują się częścią czegoś większego, tzn. to co robią ma znaczenie dla nich i dla firmy.
2) Mogą osiągać szybkie sukcesy, bo każdy lubi być co raz lepszym w tym co robi.
3) Mają nieskończenie wiele możliwości rozwiązania, co wzmacnia kreatywność i chęć dzielenia się swoimi spostrzeżeniami.
4) Troszczą się o to, co zostało im powierzone, bo poczucie odpowiedzialności jest ważne w zmienianiu zachowań.
5) Porównują się do najlepszych lub sami mogą być wzorami do naśladowania, pozytywnie wpływając na swoje otoczenie i na innych.
6) Doświadczają niedoboru zasobów i presji otoczenia, dążąc do zapewnienia 100% bezpieczeństwa, które jest nieosiągalne.
7) Działają w stanie niepewności, dlatego tak bardzo są ciekawi, co się stanie w wyniku podjętych przez nich decyzji w symulowanej sytuacji.
8) Uczą się przez doświadczenie, jak ograniczać ryzyko w symulowanych sytuacjach.
To jest przepis na szkolenie w formie gamifikacji, które przyniesie zakładane wyniki.
Praktycy w zakresie szkoleń z bezpieczeństwa informacji podkreślają, że są dwa rodzaje wiedzy w organizacji: tzw. „niedosłowna wiedza” – tacit i „dosłowna wiedza” – explicit. Szkolenie powinno pomagać organizacji oscylować wokół tych dwóch rodzajów wiedzy. Dlatego można wyróżnić cztery etapy na ścieżce uczenia się:
1. Pracownicy dzielą się wiedzą „niedosłowną”
2. Wiedza „niedosłowna” jest zmieniana w wiedzę dosłowną, przez jej sformalizowanie.
3. Sformalizowana wiedza jest przyswajana.
4. Pracownicy „uczą się przez robienie”, w ten sposób wiedza dosłowna (sformalizowana) zamienana jest na wiedzę „niedosłowną” (zinternalizowaną).
Jednak co motywuje Pracowników to zdobywania wiedzy i dzielenia się wiedzą? Naukowcy, którzy opracowali dokument pt. „Gamification in Information Security Awareness twierdzą, że efektywne szkolenie w formie gamifikacji powinno opierać się na triadzie psychologicznych potrzeb, które składają się z kompetencji, autonomii i motywacji. Kompetencje to opanowanie umiejętności – tzw. mastery. Szkolenie w formie gamifikacji powinno dawać informację zwrotną, na ile Uczestnik swoją aktywnością i wynikami tej aktywności zbliża się do „mistrzostwa” w danej dziedzinie. Drugi czynnik motywacji to autonomia rozumiana jako stan, w którym Uczestnicy mogą podejmować niezależne decyzje, co do przebiegu szkolenia. W praktyce oznacza to, że gracze mają wolną wolę, w ramach zasad gry. Trzeci czynnik, czyli motywacja (w oryginale „relatedness) wskazuje, że wynik szkolenia ma wpływ na powodzenie biznesu (a tym samym na wynagrodzenie Pracownika) oraz na rozwój osobistych kompetencji. W ramach motywacji działa jeszcze jeden wpływu na ludzi – tj. „społeczny dowód słuszności”, który opisał z naukowego punktu widzenia prof. Robert Cialdini w swojej klasycznej pracy pt. „Wywieranie wpływu na ludzi. Teoria i praktyka.”
Skuteczność szkoleń z zakresu bezpieczeństwa informacji jest kwestionowana. Z pewnością argumentów dostarczają kolejne wycieki danych, do których przyczyniają się Pracownicy, czasem Klienci firm lub dostawcy firm, organizacji, które dotknął incydent bezpieczeństwa.
Jak udowodniłem odpowiedzią jest gamifikacja, której naukową podstawę stanowi pragmatyzm Johna Dewey’a.
Uczenie się w ujęciu eksperymentalnym oznacza grupową metodę rozwiązywania problemów. Różni się zasadniczo od systemu obowiązującego podczas tradycyjnych zajęć, gdzie nauczyciel mówi, a uczeń słucha. „W warunkach wspólnego działania, polegającego na pracy z narzędziami i ludźmi, uczeń zyskuje poczucie kontroli. Nauczyciel jako osoba wspomagająca proces dydaktyczny, zamiast kontrolować sytuację nauczania, pełni funkcję przewodnika.
