January 2015 Download this article as a PDFAbstract

Хотя подготовка по вопросам кибербезопасности сотрудников имеет важное значение, она не обеспечивает необходимых навыков для более эффективной защиты бизнеса от кибер атак. Предприятиям необходимо инвестировать в создание кибербезопасности навыков на всех уровнях рабочей силы и руководства. Эта инвестиция может уменьшить финансовое бремя на предприятия от кибер атак и помогают поддерживать доверие потребителей в своих брендов. В этой статье мы обсудим использование геймификации методов, которые позволяют всем сотрудникам и организационные лидеры играть роль различных типов атак в целях сокращения числа успешных атак из-за уязвимости подвиги.

Мы объединяем два отдельных потока – геймификации и предпринимательские перспективы-для целей строительства кибербезопасности навыков, подчеркивая при этом третий поток-злоумышленник типы (то есть, их ресурсы, знания/навыки и мотивация) – для создания сценариев обучения. Мы также определить роли нападавших, используя различные теоретические перспективы предпринимательской деятельности. Эта статья будет представлять интерес для руководителей, которым необходимо строить навыки кибербезопасности в их рабочей силы экономически эффективно; Исследователи, которые хотят продвигать принципы и практику геймификации решений; и поставщиков решений для компаний, которые хотят строить навыки кибербезопасности в рабочей силы и руководства.

Введение

Кибербезопасности обучение является важным ответом на растущее число вторжений и атак (Нагараян соавт, 2012). Человеческие уязвимости составляют 80% от общей уязвимости, эксплуатируемых атак (IBM, 2013), но основное внимание кибербезопасности в информационной технологии была на системах инструменты и технологии (Hershberger, 2014). Человеческие уязвимости включают, но не ограничивается, халатность работника, руководство дезинформации и обучение навыкам ограниченной кибербезопасности, вредоносных инсайдеров и третьих лиц, которые имеют доступ к сети Организации. Необходимость создания кибербезопасности навыков и расширению знаний в рабочей силы и руководство стало очевидным для лучших руководителей корпораций, государственных органов и академических исследователей (Эванс & ридер, 2010). После 2013 года нарушение данных целевой корпорации, анализ нападения пришел к выводу, что целевой системы безопасности обнаружено нарушение, но руководство и сотрудники, отвечающие за принятие мер реагирования не хватает необходимых навыков и знаний (Hershberger, 2014).

Ограниченные знания и навыкам кибербезопасности не только для цели и это не редкое явление. Недавнее исследование показало, что почти 70% критической инфраструктуры провайдеров через 13 стран данные нарушения в 2013 году, и было установлено, что 54% этих нарушений в результате небрежности сотрудника; Однако наиболее неожиданный вывод был, что только 6% этих компаний обеспечивает подготовку кибербезопасности для всех сотрудников (Unisys, 2014). Любой сотрудник в Организации может быть потенциальной точкой входа для злоумышленников; Таким образом знания и навыки, подготовка в области кибербезопасности для всех сотрудников необходимо в снижении уязвимости человека. Компании, которые не обеспечивают подготовку по вопросам безопасности для новых сотрудников сообщили средние ежегодные потери в размере $683,000, в то время как те, которые проводили обучение нового работника сообщили средние ежегодные потери в $ 162 000 (PwC, 2014).

В целом текущие обучение навыкам кибербезопасности ограничены ИТ-персоналом во время кампаний по информированию и образованию часто предлагаются для всех сотрудников. Кибербезопасность обучение для всех сотрудников является неэффективным в передаче необходимых знаний и навыков для сотрудников и руководителей организаций по сокращению числа успешных атак. Эти учебные подходы могут включать: веб-классов, Аудиоконференцсвязь, обучение под руководством инструктора, тематические кибербезопасности события, информационные бюллетени и награды/стимулов программы (Аннетта, 2010; Конус, 2007; Нагараян и др., 2012). Эти подходы оказались неэффективными, поскольку участники не участвуют в учебном процессе. Учебные занятия представили большой объем информации в короткий период времени, который создан пассивным, подавляющим и отключен, опыт (Аннетта, 2010; Конус, 2007). Классных занятий и распространение онлайн советы являются неэффективные способы обучения; требуется более погружения и интерактивное обучение.

В этой статье мы описываем геймификации подход к построению кибербезопасности всех сотрудников и руководства в Организации. Использование gamified решений в навыкам кибербезопасности обучение способствует активному обучению и мотивации при одновременном повышении удержания запрограммировано навыков по сравнению с традиционным обучением подходов, таких как классы под руководством инструктора (Иордания и др., 2011).

Геймификации подход использует предпринимательские перспективы, которые дополняют злоумышленник типы, основанные на их мотивации, знаний и ресурсов. Мы используем предпринимательские перспективы, которые касаются особенностей поиска возможностей, принимая риски и имеющие фокус продолжить идею реализации (Kuratko, 2013), чтобы помочь зрения вызов через глаза кибер атак. Некоторые сходства между хакерами и предпринимателями включают их потенциала решения проблем, готовность воспользоваться преимуществами возможностей, прилагаем все усилия, а также риска (Blanchard, 2013; Кан, 2012; Warikoo, 2014).

