Gedrags- en cultuurverandering zijn niet alleen belangrijke aspecten van informatieveiligheid en privacy.. maar ook één van de moeilijkste. Iedereen weet dat veranderen niet makkelijk is, zowel op individueel niveau als op bedrijfsniveau. Ga maar na, hoe lang zeg jij al dat je dagelijks 10.000 stappen wilt zetten, meer tijd voor jezelf wilt inplannen, of minder tijd op je telefoon wilt doorbrengen? Waarschijnlijk al heel lang zonder dat je er echt iets aan doet.
Een cultuur waarin veilig gedrag geborgd wordt is essentieel voor de informatieveiligheid en privacy van een organisatie. Stel, een gemeente zet vrijwel alles in; van e-learning tot phishing testen en het gebruik van de nieuwste wachtwoordmanagers om hun data en systemen te beveiligen tegen gevaren van buitenaf. Zonder de essentiële gedrags- en cultuurverandering onder de werknemers kan je inzetten wat je wilt, maar het gevaar van een datalek blijft. Wellicht ben je iets beter beschermd tegen cybercriminelen, maar een sterke informatieveiligheid staat en valt met zijn menselijke verdedigingslinie.
Maar moeilijk betekent zeker niet onmogelijk. Er bestaat een technologie die gedragsverandering stukken makkelijker maakt. Ook wel bekend als de ‘Serious Game’. Geen klassiek spelletje voor vermaak maar een geavanceerde technologie waarmee je spelenderwijs nieuwe inzichten en concepten overbrengt die uiteindelijk bijdragen aan duurzame gedragsverandering.
Serious games vs. entertainment games
Serious games zijn games die voor voornamelijk niet-amusement doeleinden worden gebruikt. In de luchtvaartindustrie wordt de serious game, oftewel de vluchtsimulatie, al langer ingezet. Door middel van een reële vluchtsimulatie leren toekomstige piloten verscheidene kritische vlucht manoeuvres. Maar de serious game wint inmiddels ook terrein in andere sectoren, waaronder in cybersecurity en privacy
Het belangrijkste aspect dat serious games onderscheidt van entertainment games is het educatieve doel. Serious game ontwikkelaars willen hun spelers iets leren, iets meegeven. Bijvoorbeeld bewustzijn van een bepaald probleem, kennis overdragen of een gedragsverandering teweegbrengen. De makers van serious games gebruiken de motivatie principes (zoals nieuwsgierigheid, competitie en beloning) uit entertainment games om hun spelers aan te sporen het spel te spelen. Vervolgens gebruiken zij deze gewonnen aandacht om hun spelers iets op een boeiende manier te leren.
Waarom gedrag veranderen zo moeilijk is
“Mensen zijn genotzuchtige gewoontedieren.” schrijft psycholoog Martin Appelo in zijn boek ‘Waarom veranderen (meestal) mislukt’. Waarom het veranderen van gedrag moeilijk is, is toe te schrijven aan het functioneren van ons brein. Appelo legt uit dat we het merendeel van onze dagelijkse handelingen op de automatische piloot doen. Voor repetitieve of ingesleten handelingen gebruiken we alleen ons reptielenbrein (het oudste deel van het menselijk brein). In het reptielenbrein zitten alle vaste gewoonten geprogrammeerd en kost ons het minste energie om te gebruiken.
Tijdens een bepaalde handeling of het maken van een keuze kiezen we daardoor voor de optie die ons het bekendst is, helemaal onbewust en vaak intuïtief. Verder beschikken we ook over een limbisch brein dat onze emoties regelt en dat zich laat leiden door belonen en straffen (waarbij de voorkeur altijd uitgaat naar dat wat prettig is, vandaar genotzuchtig). En het jongste deel van ons brein is de neocortex, wat ons denkvermogen verschaft. Dit deel van het brein stelt ons in staat om te analyseren, communiceren en te reflecteren, maar kost ons ook de meeste tijd en energie.
