Awareways case study TU Delft

Meerwaarde van gamification in securitycultuur

‘Games hebben de potentieel om securitycultuur te versterken, met name wanneer ze ingezet worden als onderdeel van een breder programma van interventies.’ Dat is de strekking van Cybersecurity en menselijk gedrag: de meerwaarde van games voor een sterke veiligheidscultuur van Suzanne Janse en Annebeth Erdbrink. We vertellen je er graag meer over.

Het artikel verscheen naar aanleiding van een evaluatief onderzoek dat promovenda Erdbrink (TU Delft) momenteel uitvoert aan de hand van een trainingsgame die veelvuldig wordt ingezet door uiteenlopende bedrijven: de Human Firewall training van Awareways.

“Games kunnen niet alleen bewustzijn versterken, maar ook aanzetten tot kleine veranderende handelingen. Voor meer duurzame gedragsverandering is een game idealiter onderdeel van een groter geheel, een breder programma van interventies. Concreet maken welk gedrag wenselijk is, het vooraf en doorlopend meten, analyseren en het aanpassen van het interventieprogramma zijn daarbij belangrijke randvoorwaarden.”

The Human Factor

Dat de menselijke factor een hoofdrol heeft in security awareness campagnes die wérken, weten ook Janse en Erdbrink. “Daar waar security experts zich voorheen richtten op bewustwordingscampagnes, krijgt het effect van deze campagnes – de daadwerkelijke gedragsverandering en de impact op de organisatiecultuur – steeds meer aandacht.” 

In hun artikel wordt daarom ingegaan op de wijze waarop de impact van interventies mogelijk kan worden versterkt vanuit de gedragspsychologie en de gamewetenschap, twee van de pijlers van Awareways. Niet voor niets werd daarom juist van onze Human Firewall training een casestudy gemaakt om te laten zien dat games potentie hebben, met name als onderdeel van een groter, breder programma van interventies – zoals de Cultuurscan.

Awareways heeft zich gespecialiseerd in het versterken van securitycultuur vanuit managed security awareness programma’s. Dat zijn interactieve, begeleide campagnes met inzichtelijke rapportages en dynamische bijsturing om meetbaar resultaat te behalen. Interventies worden gecombineerd in een innovatief learning experience platform.

Gamification in security awareness

Gamification als toepassing in leerprogramma’s heeft meerdere voordelen. Het biedt creatieve mogelijkheden om onderwerpen interactief en uitdagend te maken, zodat je op een stimulerende manier met de materie bezig bent. Het sociale element van gamification als toepassing in trainingen (leerstof verwerken in groepsverband en/of in een vorm van onderlinge competitie) is een aanvullende factor van stimulans, doordat sociale interactie betrokkenheid bevordert. Daar komt bij dat spelelementen – winnen, positieve feedback en de sociale interactie met in dit geval collega’s – de effectiviteit van leren verhogen.

Gamification heeft een positieve invloed op de aandachtsspanne dankzij elementen van interactie, dynamiek en betrokkenheid. De competitie van een spelomgeving biedt een doorlopende prikkel om met de stof aan de slag te gaan – resulterend in een focus op de inhoud én een effectievere beklijving. Spelelementen zoals onmiddellijke feedback en het verdienen van badges voor het succesvol voltooien van de uitdagingen hebben namelijk een invloed op motivatie, gedrevenheid en (daardoor) de mate waarin de materie blijft hangen.

Gamification en gedragsverandering

Met haar onderzoek wil Erdbrink zien hoe dit soort cybersecuritygames werken (in termen van attitude- en gedragsverandering), hoe ze worden ervaren en wat er kan worden aangepast zodat het effect ervan verder kan worden vergroot.

Ongeveer 60 persoonlijke assistenten van de TU Delft hebben tot nu toe vrijwillig aan het experiment deelgenomen. Voor en na het spel vulden zij vragenlijsten in en daarnaast werden verschillende interviews afgenomen.