В оставшейся части статьи мы рассмотрим использование геймификации для развития навыков сотрудников и выявления различных предпринимательских перспектив, которые имеют отношение к такому подходу. Затем мы обсудим, что требуется для создания обучения подход, который использует геймификации для погружения обучения в кибербезопасности. В заключительном разделе мы предоставляем выводы.

Использование геймификации для создания навыков сотрудников

Геймификации-это процесс укрепления конкретной службы путем реализации элементов дизайна игры в контексте не игры для повышения общей стоимости создания пользователя и опыт (Huotari & Hamari, 2011; Детердинг и др., 2011). Детердинг и коллеги (2011) определяют геймификации как «использование характерных элементов дизайна для игр в контекстах не игры». Таким образом геймификации отражает использование игр мышления, включая прогресс механики (например, точек системы), игрок управления (например, аватар), награды, совместных проблем, рассказы и конкуренция в ситуациях, не игры (Детердинг соавт, 2011; КАПП, 2012). В основе геймификации является понимание мотивации как значительно корреляционные с и прогнозирования желательных результатов человека как достижение, успех и достижение различия и награды (Kapp, 2012). Когда разработаны и применяются в надлежащим образом и настройки, геймификации обеспечивает выравнивание между мотивацией и желанием, что приводит к предполагаемой цели его использования. Например когда используется для увеличения участия работника, геймификации может улучшить взаимодействие и трансформировать обычные, часто скучно, задачи мотивации сотрудников через «play» и конкуренция в одной команде и групп (Королев, 2012; Zichermann & Каннингем, 2011).

Хотя это обычно считается инструментом участия пользователя, геймификации может также использоваться для развития навыков участников и сотрудников. Берк (2014) подчеркивает эффективность использования геймификации концепций обучения в то время как используя «Воспламенить лидерство игра», созданный NTT данных в качестве соответствующего примера сотрудников. Этот конкретный gameful дизайн построен на первой оценке знаний работников для выявления их сильных и слабых сторон; Идентификация позволяет им более эффективно развивать необходимые навыки. Основные преимущества использования геймификации подходов для развития навыков создания атмосферы, которая дает возможность активного участия сотрудников (Zichermann & Линдер, 2013), повышение мотивации участников для достижения лучших результатов (Burke, 2014) и более общего учебного процесса из-за установленной среды совместной работы (Burke, 2014).

Геймификации элементы

При разработке игр для целей обучения и образовательных, учебных целей должны быть четко определены (Нагараян и др., 2012). Разработка эффективных и соответствующих игр требует выбора соответствующих геймификации элементов, которые будут лучше всего подходят для обучения подход, необходимый (Kapp, 2012). Ниже приводятся четыре элемента геймификации для обучения навыкам кибербезопасности:

  1. Прогресс в механике: относящиеся к мотивации игрока путем обеспечения прогресса в таких инструментов, как точки, лидер доски и значки.
  2. Контроль игрока: использование символа (третьего лица) участвовать в gamified обучения. Этот персонаж широко известен как «аватар». Исследования показали, что использование аватаров, за счет использования различных ролей, влияет на поведение.
  3. Решение проблемы: целью обучения является одним из важнейших элементов геймификации при изучении и сохранении новой информации. Сотрудничество и определение общей цели имеют важное значение в развитии сильной навыков решения проблем, которые могут легко воплотить в практические знания за пределами учебной среды.
  4. История: Рассказ, который присутствует для создания вложения или связь между учеником и их аватар, а также связь между аватары, участвующих в gamified обучения. Истории также мотивировать учащихся продолжать «играть» чтобы узнать остальную часть истории

Существующие решения геймификации обучения

В настоящее время несколько кибербезопасности обучения и программы повышения осведомленности начали внедрять методы геймификации в их собственные учебные программы. Как показано в таблице 1, шесть основных и наиболее evolved gamified подходов были определены и подробно. Эти «игры» были сопоставимы по следующим четырем аспектам:

  1. Понимание: требует минимальный объем знаний для участников. Осведомленность главным образом касается оценки уровня уязвимости в сущности, предоставляя участникам общие знания в области обнаружения и недопущения попыток успешного проникновения.
  2. Защитная стратегия: требует от участников – в данном случае защитники – чтобы иметь значительные знания, которые обеспечат им необходимые инструменты и стратегии для отмахнуться от кибер атак эффективно.
  3. Наступательной стратегии: фокусируется главным образом на сдачи участников в своих соперников обувь для того чтобы правильно понять свои стратегии и подходы.
  4. Атакующий centricity: использует известные характеристики кибер атак для обучения участников в ожидании мотивации и поведения при выполнении определенных атак злоумышленника. Это ожидание усиливает создание и применение наступательных и оборонительных стратегий по борьбе с кибер атак.

