其中的原因很多安全意识项目失败的是,他们依靠“推”的心态,在那里他们强迫员工采取意识的培养和期望,或者更可能的是,希望员工将寻求额外的培训,因为这是正确的事情去做。虽然许多有认为这样做是成功的项目,他们是比较少见的。
最近,我们开始尝试帮助我们的客户实施游戏化技术,这将改变整个意识范式。员工不会被迫接受培训或冒可能受到惩罚的风险,而是默认地做正确的事情,并寻求额外的培训,因为他们想这样做。
太多人混淆术语游戏化意味着你创建一个游戏做宣传培训,并且还有谁正在开发这样的游戏很多公司。他们可能是有用的,但就像海报,简讯,或钓鱼运动,他们只是在应该是一个什么样的单个组件良好的全面安全意识计划。
游戏化实际上是一个科学术语,它的大致意思是将游戏原则应用于某种情况。这些原则最简单的定义是:1)目标建立,2)规则,3)反馈,4)参与是自愿的。每一场比赛都必须包含这些原则。目标的建立是参与游戏的人所期望的结果。规则实际上是人们所遵守的限制,这使得游戏成为一种挑战。反馈意味着让参与者了解与他们的目标相比,他们所做的是什么。自愿参与意味着没有人被迫参与游戏。
以高尔夫球为例,我们将强调它绝不是一种基于计算机的游戏,它的目标是用最少的击球数打出18洞。规则对球员如何把球打入洞中作出了限制。毕竟,把球放进洞里最简单的方法是把它带进去,然后把它放进洞里,但是人们寻求的是通过技巧来完成目标的挑战。跑杆数是反馈机制。此外,由于没有同龄人或工作压力,几乎每个人都自愿去打高尔夫球。所有的游戏通常都表现出相同的原则。这包括所有的运动,纸牌游戏,操场游戏,国际象棋,跳棋,等等。游戏不需要电脑。
由于长期被混淆,我们开始拨打我们的过程中,“诱因宣传方案”。更好地代表了我们所谈论的,作为一个全面的认识方案本身并不局限于一个单一的工具。随着诱因的认识,您可以创建刺激行为人行使期望的行为,其中可能包括寻求额外的培训奖励结构。该激励理想使演示或学习的意识行为的乐趣。
根据程序和工作职能,人们通过寻找软件漏洞,采取培训班,报告网络钓鱼邮件,读一本安全相关的出版物,停止tailgater试图进入设施等获得积分,不同的活动是值得的不同点,人们可以累积积分。
这些积分用于赚取奖励。有些组织认可拥有武术腰带的人,比如六西格玛培训。一些组织提供认可和证书。另一些则在达到一定的积分门槛后提供现金奖励。无论奖励制度是什么,它都应该是适合组织文化的。根据组织规模的不同,你可能希望对不同的亚文化有不同的奖励结构。角色、部门或地理位置可能定义了这些亚文化。例如,日本员工更倾向于得到高级经理的个人认可,而奖励也应该反映出这种偏好。
显然,一些点将导致的“参与”的奖杯,许多孩子的体育联赛,现在给出,这基本上奖励员工只是展示了专业的等价物。其实没有什么不妥。保安部的往往会得到不好的名声在于惩罚人不良行为的组织。奖励员工做正确的行为让他们更安全意识,同时为保安部作为一个整体有较好的声誉。
当然,在满足基本期望的分数和超出有限期望的分数之间必须有一个适当的平衡。对达到基本期望的员工给予低价值的奖励。通过展示一些额外的、相对简单的行为,在大多数员工合理的范围内建立第二层。进一步的水平和奖励应该越来越难以实现,但是奖励应该与所需要的努力水平相一致。
也许有人会说,他们的许多员工将不会参加这种类型的奖励制度,这是合理的。然而,他们可能会在谁感兴趣的某种类型的奖励制度的人的数量感到惊讶。然而,即使程序没有被全体员工所接受的基础,衡量成功的标准是不参与,但在事关对组织的指标。我们过去的文章讨论这个更详细,从根本上任何安全措施不测量在参与或完美,但在损耗的通过量度减轻的量相比于实施方案的成本。
创建诱因意识程序确实需要一些努力,但已经成功地实施这样的计划的公司通过减亏从中获益,并具有安全团队和广大的用户群之间更好的关系。游戏化已经证明自己是一个有效的措施,进一步各种各样的商业利益。现在是时候开始它实现进一步的安全意识和教育你的员工到一个新的水平。
艾拉温克勒,CISSP和萨曼莎曼科可以在www.securementem.com联系。
这个故事,“如何建立与奖励安全意识”最初发表CIO 。