Hoe verhoog je de cyberveiligheid? Door spelletjes te spelen!

Tijdens haar eigen carrière merkte ze dat gamification een veel betere manier is om iedereen bij de les te houden.

We trappen een open deur in als we zeggen dat aanvallen steeds complexer worden, de kosten voor cyberbeveiliging blijven stijgen en dat Artificiële Intelligentie (AI) de problemen momenteel eerder doet toenemen dan afnemen. Jij en ik weten dat. Maar vier op de tien CEO’s zijn van mening dat cyberbeveiliging geen voortdurende aandacht vereist. Af en toe een training is voor hen voldoende. Ze onderschatten de gevaren dus enorm. Daardoor houdt de paraatheid en weerbaarheid van organisaties tegen bedreigingen geen gelijke tred met de almaar toenemende dreiging van cybercriminelen.

Mensen die met cyberbeveiliging bezig zijn, delen een aantal kenmerken. Zo zijn we van nature nieuwsgierig en houden we van praktijkgerichte leerbenaderingen. Dit maakt gamified ervaringen zoals competities en capture-the-flags (CTF’s) tot een goede match. Als je teams hebt die al geneigd zijn competitieve uitdagingen aan te gaan of teams die al ervaring hebben met cyberclubs op universiteiten of middelbare scholen, dan zijn ze misschien al bekend met dit type training en vinden ze het leuk om deze in hun werk te gebruiken. In Nederland zagen we met eigen ogen hoe populair het capture-the-flag-onderdeel van CyberSquad in Den Haag was.

Het zou erg mooi zijn als managers ook in gamification van cybersecurity-trainingen gaan geloven. Daarom zetten we hieronder een paar overwegingen op een rijtje voor managers die hun teams willen voorbereiden op het nieuwe tijdperk van cyberbedreigingen.

Inzicht in bedrijfsprioriteiten, initiatieven en risico's

Nu de gemiddelde kosten van een datalek bijna 4,5 miljoen dollar bedragen, kunnen organisaties het zich niet meer veroorloven dat teams het oneens zijn tijdens een noodsituatie waarin elke minuut telt. Cross-training is waardevol en moet worden opgenomen in elk trainingsplan. Dit helpt niet alleen tijdens een incident - het helpt ook bij het creëren van een echte teammentaliteit en laat het team in zijn geheel groeien. Het is bijvoorbeeld waardevol als een SOC-analist games doet die bedoeld zijn voor een ander team of als een offensieve security engineer zich bezighoudt met logboekanalyse en forensisch onderzoek. Hoewel teamleiders niet per se van hun governance- of risicoprofessionals moeten verwachten dat ze secure coding challenges doen, toch zal het aanmoedigen van gezamenlijke training waar mogelijk en relevant het cross-functionele werk versterken wanneer het er echt toe doet. Denk in dat verband ook maar aan een escape-room teambuilding-sessie.

Cybersecurity team leaders moeten de tijd nemen om te kijken welke hiaten er in de kennis zitten en hoe deze direct van invloed zijn op het bedrijf. Dit kan gebeuren door te kijken naar lessen die zijn geleerd uit eerdere incidenten, audits of sourcing-gesprekken. Begrijp de strategische doelen van je organisatie en koppel de benodigde vaardigheden aan die doelen. Als je bijvoorbeeld werkt in een industriële organisatie waar veiligheid een belangrijke maatstaf is voor het bedrijf, kan het nuttig zijn om leerplatformen te onderzoeken die zich richten op het beveiligen van industriële besturingssystemen. Als uit een eerder incident is gebleken dat een verkeerde configuratie van een webapp heeft geleid tot een kwetsbaarheid, dan kan een training gericht op het ‘harden’, verdedigen of uitbuiten van veelvoorkomende problemen met webapps een goed startpunt zijn.

De lat té hoog leggen leidt niet tot betere resultaten

Training kan - en moet - lonend zijn en gamification maakt die beloningen duidelijker voor werknemers. Ga na hoe bedreven de teams nu zijn en bouw de complexiteit op naarmate de vaardigheden toenemen. Het kan ontmoedigend en zelfs nadelig zijn om een trainingsprogramma te starten dat deelnemers het gevoel geeft dat ze een imposter-syndroom hebben, omdat het te geavanceerd voor ze is. Zwaardere, meer competitieve en duurdere training leidt niet altijd tot de beste resultaten.

Er zijn tal van gratis en community-gebaseerde trainingsprogramma's waar we gebruik van kunnen maken, zoals aanmoedigen van persoonlijke verkenning van gratis capture-the-flags (CTF's) of het gebruik van platforms zoals KC7 of HackTheBox. Die helpen je peilen waar sterke en zwakke punten liggen voordat je overgaat tot betaalde diensten en het ontwerpen van bedrijfstrainingen.

Training hoeft ook niet op een computer te gebeuren. Games stellen je teams in staat om zichzelf te organiseren, strategieën op te stellen, tijd te beheren en communicatie op te bouwen, terwijl ze worden ondersteund met middelen of strategische begeleiding. Een oefening in teambuilding als een escape room of kaartspellen zoals Black Hills Infosec's Backdoors and Breaches dienen bijvoorbeeld dit doel.

Het doel van training is niet dat je teams perse een 100% score halen voor een quiz. Waar het wél om draait, is dat ze de training verlaten met een nieuw ‘a-ha’ moment of kennis van een methode die ze eerder niet hadden.

Gamified training brengt onverwachte vaardigheden aan het licht

Technisch inzicht in cyberbeveiligingsteams is één ding. Maar met behulp van op games gebaseerde trainingen kunnen ook soft skills worden ontdekt en ontwikkeld die daadwerkelijk nodig zijn om een bedreiging met succes te verijdelen of te bestrijden. Denk maar aan inlevingsvermogen, delegeren en tijdmanagement.

In teams die Capture the Flag spelen zie ik dat de sterkste spelers specifieke eigenschappen delen. Teamcaptains moeten de sterke punten van hun team empathisch kunnen beoordelen en slagen door te plannen, te communiceren en de teamstrategie af te stemmen op de sterke punten van individuen. Net als de beste cyberbeveiligingsleiders erkennen de beste CTF-spelers dat het niet gaat om het hebben van ‘rock star unicorns’, maar om het vinden van de juiste individuen om de juiste problemen aan te pakken.

Als organisaties het tekort aan mensen en de vaardigheidskloof in cyberbeveiliging willen aanpakken, liggen er belangrijke kansen om de samenwerking en vaardigheden van teams te verbeteren door middel van games. Bovendien krijgen de medewerkers minder snel een burn-out door droge workshops of trainingspresentaties. Games zijn veel boeiender en houden de geest scherp. Probeer het maar eens.