Обратите внимание, что только три из шести gamified учебных программ включают в себя наступательные стратегии для их участников. Это замечание является в соответствии с нынешней доминирующей практикой в кибербезопасности реагируют, в основном, нападения и не участвовать в досрочной или наступательных стратегий. Кроме того двое из шести игр имеют ограниченный атакующий сосредоточенности, главным образом на основе навыков взлома системы, но злоумышленник не конкретных типов. Еще раз это отражает текущее состояние в кибербезопасности, обучение, где характеристики нападавших редко включаются в обучение сотрудников для понимания этих нападавших или предвидеть их нападения.

Таблица 1. Существующие gamified тренинги для сотрудников кибербезопасности навыки

 

Осведомленность

Оборонительные стратегии

Наступательные стратегии

Атакующий сосредоточенности

Ссылки

Контрмеры

Базовые знания

Нет

Проверка подлинности и обход пароля

Ограниченная

Иордания соавт (2011)

CyberCiege

Базовые знания

Общая оценка

Предотвращение проникновения

Нет

Нет

Конус и др (2007)

CyberNexs

Нет

Оценка системы

Предотвращение проникновения

Захват флага

Нет

Нагараян соавт (2012)

CyberProtect

Базовые знания

Общая оценка

Нет

Нет

Нет

ЛАБУШАН соавт (2011)

NetWars

Оценка навыков

Оценка системы

Предотвращение проникновения

Сценарии проникновения системы

Ограниченная

SANS (2015)

Микро-игры

Базовые знания

Общая оценка

Обнаружение проникновения

Управление паролями

Нет

Нет

Вомбат (2015)

Атакующий типы и их характеристики

Опираясь на обширный поиск имеющейся литературы и насколько нам известно, есть нет текущих приложений кибер злоумышленник характеристик, используемых в gamified обучение сотрудников навыкам кибербезопасности. В результате мы рассмотрели литературу по кибер атак на основе поиска, который включал следующие ключевые слова: «кибер-преступники», «инсайдеров» и «хакеров». Мы расширили наш поиск по ключевым словам для терминологии различия в существующей литературе при описании отдельных лиц или групп, которые совершают кибер атак. Мы сосредоточились на кибер атак для выявления злоумышленником типов и их мотивации, ресурсов и знаний/навыков. Определение типов злоумышленник имеет важное значение в разработке более точных профилей при создании и реализации решений, которые позволят сократить киберпреступность (Роджерс, 2011).

На основе обзора литературы, были определены следующие восемь типов кибер атак:

  1. Сценарий kiddies: злоумышленники, которые зависят от существующих инструментов (например, использование программ и сценариев) и не желают узнать, как эти инструменты функция (Hald & Педерсен, 2012). Они являются незрелыми нападавших, чья основная мотивация является создание озорства и привлечь внимание (Аггарвал и др., 2014; Роджерс, 2011).
  2. Кибер панки (включая вирусописателей): злоумышленники, которые пишут вирусы и использовать программы ради вызывает проблемы и обретения славы (Hald & Педерсен, 2012). Руководствуясь восхищения и признания, эти нападавшие неуважение к власти и социальных норм. Они лишь чуть более опытный, чем сценарий kiddies (Роджерс, 2011) и системы, чтобы причинить ущерб (Догару, 2012).
  3. Инсайдеры: нападавшие, которые вложено в Организации они нападают на которые причиняют преднамеренного или непреднамеренного вреда из-за их несанкционированного доступа (Hald & Педерсен, 2012). Поскольку доступ не проблема, с которой они сталкиваются, большинство инсайдерской злоумышленники имеют минимальные технические навыки (Уильямс, 2008). Таким образом они становятся легкой мишенью для преступников, которые убедить их выполнить действие, которое предоставляет доступ к системе (Crossler и др., 2013; Parmar, 2013).
  4. Мелкие воры: нападавшие, которые совершают онлайн мошенничества, такие, как identity кражи и система угоны для выкупа с другой мотивации, чем деньги (Hald & Педерсен, 2012). Их деятельность не являются сложными, и они не зависят от выгод от их преступлений. Они привлекли к преступной деятельности, которые включают кредитной карты и банковского мошенничества (Роджерс, 2011).
  5. Серые шляпы: нападавшие, которые сочетают черные шляпы (то есть вредоносные или незаконных хакеров) и белые шляпы (то есть, хакеры, собирающиеся для повышения безопасности). Они могут атаковать системы доказать свои способности или найти недостатки в системе и может предупредить цель уязвимости (Аггарвал и др., 2014; Bodhani, 2013; Hald & Педерсен, 2012). Часто высококвалифицированные, они пишут сценарии что кибер панки и сценарий kiddies обычно используют (Роджерс, 2011).
  6. Профессиональные преступники: нападавшие, которые наняли для проникновения систем. Они также известны как кибер наемники (Hald & Педерсен, 2012). Иногда эти кибер злоумышленники действуют от имени учреждений и введите конкурентов системы финансовой выгоды (Догару, 2012). Они работают в среде наиболее скрытные и регулируются строгими правилами анонимности, поэтому они не могут быть определены (Ковальский & Mwakalinga, 2011; Роджерс, 2011).
  7. Карена: нападавшие, которые мотивированы мировоззрением. Этот тип может включать террористические группы. В активизм сильным психологическим диспозиции и убеждения, некоторые хакеры могут стать хактивистов и воспринимать их мотивы, чтобы быть полностью самоотверженной (Hald & Педерсен, 2012; Пападимитриу, 2009).
  8. Государства: нападавшие, которые предположительно работать от имени государственного органа. Каждый ресурс направлены на подрыв систем противника или защиты систем национального государства. Эта группа включает военизированных организаций и борцов за свободу, и их цели не отличаются от тех признанных правительств (Догару, 2012; Hald & Педерсен, 2012; Роджерс, 2011).

