Gå til hovedindhold

Go Hack Yourself: Engagement i sikkerhed

Denne idé er en del af Cyber Security Challenge 2019

11. november 2019

Det er nemt at lave et godt awareness-program. Best practices, standarder og årevis af erfaring definerer ganske enkelt hvilke elementer, der skal indgå i et vellykket awareness-program. Det er almen viden, at bite-sized e-learning er mere lærerigt for brugere end timelange foredrag, at phishing-simulationer er et effektivt værktøj i forhold til hands-on-træning og måling på adfærd, samt at ledelsesforankring er essentielt.

 
Der er imidlertid ét awareness-relateret problem, som endnu ikke er løst. Ét problem der danner det absolutte grundlag for programmets effektivitet: Det menneskelige engagement. Selvom løsningsforslagene er mange, er mangel på engagement stadig den blokade, der hindrer suverænt de fleste awareness-programmer – og dermed også brugerne - i at opnå deres fulde potentiale. Det er den nøglefaktor, der forhindrer viden og læring i at resultere i bevidstheds- og adfærdsændring. 

Jeg foreslår derfor en fysisk, interaktiv oplevelse, hvori brugeren får mulighed for at indtage rollen som hacker og lære at hacke sig selv og sin arbejdsplads. Oplevelsen tager form af en simulation i stil med et escape room, hvori brugeren gennemgår de trin, en hacker som regel gennemgår for at opnå sit mål – rekognoscering, social engineering, fysisk penetrering og exploiting. 

Simulationen og dens oversættelse af teori til praksis etablerer det ellers manglende engagement i flere aspekter: Overordnet set er den aktive læringsproces et optimalt udgangspunkt for at engagere brugere og lade dem tilegne sig en viden, de sent glemmer. Samtidigt giver den brugerne et motiverende indblik i deres sårbarhed som medarbejdere og individer. Dette engagement er, kombineret med læring, den nøglefaktor, der gør undervisningen bevidsthedsændrende og resulterer i en decideret adfærdsændring.

Kommentarer