Ook Daniel Kahneman beschrijft dit fenomeen in zijn boek ‘Thinking fast and slow.’ Waarin hij aantoont dat ons brein opereert vanuit twee modus operandi: systemen 1 en 2, zoals hij ze noemt . Systeem 1 fungeert als onbewuste automatische piloot waarmee we 95% van onze beslissingen maken. Systeem 2 is ons rationele systeem waarmee we door middel van bewuste en gecontroleerde denkprocessen maar 5% van onze beslissingen nemen. Waardoor 95% van onze keuzes dus intuïtief / emotioneel zijn en maar 5% rationeel.
Om gedrag te veranderen hebben we eerst een wake-upcall nodig. De boodschap dat ons (automatische) handelen niet meer voldoet en we bewuste keuzes moeten maken. Op het gebied van informatieveiligheid en privacy wordt die boodschap al lang uitgezonden: “werk veilig en gebruik een wachtwoordmanager”, “zo herken je een phishing mail”, “dit zijn de gevolgen van een datalek.” De wake-up calls zijn uitgezonden, de boodschap is aangekomen, het bewustzijn is gecreëerd en toch lukt het nog niet altijd om gedrag daadwerkelijk te veranderen. Nog beter dan alleen bewustwording is een shock-effect. Een situatie waarin men meteen duidelijk ervaart dat het huidige handelen absoluut niet meer kan.
Zo gaan we van onbewust onbekwaam naar bewust onbekwaam en voelen de urgentie om te veranderen. We switchen van systeem 1 naar 2, oftewel van onbewust en intuïtief handelen naar een gecontroleerd denkproces waarmee we een rationele keuze kunnen maken.
Na het voelen van de urgentie dat er iets moet veranderen, oftewel motivatie, zal men in beweging moeten komen, ernaar moeten handelen. Hierbij is het nodig om op de hoogte te zijn van de alternatieven in gedrag, te zien en in te kunnen schatten in welke mate deze een positief effect gaan opleveren en wat dat voor jezelf of de groep betekent.
Als laatste zal de nieuwe handeling herhaald moeten worden. Net zo lang totdat het nieuwe gedrag inslijt en het oude gedrag vervangen wordt. Daarna kunnen we bewust bekwaam weer lekker als genotzuchtige gewoontedieren op de automatische piloot beslissingen nemen, maar dan veilig.
Hoe serious games gedragsverandering teweegbrengen
En dat is precies waar serious games hun meerwaarde leveren. Naast het creëren van een shock-effect (denk aan: gehackt worden, het effect ervaren van klikken op een phishing mail, of het veroorzaken van een gigantisch datalek) laat een goed ontwikkelde serious game zijn spelers ervaren wat de consequenties van bepaald gedrag zijn.
In tegenstelling tot andere mediaproducten zoals educatieve films, boeken en e-learnings, zijn serious games interactief en kunnen vaak ook in teamverband gespeeld worden. De speler wordt actief betrokken bij het nemen van beslissingen, wordt compleet ondergedompeld in de game ervaring en krijgt directe feedback op zijn of haar beslissingen. Volgens de onderzoekers Ritterfeld, Cody en Vorderer, die het boek over mechanica en effecten van serious games schreven, is dit waarom serious games een beter leerresultaat opleveren.
“Serious games” zijn zowel educatief als leuk omdat ze intrinsiek motiverend zijn. De game-omgeving is responsief en kan een complexiteit hebben die leermogelijkheden mogelijk maakt.”
Naast alleen de wake-up call, in de vorm van een schokkend scenario, wordt door de directe feedback op je keuzes het onbewuste gedrag uitgedaagd. Je zal met de neo-cortex analytisch moeten nadenken over je keuzes, je eigen gedrag, hoe je gedrag in relatie staat tot je werk en over eventuele implicaties van je gedrag. Door middel van directe en constructieve feedback op je handelen worden je mogelijke alternatieve handelswijzen gereikt.
Je leest dus niet alleen over mogelijke gevaren maar je ervaart letterlijk wat er in een dergelijke situaties gebeurt. Zoals Confucius (551-479 v. Chr.) al zei: “Vertel het me en ik zal het vergeten. Laat het me zien en ik zal het onthouden.” Laat het me ervaren en ik zal het me eigen maken.”