Важно отметить общую тему в хакер общин: готовность обмениваться информацией и сотрудничать в решении проблем со сверстниками (Бирос и др., 2008; Деннинг, 1996; Иордания & Тейлор, 1998; Mookerjee и др., 2009). Обмен информацией помогает построить более прочные связи в рамках сообщества одновременно поощряя и бросая вызов другим, чтобы учиться и привлечь больше (Ариеф & Беснар, 2003).

Предпринимательские перспективы

Предприниматели называют риск takers, новаторов и проблема решателей, которые уверены, настойчивый, совместные, возможность признать, что возможности, опытным специалистом в сборе информации и знаний, нужны для достижения и награды, и искать изменения и прибыли (Blanchard, 2013; Кан, 2012; Ким, 2014). Хотя есть много определений термина «предприниматель», следующее определение является наиболее подходящим для этой статьи: предприниматели – «те, кто определить необходимость – никакой необходимости – и заполнить его. Это изначальное желание, независимо от продукта, Услуги, отрасли или рынка» (Нельсон, 2012). Таким образом можно предположить, что это изначальное стремление определяется различные мотивы и возможности, которые могут лучше понять через предпринимательские перспективы.

В этой статье рассматриваются перспективы предпринимательской деятельности по двум причинам: i) рассмотреть сходство между различными предпринимательской перспективы и кибер злоумышленник характеристики и ii) снять отрицательную коннотацию подключен к термину «злоумышленника» в обучении. Принимая точки зрения кого-то, о котором человек имеет негативное восприятие и отношение может поставить под угрозу глубокого погружения в кибер атакующего мотивации и подход и сократить «бай ин» геймификации подход к обучению. Таким образом принимая предпринимательской точки зрения помогает слушателям сопереживать с кибер атак, так что они могут лучше научиться защищать своих организаций против них.

Из литературы мы определили следующие шесть предпринимательских перспектив:

  1. Bricolage: перспектива, где предприниматель использует различные ресурсы оказались под рукой, чтобы начать новое предприятие. Концепция первоначально использовалась в художественных контекстах и обычно начинается в среде с ограниченными ресурсами (Бейкер & Нельсон, 2005). Эта перспектива требует творчества, и результате нововведений может требуется несколько этапов тестирования перед затем осуществиться.
  2. Effectuation: перспектива, где предприниматель принимает «набор средств как и фокус [es] о выборе между возможными последствиями, которые могут быть созданы с этого набора средств» (Saravathy, 2001). Эта перспектива означает, что предприниматель считается очень хорошо осведомлен в использовании своих собственных ресурсов. То есть они не могут иметь доступ к большой объем ресурсов, но они считаются экспертами в использовании имеющихся у них ресурсов многих новаторских способов.
  3. Причинно-следственная связь: перспектива которой предприниматель фокусируется на конкретной цели, которая весьма желательны и использует все имеющиеся ресурсы для достижения этой определенной цели. С этой точки зрения сам параметр обычно богат ресурсами, которые требуются высокие знания в том, как использовать эти ресурсы для достижения оптимальных результатов и достижения большей результатов (Sarasvathy, 2001).
  4. Раскрепощение: Перспектива когда человек, который страдает от какой-то физического или эмоционального угнетения, решает сломать свободно для улучшения их положения. Он также можно применить для улучшения положения в их районе, общины или даже страны. Rindova и коллеги (2009) определил три основных элемента эмансипации: Ищу автономии, авторская и делать заявления.
  5. Гордыня: перспектива, в которой предприниматель вера в успех нового предприятия на основе социально построены доверия (Хейворд соавт., 2006). Оптимистичный самоуверенность propels человеку начать предприятие вне зависимости от потенциального сбоя.
  6. Социальные: перспектива, где основные мотивы предпринимателя социальные цели (социальные, политические, экологические) и обмена часть своих полученных ресурсов с сообществом причин (Христопулос & Vogl, 2015).

Предложил геймификации подход к развитию навыков кибербезопасности

Обучение кибербезопасности фальшивую в большинстве организаций; Она должна быть более уместно называют кибербезопасности информации и информированности, которая предоставляется всем сотрудникам. Обучение навыкам кибербезопасности главным образом предлагается сугубо технических специалистов администрации и безопасности ИТ. Все сотрудники нужны базовые навыки, обучение с настройками для настройки сценариев на основе функциональных ролей и потенциальных атак с упором на обучение, как смягчить или справиться с нападением (Совет по кибербезопасности, 2014).

