El juego para una ciberseguridad inteligente y emocional

A finales de 2019 desde Bullhost presentamos un proyecto de innovación a Gobierno Vasco que planteaba la creación de un juego para la formación de personas en ciberseguridad.
La pandemia de Covid19 se ocupo de paralizar dicho proyecto, el mismo que habíamos ideado cargados de ilusión.
 

¿En qué consistía el proyecto en grandes líneas? ¿y de dónde surge la idea?
 

En primer lugar decir que se trataba de un proyecto para personas.
“La ocasión hace al ladrón”, y con esta premisa, podríamos decir que los ciberdelincuentes siempre encuentran la ocasión para cometer sus ciberataques. ¿Y de quién depende que los ciberdelincuentes NO encuentren esa ocasión para cometer los ataques?

Está claro que son muchos los factores involucrados en la respuesta a dicha pregunta, pero el principal debe ser el factor humano. De hecho, según los expertos debería darse un cambio de paradigma al cómo se enfoca la ciberseguridad hoy en día, ya que el histórico nos demuestra que se le ha dado muy poca importancia a la relación entre el factor humano y la ciberseguridad como causa o riesgo de las ciberamenazas. 

Sin importar cómo se originan los ataques, todos conducen a las mismas intersecciones finales, donde pueden hacer el mayor daño. 
¿Y cuáles son estos puntos de intersección? Estos puntos son “en los que las personas interactuan con datos empresariales críticos y propiedad intelectual”. Y estos puntos “humanos” tienen el poder de socavar incluso a los sistemas de diseños más completos en un solo acto malintencionado.

Analicemos el factor humano como solución de la ciberseguridad:

Si según los expertos, como ya hemos mencionado, la idea sería enfocar la seguridad centrada en el ser humano, de acuerdo al comportamiento cibernético de este y así podría hacer sonar la alarma y permitir a los defensores actuar, ya sea previniendo o mitigando la pérdida de datos críticos, independientemente de si la red fue violada o no.

Lo dicho anteriormente se puede explicar de la siguiente manera: debido a que los equipos de seguridad reciben miles de alertas en un día y no pueden prestarle atención a todas, como resultado pierden la batalla cibernética.Por lo tanto, estudiando el comportamiento humano y a la vez, analizando los riesgos, se permitirá a los expertos en ciberseguridad identificar más rápidamente las anomalías y obtener el contexto necesario para analizar las alertas de actividad de redes maliciosas. Y por ende, y al darle este nuevo enfoque a la seguridad informática, se le está dando mayor importancia al ser humano que está delante de la pantalla y no al ciberdelincuente, quién sea o cuál sea el enfoque que se le de a la seguridad de los datos, atacará de igual manera.

Y como conclusión a ello, en nuestro proyecto, apuntábamos que:

• Las personas (y por ende los trabajadores/as de la empresa) son el elemento más vulnerable.
• Es difícil hacer entender a todos los trabajadores/as de una empresa la importancia de la seguridad. Es algo nuevo y tecnológico, debemos encontrar la manera de educar.
• Una buena formación y capacitación hacen posible minimizar el impacto de los ataques informáticos.
• Las medidas de protección que se aplican en una empresa no se cumplirán o no con el suficiente conocimiento y concienciación como para ser efectivas si las personas no están formadas: por tanto, es necesario entrenarles y formarles para hacerles ver la importancia que tienen sus acciones (o su inacción) en un ataque.

Debemos educar, formando y concienciando, a las personas que forman parte de las empresas de la forma más óptima y que arroje mejores resultados, porque en ello
nos jugamos mucho cada día.

Llegados a este punto, teníamos claro y estábamos seguros que, si la ciberseguridad es imprescindible y las personas son la clave..., ¿cómo hacer que las personas aprendan y/o estén motivadas para aprender algo que, a priori, puede resultar tan complicado? 

A través del juego: CIBERSEGURIDAD

Y trabajamos sobre ello, buscando tendencias y respuestas en el mundo. Así que os compartimos parte de nuestras conclusiones.

La gamificación o ludificación es un método que emplea diferentes técnicas con el objetivo de mejorar el sistema de aprendizaje. Nosotros usaremos el término “ludificación” a partir de ahora. 

¿Qué nos aportará un juego?

