Opdrachtgever: CIO Platform Nederland

Elke organisatie heeft informatie die beschermd moet worden. Vaak gaat het om informatie die, in verkeerde handen, kan leiden tot grote (economische) schade of gevaarlijke situaties. Het risico op informatiebeveiligingsincidenten, zoals bijvoorbeeld een aanval door cybercriminelen, wordt steeds groter. Studies tonen aan dat medewerkers en management zich vaak niet bewust zijn van hun onveilig gedrag. Het CIO Platform Nederland, de onafhankelijke vereniging van de eindverantwoordelijken voor digitalisering en/of ICT van grote private en publieke organisaties in Nederland, besloot hier iets aan te doen. Met inbreng van bijna veertig leden ontwikkelde zij samen met IJsfontein een co-op turn-based game die medewerkers bewust maakt van de risico’s.

Het spel in het kort

Elevator is een puzzelgame die niet gaat over het leren van regels. Het gaat over het leren zien en ontdekken van risico’s voor het incident gebeurt. De speler kruipt in de huid van een geheim agent op het gebied van cyber security & informatiebeveiliging. De agent legt de zwakke plekken van een organisatie bloot door de beveiliging te kraken en de lift te bereiken. Hiervoor moeten de spelers niet alleen handig gebruik maken van de technische mogelijkheden, maar ook mensen manipuleren. Daarom werken spelers altijd in een tweetal. Een van de spelers is goed met computers en de ander sociaal inventief. Ze hebben elkaar nodig om de missie te voltooien.

Gesprek komt op gang

Doel van de game is om het gesprek over cyber security op gang te brengen en medewerkers alert te maken en te motiveren om elkaar aan te spreken op ‘onveilig’ gedrag. Doordat je het spel altijd met zijn tweeën speelt komt het gesprek als vanzelf op gang, ook buiten de game, bijvoorbeeld bij de koffieautomaat. Al in de testfase zagen we dat dit werkt. Er was meer betrokkenheid bij het onderwerp en het gesprek tussen medewerkers ontstond vanzelf. De organisaties die al spelen bevestigen dit beeld.

Analyse fase

Omdat er heel veel stakeholders betrokken zijn bij dit project en de game door een zeer diverse doelgroep gespeeld wordt is er gekozen om eerst een uitgebreide analyse fase te doen. We hebben daarvoor enquêtes afgenomen, focusgroepen geformeerd en experts geïnterviewd.

Doel van deze uitgebreide analyse was te onderzoeken of er gemene delers in de verschillende doelgroepen te vinden zijn op basis waarvan een game kon worden gemaakt. Al snel bleek dat een belangrijke gemene deler was dat de doelgroep geen of weinig inzicht heeft in waarom het gevaarlijk is om onzorgvuldig om te gaan met cyber security. Medewerkers denken ten onrechte, vooral onbewust, dat ze ‘veilig’ zijn.

Op basis van deze resultaten is besloten dat de game niet over regels gaat maar over bewustwording, de alerte houding. De analyse fase is afgesloten met de ontwikkeling van een papieren prototype waarmee getest kon worden.

‘Er was gedurende het gehele ontwikkelingstraject een intensieve samenwerking tussen professionals uit de deelnemende organisaties, vertegenwoordigers van de doelgroep en de ontwerpers en bouwers van de game. Dit heeft geleid tot de ontwikkeling van een game die breed gedragen wordt en inhoudelijk een ongekende kwaliteit heeft aangaande cybersecurity en informatieveiligheid. Het hele traject was daarnaast een soort opleidingstraject. Er is veel geleerd. Door iedereen!’ Foppe Vogd, programma directeur en projectleider van deze game van CIO Platform Nederland.

Implementatie

Hoe goed een game ook is, het gemak van de implementatie bepaalt het succes. Vanaf het begin is implementatie daarom een dominant onderwerp van aandacht geweest. Iedere organisatie waar de game geïntroduceerd wordt, formeert een game action team. Dit team is verantwoordelijk voor de implementatie van hun eigen organisatie. Het team kan gebruik maken van de uitgebreide communicatiekit die beschikbaar is gesteld, met onder andere een raamwerk voor een plan van aanpak, posters en inspirerende communicatie voorbeelden. Kortom: met minimale inspanning, maximaal rendement.

Resultaten van Elevator

Het meest tastbare resultaat van deze game is een toename in het aantal meldingen van verdachte zaken en onveilige situaties bij de veiligheidsverantwoordelijke. Dit betekent niet dat er daadwerkelijk meer verdachte en onveilige situaties zijn, maar wel dat medewerkers alerter zijn. Het wordt nu vooraf herkend, wat precies het doel is van de game. Ook de diversiteit van de meldingen is een goede graadmeter. Voor aanvang gingen de meeste meldingen over verdachte mailtjes van onbekende afzenders. Nu kijken mensen verder dan alleen de bekende foute mail en zien ze meer potentiële risico’s dan voorheen.

Enkele opvallende cijfers

• De conversie van registratie naar het uitspelen van level 1 loopt in sommige organisaties op tot 200%. Dit houdt in dat elke speler level 1 gemiddeld 2x uitgespeeld heeft. Een uitzonderlijke prestatie voor een puzzelgame. Doordat er verschillende rollen zijn (met verschillende opties in het spel) en een level op meerdere manieren opgelost kan worden, is het interessant om vaker te spelen.
• Het percentage geregistreerde spelers die alle beschikbare levels uitgespeeld heeft loopt op tot 76%. Dat is hoog (gemiddeld is dit ca. 30%). Zeker voor een spel waar je meerdere dagen mee bezig bent. Het co-op turn-based karakter van de game stimuleert doorspelen.
• Per level wordt de beurt gemiddeld 9 keer doorgegeven van de ene naar de andere speler. Dit is vaker dan strikt noodzakelijk. Er wordt dus echt actief samen gespeeld om de levels op te lossen.

Meedoen?

Op dit moment is Elevator uitgerold of in de implementatiefase bij bijna vijftig organisaties, waaronder overheid, multinationals en Nederlandse bedrijven. De reacties zijn unaniem positief, gemiddeld hoger dan een 8.

“Elevator game is de perfecte manier om medewerkers te wijzen op beveiligingsissues zonder betutteling.” 

“Coolste project waar ik ooit aan heb meegewerkt, kan niet wachten tot we live gaan en collega’s ermee aan de slag gaan!”

Meedoen? De elevator game is op licentie beschikbaar in het Engels en in het Nederlands. Neem contact op voor meer informatie of een demo account.

Team

• 
  • Laurent de Goede
  • Developer
• 
  • Pieter Snijders
  • Visual/interaction designer
• 
  • Jorrit de Vries
  • Developer
• 
  • Veronique de Winther
  • Accountmanager
• 
  • Simon Groenewolt
  • Developer
• 
  • Jan Willem Huisman
  • Mede-oprichter & Creatief Directeur

Contact

Wat kunnen we voor jouw organisatie betekenen? Stuur ons een mail of bel ons op 020 33 00 111.