Основываясь на нашем обзоре литературы, мы предлагаем gamified подход к навыкам кибербезопасности. Использование элементов геймификации, мы наметим четырех компонентов, необходимых для создания комплексной кибербезопасности навыков: i) история, ii) игрок контроля, iii) решение проблем и iv) прогресс механики.

История

Рассказы тренировки игры будет основываться на восьми типах выявленных кибер злоумышленник, и они обеспечат реалистичные, виртуальные воссозданий рабочей среды и моделировать типы атак, которые могут возникнуть. Для этого gamified кибербезопасности обучение есть три соответствующие компоненты, которые помогают стажеры участвуют и мотивированы:

  1. Обратная связь: как потерять жизнь, вызывая предупреждение экранов, получать обнадеживающие сообщения, или зарабатывать награды. Эта обратная связь основана на обучаемого прогресс: до тех пор, пока они участвуют в игре, игра является обеспечение обратной связи, оценки уровня квалификации и создание препятствий для оценки различных skillsets слушателей и сравнивая эти результаты целевого уровня достижения.
  2. Увеличение проблем: сложность истории будет диктовать количество задач, стажер придется преодолеть для того, чтобы прогрессировать.
  3. Возможности для освоения: предоставление возможностей для разработки и excel.

Контроль игрока

Шесть предпринимательских перспективы используются для создания на основе ресурсов и мотивации злоумышленника ролей для подготовки решения. Предпринимательские перспективы соответствие злоумышленником типов как показано в таблице 2. Этот шаг позволяет аватар для игры без каких-либо предвзятых представлений о том, как аватар должен действовать, тем самым позволяя для произвольного обучения в сценариях.

Таблица 2. Элемент геймификации: игрок управления (аватары и их характеристик)

Аватары

(Злоумышленник роли)

Аватар характеристики

(Типы злоумышленник)

Bricolage: «Новичок»

Сценарий kiddies

Кибер панки

Мелкие воры

Effectuation: «Ловкие»

Инсайдеры

Причинно-следственная связь: «Архитектор»

Государства

Профессиональные преступники

Раскрепощение: «Освободитель»

Инсайдеры

Хактивистов

Гордыня: «Оптимист»

Серые шляпы

Социальные: «Адвокат»

Карена

Решение проблем

Решение проблем является важным элементом в геймификации, что позволяет учащимся изучать и сохранять новую информацию. Как стажеры сотрудничают в том, чтобы найти ответы, они создают сообщество общей информации и цели. Такая деятельность особенно полезна во время атакующий ориентированных кибербезопасности навыков из-за совместного характера и его способность найти общие цели cyber злоумышленник сообщества.

Механика прогресс

Для всех сотрудников и руководителей организаций, участвующих в gamified подготовки прогресс, которого механики будет меняться на основе Аватар характеристик и областях обучения и достижений. Например если работник аватар «архитектор», как указано в таблице 2, краткий обзор их ресурсы в игре будет показать, что Аватар имеет много ресурсов, имеющихся для их выполнения задачи, поэтому проблема в получении больше ресурсов или точек могут быть связаны больше проблем навыков или совместной работы.

Сценарий gamified обучения

Чтобы понять, как обучение будет использоваться и какие результаты Ожидаемые обучения, рассмотрим следующий сценарий. Графический дизайнер в отдел маркетинга должен завершить его обучение навыкам кибербезопасности. В начале обучения, он получает вопросник короткой оценки знаний. Исходя из ответов, он оценивается как «средний» кибербезопасности знаний, который затем будет определять его начального уровня в игре подготовки. Затем он получает возможность выбрать аватар с очень мало описательные сведения о Аватар как его сильные стороны, слабые стороны и ресурсы для прогресса вместе в игре. Он выбирает «Адвокат» как его аватар, и на основе его оценки, он начинает на уровне 2 тренинга. История, которую он будет работать через основана на «hacktivist» злоумышленником и типом атаки ввода защищенной области, следуя сотрудника, который вошел, используя свой собственный ключ доступа засадить вредоносного по в одном из компьютеров в определенных отделе. Как он прогрессирует через игру, он может понадобиться для совместной работы с другими стажеров или другие аватары в игре для завершения миссии или шаг. Как он прогрессирует вместе, есть информация, такие как предупреждения, советы и другие возможности обучения для успешного завершения уровня. Существуют различные награды и стимулы, чтобы держать его участие и мотивированы.

К концу обучения работник имеет возможность посадить вредоносные программы после нескольких неудачных попыток. Во время обучения, работник узнает желаемых навыков прогрессирует от предотвращения в ожидании реакции на ответ, как описано ниже:

  1. Профилактика: важность обеспечения доступа несанкционированных лиц при въезде в безопасные районы.
  2. Ожидание: метод, используемый некоторыми злоумышленники для получения доступа к системе.
  3. Реакция: важность общения с другими пользователями в Организации.
  4. Ответ: надлежащая процедура, чтобы следовать, когда сталкиваются с аналогичной ситуацией. Влияние успешной атаки.