• Ayuda a mantener a los trabajadores/as más implicados y comprometidos (especialmente a los más jóvenes que son el futuro de las empresas y del sistema).
• Se considera una técnica de carácter INNOVADOR.
• La ludificación toma su esencia de los juegos, con atributos como: la diversión, juego, transparencia, diseño, competencia...
• La LUDIFICACIÓN TIENE COMO OBJETIVOS: atraer, involucrar, incentivar, formar y, además, retener a los empleados/as).
• La ludificación puede ayudar a mejorar los niveles de compromiso.
• En 2025 los millennials (los menos comprometidos) constituirán el 75% de la fuerza laboral mundial.
• La ludificación puede ser un imán para mejorar el talento de la empresa.

¿Y qué nos indicaba el mercado? Algunas referencias.

Según el estudio sobre la implicación y el compromiso de los empleados realizado por Gallup en 2015:
Sólo el 31% de los empleados están involucrados en el trabajo.
Los millennials son la generación menos comprometida (sólo el 28% lo están) frente a la GenX o Boomers con un 33%. 

¿Por qué  estos datos?  ¿Qué  dicen los más jóvenes?
Que no tienen la oportunidad de mostrar su trabajo.
Que no tienen cómo contribuir con sus ideas y sugerencias.

¿Y las tendencias de Mercado?
Para abordar el problema del compromiso y la formación de los empleados/as, las compañías Fortune 500 están lanzando pilotos de ludificación desde aproximadamente 2015.
Según Gartner, las aplicaciones de ludificación enfocadas a los empleados superan a las que son enfocadas a clientes, algunos ejemplos:

• PWC Hungria: Desarrollo en 2016 un sistema pionero de gamificación para el Dpto. de RRHH. Multipoly era un juego que permitía simular, a las personas candidatas de trabajar en la empresa, que estaban trabajando ya en la compañía, resolviendo problemas reales, trabajando en equipo, como desarrollar perspicacia comercial, etc.
• WALMART por su parte, desarrollo un juego que tenía como objetivo formar a los empleados/as en seguridad laboral para mejorar su capacitación en este  área y minimizar los riesgos. Los resultados en sus 8 sedes fueron un descenso del 54% en los incidentes de seguridad producidos.
• DLA de Deloitte contó con su programa online para capacitar a sus empleados y clientes.

Y así fue como este equipo llegó a la conclusión de que debía presentar un proyecto innovador cuyo objetivo era la creación de un juego, tanto en entorno escritorio como móvil, que formará y concienciara a las personas en materia de ciberseguridad. E inspirados por la experiencia de PWC a nivel internacional, apostamos por nuestra propia versión.

Y llegó el Covid19, y nos tuvimos que reinventar para nuestros clientes, clientes que en esos momentos nos exigían ( y necesitaban con urgencia) otros servicios motivados por otras prioridades que habían llegado de forma repentina al mercado. Nos sobrevinieron esos momentos en los que casi todas las empresas desde el teletrabajo y con recursos limitados, tuvimos que tirar de ingenio y centrarnos en el día a día más que en aquello que nos había llenado de ilusión días antes de aquel marzo del 2020.

Esta semana, conocíamos la noticia.
Kaspersky, uno de los fabricantes con los que más sintonía tenemos, lanzaba [Dis]Connected, un juego pensado para formar a los trabajadores y trabajadoras en ciberseguridad.

No os vamos a engañar, al descubrirlo la primera sensación fue extraña, no habíamos podido emprender ese proyecto y ahora nuestra idea estaba ahí. Pero esa emoción extraña se convirtió casi al segundo en un Oh! Yeah! Lo hicieron! Puede que no haya sido Bullhost quien haya desarrollado este proyecto, pero nuestro trabajo y nuestra idea era buena y eso nos deja el buen sabor de boca de conocer que somos capaces de entender el ecosistema en el que se mueve la ciberseguridad y que somos un equipo muy centrado en el mercado actual.

[DIS]CONNECTED DE KASPERSKY 

Este juego desarrollado por Kaspersky que no dura más de una hora está dividido en sesiones de 10 minutos de duración con el objetivo de hacerlo más dinámico y entretenido, ayudando a las personas trabajadoras de nuestras empresas a retener la información más importante en ciberseguridad, protegiendo así a las compañías de ataques. Lo tenéis disponible en móviles Android e iOS para aquellos clientes corporativos, y su versión demo gratuita la podéis encontrar en la AppStore y Google Play.
Podéis contar con más info sobre [Dis]Connected en este link o contactar con nosotros para que os podamos ofrecer más detalles.