Human Firewall training

De Human Firewall training is een collectieve crisisoefening voor de gehele organisatie, waarbij iedere medewerker onderdeel is van de veiligheidsketen. De training simuleert een aanval op de netwerken en systemen, waarna medewerkers gezamenlijk aan de slag moeten om de human firewall op te bouwen. Realistische (cyber)risico’s en dreigingen worden gecombineerd met werksituaties en -voorzieningen van de dagelijkse praktijk.

De opdrachten of ‘microlearnings’ (skill games, quizzes en video’s) gaan onder meer over sterke wachtwoorden, dataclassificatie en -minimalisatie, vishing en (spear)phishing, maar ook over fysieke dreigingen. Ze worden steeds ingeleid door filmpjes (waarin spelers persoonlijk worden aangesproken) en stukjes ‘theorie’. Na afloop volgt korte feedback waarin wordt toegelicht waarom bepaald gedrag wel of niet goed is. 

Voorlopige resultaten en inzichten

Alhoewel het onderzoek nog loopt en er nog niet naar een attitude-effectmeting kan worden gekeken, leveren de interviews wel al voorlopige resultaten en inzichten op;

  • veel spelers geven aan dat ze zich door de game meer bewust werden van het belang van veilig omgaan met informatie (“Er waren vragen over het openen van mails waarvan ik dacht – ja, ik kan hier wat mee. Dat heeft mij extra bewust gemaakt. Van ga ik dit openen of niet openen?”); 
  • zoals verwacht zijn de persoonlijke assistenten er niet zozeer heel anders over gaan denken (want vooraf bleek al dat zij het belangrijk vonden), maar het bewustzijn is wel degelijk versterkt (“Mensen halen toch wel snel hun schouders op en denken: het gaat toch altijd wel goed. Maar het hoeft maar één keer niet goed te gaan. Dus bewustwording is stap één. Dat is wat vooral bij mij is geland.”);
  • zo gingen spelers tijdens en na de game meer nadenken over hoe ze met vertrouwelijke gegevens omgaan. Er kwamen voor hen niet zozeer nieuwe onderwerpen aan bod in de game, maar spelers realiseren zich dat ze scherper, alerter en consequenter kunnen zijn en hun verantwoordelijkheid vaker moeten nemen;
  • daarnaast vond men het ook fijn om bevestiging te krijgen van wat men al goed deed (”Het is gewoon even goed om meer met je neus op de feiten gedrukt te worden. De meeste mensen weten het heus wel. Ze weten ook dat het nog steeds actueel is. Je denkt dat je goed bezig bent – en dat is waarschijnlijk ook zo – maar het is fijn als je bevestiging krijgt.”);
  • concreet werden spelers zich bewust van het belang van een wachtwoordmanager, computerscherm locken en de kwetsbaarheid van een open werkplek (“Mijn vriend heeft altijd een VPN aanstaan en zo’n wachtwoordmanager. Ikzelf tilde er niet zo zwaar aan. Het zijn kleine dingen, maar wanneer je hier geen aandacht voor hebt, kan het enorm misgaan voor een organisatie. Daardoor ben ik me er nu wel bewuster van. En het is vaak een kleine moeite.”);
  • één speler werd zich er door de game van bewust dat het belangrijk is om onveilige situaties te melden en ontdekte voor het eerst (!) waar dat binnen de organisatie dient te gebeuren.

Over het onderzoek

Annebeth Erdbrink rondt momenteel haar promotieonderzoek Game Design for Sustainable Societies af aan de TU Delft. Een zeer uitgebreid artikel over de (eerste) bevindingen is gepubliceerd in het Maandblad voor Accountancy en Bedrijfseconomie

Wil je meer weten over de rol van gamification in het versterken van securitycultuur of ons aanbod van managed security awareness trainingen, neem dan vrijblijvend contact op. 

AWAREWAYS Cultuurscan