В сравнении обучение в классах под руководством инструктора бы предоставили информацию для стажера без каких-либо практических мероприятий для отображения шагов, участвующих или визуально наблюдать последствия нарушения безопасности. Также было бы трудно для стажера сохранить сведения для решения такого рода проблемы. Самое главное трудно удержать внимание работника на учебные материалы без интерактивных и захватывающий элемент игры.

Gamified кибербезопасности навыки обучения подход способствует:

  1. Предотвращение "/> ожидании "/> реакции "/> последовательность ответа
  2. Профессиональное обучение для всех сотрудников в Организации, от начального уровня персонала к C-уровня руководителей
  3. Практический, погружения и интерактивное обучение, которое отходит от основанного на классе, под руководством инструктора обучение
  4. Различие между кибербезопасности осведомленности только обучение и обучение навыкам кибербезопасности

Заключение

Основная цель этой статьи является новаторский подход для подготовки всех сотрудников и руководителей организаций для развития навыков кибербезопасности и лучше защититься и реагировать на данные нарушения. Был разработан подход gamified обучения, просмотрев следующие потоки литературы: геймификации, кибер атак и их характеристики и перспективы предпринимательской деятельности.

В этой статье были выбраны восемь типов злоумышленник, используя их мотивации, знаний/навыков и ресурсов как злоумышленник характеристики. Кроме того шесть предпринимательских перспективы использовались, подчеркнув их мотивации, знаний/навыков и ресурсов. Атакующий типы и их характеристики были объединены с предпринимательской перспективы для создания аватаров для игры. Путем создания аватаров, тип злоумышленника и характеристики злоумышленника теперь используется в создании истории, используемых во время обучения. Такой подход позволяет слушателям испытать атаки через глаза кибер злоумышленник и, следовательно, с предпринимательской точки зрения.

Наша статья ограничивается отсутствием практических, проверенных доказательств того, что подход будет достижение ожидаемых результатов и улучшения способностей работников в предотвращении или реагировать на нарушения данных. Некоторые исследования отметил важность определения характеристик злоумышленником для более надежную защиту от кибер атак (Colwill, 2009; Кремонини & Низовцев, 2006; Золото, 2011; Лю & Чэн, 2009), и дальнейшие исследования, связывание злоумышленником характеристики тип атаки могут заранее знания в области кибербезопасности предупреждения и подготовки кадров. Мы бы также рекомендовать более комплексный проект, который исследует сходства и различия между предпринимателями и нападавших.

 


Ссылки

Аггарвал, стр., Арора, р. р. & Гхаи, 2014. Обзор кибер-преступности и безопасности. Международный журнал исследований в области инженерных и прикладных наук, 2(1): 48 – 51.

Аннетта, л. а. 2010. «Я» есть: Рамки для серьезного образования дизайн игры. Обзор общей психологии, 14(2):
105-112.http://dx.doi.org/10.1037/a0018985

Ариеф, б. & Беснар, д 2003. Технические и человеческие проблемы в области безопасности компьютерных систем. Серия технических докладов: Университет Newcastle upon Tyne вычислительной науки. Ньюкасл, Великобритания: Университет Ньюкасла.

Бейкер, т. & Нельсон, р. е. 2005. Создавая что-то из ничего: Строительство ресурсов через предпринимательские Bricolage. Административная наука ежеквартальная, 50(3):
329 – 366.http://dx.doi.org/10.2189/asqu.2005.50.3.329

Бирос, д стр., Уэйзер, м., Burkman, Дж. & Николс, Дж. 2008. Обмен информацией: Хакеры против правоохранительных органов. В работе 9 австралийской информационной войны и конференции по вопросам безопасности. Перт, Австралия: Эдит Коуэн университете.

Бланшар, K. 2013. Предпринимательские характеристики МСП: Сельских, отдаленных сельских и городских перспективы Линкольншире бизнеса. Стратегические изменения, 22(3/4):
191-201.http://dx.doi.org/10.1002/jsc.1932

Bodhani, а. 2013. Бад... В хорошем смысле. Инжиниринг & технологии, 8(12):
64-68.http://dx.doi.org/10.1049/et.2012.1217

Берк, б. 2014. Gamify: Как геймификации мотивирует людей делать необыкновенные вещи. Бруклин, Массачусетс: Bibliomotion, инк.

Чан, о. 2010. Вомбат безопасности делает онлайн игры, которые учат кибербезопасности осведомленности, цапает контракт $ 750 000 США военно-воздушных сил. Журнал Forbes. Доступ к
2015:http://www.forbes.com/sites/oliverchiang/2010/10/08/wombat-security-make, 10 января...