Dewey uważał, że w procesie uczenia się każda aktywność jest odpowiedzią na odczuwaną potrzebę.”16
Jako osoba, której rolą jest udzielenie rady, nauczyciel powinien pozwolić uczniom na popełnianie błędów i ponoszenie konsekwencji własnych działań.
Dewey był świadomy tego, że uczenie się jest ograniczone kontekstem i dotyczy konkretnego czasu i miejsca oraz okoliczności. Dlatego podkreślał, że rozwój jest celem edukacji. Wg niego inteligencja polega na umiejętności rozwiązywania problemów, co z kolei wymaga rozpoznawania relacji i wzajemnych powiązań między różnymi doświadczeniami. Rozwój oznacza zatem, że jednostka zdobywa umiejętność identyfikowania relacji i powiązań między różnymi doświadczeniami, między jedną sytuacją uczenia się, a drugą. Uczenie się przez doświadczenie, dzięki rozwiązywaniu problemów, powoduje, że edukacja – podobnie jak życie – jest procesem, w przebiegu którego następuje ciągłe rekonstruowanie doświadczeń.
W związku z tym „(…) Dewey twierdził, że edukacja powinna polegać na rekonstrukcji doświadczenia, czyli dostarczać takich doświadczeń, które pogłębiają sens poprzednich i prowadzą do nowych. W swojej koncepcji rozwoju jako celu edukacji ściśle wiązał działanie z rozumowaniem. W wyniku rekonstrukcji doświadczenia element odbiegający od reguły zostaje umieszczony na kontinuum doświadczeniowym.”
Żyjemy w czasach, kiedy aplikacja mobilna, stworzona przez 2 osoby, przyciąga więcej uwagi niż program TV wyprodukowany za miliony złotych, przy którym pracowały setki osób. Żyjemy w czasach, kiedy facet chodzi z bronią w ręku przez 10 minut i nikt na niego zwraca uwagi, bo wszyscy są pogrążeni w swoich smartfonach. Żyjemy w czasach, kiedy statystyczny Amerykanin zerka na swój telefon średnio 100 razy dziennie.
Żyjemy w czasach ciągłej pogonii za przyjemnością, a social media, platformy streamingu seriali, filmów i gier dostarczają nam dopaminę, dzięki dobrze scharakteryowanemu mechanizmowu „chellange – achivement – pleasure”. To wszystko rozprasza nas, odciąga naszą uwagę od zadań i celów. To obniża jakość pracy i jej efekt.
Zyjemy w czasach, kiedy producenci aut borykają się z problemem spdającego zainteresowania motoryzacją w pokoleniu Z. Nie można prowadzic, kiedy się instagramuje.
Gamifikacja jest narzędziem do przywrócenia uwagi Uczestników szkoleń przez zaangażowanie ich w działanie i doświadczanie konsekwencji swoich wyborów. Mówi się, że zlota rybka może skupić się średnio przez 12 sekund. Neurolodzy stwierdzili ostatnio, że średni czas skupienia dla człowieka jest krótszy niż u zlotej rybki. Gamifikacja ma przywrócić nasze skupienie, a tym samym zwiększyć efekty pracy.
Korzyści z gamifiakcji to:
Większe zaangażowanie Uczestników szkoleń
Szybkie uzupełnianie braków umiejętności
Wzmacnianie wizerunku firmy, dbającej o umiejętności Pracowników
Wyławianie talentów
Zwiększanie kapitału intelektualnego
Tworzenie w firmie społeczności skupionej na ciągłym doskonaleniu
Dlatego wzywam Was do uruchomienia lub rozwoju tego typu szkoleń w formie gamifiakcji w waszych firmach, organizacjach. Mamy do dyspozycji gotowe scenariusze, przetestowane podczas szkoleń, dlatego wzywam do działania. Szczególnie, że tego typu szkolenia idealnie wpisują się w model e-learining.
Jak ważna jest informacja zwrotna dla Uczestników szkoleń, szczególnie tych na bazie gamifiakcji, pokazują badania naukowe. Związane jest to innym mechanizmem wywoływania u nas dopaminy „Friends – Feedback – Fun”. Ten sam mechanizm jest zastosowany w grach mobilnych i w social media.
Made with
Landing Page Software