Христопулос, д & Vogl, S. 2015. Мотивация социальных предпринимателей: Роли, повесток дня и отношения альтруистических экономических субъектов. Журнал социального предпринимательства, 6(1):
1 – 30.http://dx.doi.org/10.1080/19420676.2014.954254

Colwill, C. 2009. Человеческий фактор в области информационной безопасности: Инсайдерские угрозы – кто вы можете доверять в эти дни? Информационной безопасности технический доклад, 14(4):
186-196.http://dx.doi.org/10.1016/j.istr.2010.04.004

Конус, б. д., Ирвайн, C. э., Томпсон, м. ф & Нгуен, д. т. 2007. Видео игры для кибернетической безопасности подготовки и повышения информированности. Компьютеры & безопасность, 26(1):
63 – 72.http://dx.doi.org/10.1016/j.cose.2006.10.005

Совет по кибербезопасности. 2014. Контроль безопасности для эффективной кибернетической обороны. Версия 5.1. Совет по кибербезопасности. Доступ 10 января,
2015:http://www.counciloncybersecurity.org/

Кремонини, м. & Низовцев, д 2006. Понимание и влиять на решения нападавших: Последствия для безопасности инвестиционных стратегий. Представлен на пятом семинаре по экономике информационной безопасности (WEIS), 26 – 28 июня 2006 года. Кембридж, Великобритания: Университет
Cambridge.http://weis2006.econinfosec.org/docs/3.pdf

Crossler, р. е., Джонстон, а. C., Лаури, р. б., Ху Цзиньтао, Q., Warkentin, м. & Баскервиль, р. 2013. Будущие направления исследований безопасности поведенческой информации. Компьютеры & безопасность, 32,
90-101.http://dx.doi.org/10.1016/j.cose.2012.09.010

Берлог, д е. 1996. Что касается хакеров, которые нарушают в компьютерные системы. В Ладлоу р. (ред.), High Noon на электронных границ: Концептуальные вопросы в киберпространстве: 137 – 164. Кембридж, Массачусетс: MIT Press

Детердинг, S., Диксон, д, Халед, р. & Nacke, л 2011. Из элементов дизайна игры Gamefulness: Определение геймификации. В работе 15-й международной академической MindTrek конференции: 9 – 15. Нью -Йорк: Ассоциация вычислительной
Machinery.http://dx.doi.org/10.1145/2181037.2181040

Догару, р. д с. о. 2012. Криминологическая характеристика компьютерной преступности. Журнал уголовного расследования, 5(1): 92-98.

Золото, с. 2011. Понимание психики хакер. Сетевая безопасность, 2011(12):
15 – 17.http://dx.doi.org/10.1016/S1353-4858 (11) 70130-1

Hald, с. л. & Педерсен, Дж. м. 2012. Обновленный таксономии для квалификации хакеров в зависимости от их свойств угрозы. В работе XIV Международной конференции IEEE по передовой коммуникационной технологии (ICACT): 81 – 86. Пхёнчхан, Республика Корея: IEEE.

Hershberger, р. 2014. Безопасности, навыки оценки и обучения: «Сделать или разорвать» контроль безопасности. SANS институт InfoSec читальный зал. Доступ к
2015:http://www.sans.org/reading-room/whitepapers/leadership/security-skills-, 10 января...

Huotari, K. & Hamari, д. 2012. Определение геймификации: Перспектива Служба маркетинга. В работе 16 Международная научная конференция MindTrek: 17 – 22. Нью -Йорк: Ассоциация вычислительной
Machinery.http://dx.doi.org/10.1145/2393132.2393137

Компания "Hayward", м. л., пастух, д. а. & Гриффин, д 2006. Гордыня теория предпринимательства. Наука управления, 52(2):
160-172.http://dx.doi.org/10.1287/mnsc.1050.0483

IBM. 2013. Индекс разведки безопасности Cyber 2013 IBM. Службы безопасности IBM.

Иордания, C., Кнапп, м., Митчелл, д, Клэйпул, м. & Fisler, K. 2011. Контрмеры: Игра для обучения компьютерной безопасности. В ходе 10 ежегодного практикума по сети и поддержка систем для игр: Статья 7. Piscataway, NJ: Пресс IEEE.

Иордания, т. & Тейлор, стр. 1998. Социология хакеров. Социологический обзор, 46(4):
757-780.http://dx.doi.org/10.1111/1467-954X.00139

Кан, х. 2012. Предприниматель как хакер. Эпицентр: Национальный центр инженерных путей к инновациям. Доступ 10 января
2015.http://epicenter.stanford.edu/story/hongwen-henry-kang-carnegie-mellon-u...

КАПП, к. м. 2012. Геймификации обучения и обучения: Методы на основе игры и стратегии профессиональной подготовки и образования. Сан-Франциско, Калифорния: Пфайфер (Wiley).

Ким, р. х. 2014. Действий и процесса, видение и ценности. В т. Бейкер & ф Велтер (ред.), Routledge компаньон к предпринимательству, 59-74. Нью -Йорк: Рутледж.

Королев, м. 2012. Геймификации предприятия. Сети мира. Доступ к
2015:http://www.networkworld.com/article/2160336/software/gamification-of-the, 10 января...

Kuratko, д 2013. Предпринимательство: Теория, процесс и практика. Мельбурн, Австралия: Cengage обучения.

ЛАБУШАН, в. а., Орчар, н., Берк, и. & Eloff, м. м. 2011. Дизайн кибер безопасности осведомленности игры использования социальных средств массовой информации Gramework. В информационной безопасности ЮАР, 1 – 9. Йоханнесбург, SA:
IEEE.http://dx.doi.org/10.1109/ISSA.2011.6027538

Лю, S. & Чэн, б. 2009. Кибернападения: Почему, что, кто и как. IT профессиональное, 11(3): 14 – 21. http://DX.DOI.org/10.1109/MITP.2009.46

Mwakalinga, Дж. г. & Ковальски, котрі 2011. Моделирование врагов ИТ безопасности системы социально технической системы безопасности модели. Представлено на 12-м международном симпозиуме по моделям и методологий моделирования в области науки и техники. 27 – 30 марта 2011: Орландо, штат Флорида.

Mookerjee, против, Mookerjee, р., Бен Шушан, а. & Юэ, т. у. 2011. Когда хакеры говорят: Управление информационной безопасностью под ставки переменных атак и распространения знаний. Исследования информационных систем, 22(3):
606-623.http://dx.doi.org/10.1287/isre.1100.0341

Нагараян, а., Allbeck, ж. м., Sood, а. & Janssen, т. л. 2012. Изучение дизайн игры для обучения кибербезопасности. В ходе разбирательства 2012 IEEE Международная конференция по кибер-технологии в автоматизации, управления и интеллектуальных систем (кибер): 256-262. 27 – 31 мая 2012, Бангкок,
Thailand.http://dx.doi.org/10.1109/CYBER.2012.6392562

Нельсон, б. 2012. Реальное определение предпринимателя- и почему это важно. Forbes. Доступ к
2015:http://www.forbes.com/sites/brettnelson/2012/06/05/the-real-definition-o, 10 января...

Parmar, б. 2013 г. Халатность работника: Наиболее упускается из виду уязвимость. Компьютерное мошенничество & безопасность, 2013(3):
18 – 20.http://dx.doi.org/10.1016/S1361-3723 (13) 70030-7

PwC. 2014. Киберпреступность США: Рост рисков снижение готовности – основные выводы из 2014 США обследования киберпреступности. ПрайсвотерхаусКуперс, CERT Отдел программного обеспечения инженерного института, CSO журнал & секретной службы США.

Rindova, г. Барри, д. & Ketchen, ж. д 2009. Entrepreneuring как раскрепощения. Академия управления Обзор, 34(3):
477 – 491.http://dx.doi.org/10.5465/AMR.2009.40632647

Роджерс, м. к. 2011. Психика киберпреступники: Психо социальная перспектива. В S. Гош & Туррини э. (ред.), киберпреступность: Междисциплинарный анализ: 217-235. Нью -Йорк:
Springer.http://DX.DOI.org/10.1007/978-3-642-13547-7_14

SANS. к 2015 году. NetWars. SANS институт. Доступ 10 января,
2015:http://sans.org/netwars

Sarasvathy, с. д. 2001. Причинно-следственная связь и Effectuation: К теоретической переход от экономической неизбежности к предпринимательской деятельности на случай непредвиденных обстоятельств. Академия управления Обзор, 26(2): 243-263. http://DX.DOI.org/10.5465/AMR.2001.4378020

Unisys. 2014. Критические инфраструктуры: Безопасности готовности и зрелости. Unisys. Доступ 10 января,
2015:http://www.unisys.com/insights/critical-infrastructure-security

Warikoo, а. 2014. Предлагаемая методология для кибер уголовного профилирования. Журнал безопасности информации: Глобальная перспектива, 23(4-6):
172-178.http://dx.doi.org/10.1080/19393555.2014.931491

Уильямс, р. а. х. 2008. В «Доверяя» среде каждый отвечает за информационной безопасности. Технический доклад информационной безопасности, 13(4):
207 – 215.http://dx.doi.org/10.1016/j.istr.2008.10.009

Вомбат. к 2015 году. Платформа безопасности образования. Вомбат технологии безопасности. Доступ 10 января,
2015:http://wombatsecurity.com/security-education

Zichermann, г. & Каннингем, C. 2011. Геймификации дизайн: Реализация игровой механики в Web и мобильных приложений. Севастополь, CA: O'Reilly Media.

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
1 голосов были поданы, с средняя оценка 5 звезд

Ключевые слова: обучение, предприниматель, геймификации, кибербезопасности, кибер-атак

Комментарии

Привет

Вы цитируете IBM 2013 во втором предложении вашего введения. Однако нет не цитаты в ссылках. Какой документ IBM 2013 вы имеете в виду тоже?

Благодарю вас за чего на это наше внимание и извините за любые неудобства вызвало. Статья теперь обновлена со следующей ссылкой:

IBM. 2013. Индекс разведки безопасности Cyber 2013 IBM. Службы безопасности IBM.

Существует также инфографики (на основе доклада), показывающий эту информацию:
http://www-935.ibm.com/services/us/en/security/infographic/cybersecurity...

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.