“Vertel het me en ik zal het vergeten. Laat het me zien en ik zal het onthouden.” – Confucius
De tweede stap in gedragsverandering is gezet. Na het herkennen van onbewust ongewenst gedrag, zal je ernaar moeten handelen en nieuwe rationele keuzes moeten maken. In serious games gebeurt dit door middel van een intrinsiek motiverend spelletje waar je limbisch brein onder het mom van prettige ervaringen altijd graag wil winnen en dus de juiste keuzes moet leren maken. De stap, die vaak uitblijft bij traditionele media.
Het laatste element van blijvende en duurzame gedrags- en cultuurverandering is herhaling. Hoe vaker men bepaalde handelingen verricht of keuzes moet treffen, hoe sneller het automatisme wordt. Hierbij moeten we ons helaas nog steeds neerleggen bij de discipline van het individu zelf. Maar we kunnen herhaling natuurlijk wel bevorderen door het inzetten van andere interventies. Of het herhalen ervan in vergaderingen en er een vast agenda punt van maken. Ook kan je een spreker uitnodigen of collega’s opleiden tot informatieveiligheid en privacy ambassadeurs die anderen weer kunnen coachen op de werkvloer.
Hoe Brooklyn Partners serious games inzet
Serious games kunnen op een aantal manieren ingezet worden. Wij gebruiken ze vooral als onderdeel van een breder awareness programma, oftewel als onderdeel van onze “Aanpak 100% Cyber Aware”. Nadat we duidelijk in kaart hebben gebracht welke doelen er in een organisatie behaald moeten worden en welk bijbehorend gedrag we dus veranderd willen zien, kiezen we een passende serious game uit.
Ook zetten onze klanten serious games vaak in als introductie voor nieuwe collega’s. In plaats van saaie en droge stof omtrent informatieveiligheid en privacy, leren de instromers op een boeiende manier over deze belangrijke onderwerpen. Zo nodig je nieuwe collega’s op een aantrekkelijke manier uit samen het gesprek aan te gaan, samen te werken en zich de juiste processen eigen te maken.
Brooklyn Partners’ serious games
Bij Brooklyn Partners hebben we, gebaseerd op verschillende thema’s, een aantal innovatieve en prikkelende serious games ontwikkeld. Zo hebben we een game die helemaal draait om veilig basis gedrag, zoals omgang met wachtwoorden. In de game leer en ervaar je hoe je iemands inbox kan hacken op basis van zijn gegevens op social media. Een ander voorbeeld in deze game is het gebruik van (onbekende) usb-sticks, pak je die op en doe je die in de computer? Ja of nee? Steek je hem in de computer, loopt je spel 30 seconden vast en krijg je feedback over jouw handelen.
In een andere game ervaar je wat de impact is van jouw ‘kleine onschuldige gedrag’, zoals het openhouden van beveiligde deuren of het klikken op een phishing-e-mail. Deze game stimuleert vooral constructieve uitwisseling en discussies binnen het team. Waardoor de thema’s volop gaan leven op de werkvloer.
Verder hebben we ook een game ontwikkeld waarbij we ingaan op het feit dat ‘veilig en snel werken hand in hand (zouden moeten) gaan’. Waarbij het niet een vraag is van het één óf het ander. Terloops laten we je in deze game ook nog kennis maken met de toekomst van deep-fakes.
En tot slot een game over ransomware, waarbij je op een gegeven moment gaat onderhandelen met een hacker. Je ervaart echt hoe het is om in een onderhandeling te zitten, hoe de losgeldsom stijgt of daalt, hoe er gedreigd wordt je gegevens op het darkweb te verkopen. Je maakt volledig deel uit van de ervaring. In de interactieve chat leer je dat er een heleboel manieren zijn om zo’n gesprek in te gaan. Baserend op jouw antwoorden en acties verandert de afloop van het spel. Maar wat we je vooral willen leren is het feit dat er achter ogenschijnlijk kleine hackers een professionele business schuil gaat
Next level serious games
Wat onze serious games nog reëler maakt is het feit dat we de games aanpassen aan de organisatie waar we ze inzetten. Zo wordt de speler dus toegesproken door zijn of haar eigen directeur of leidinggevende, worden interfaces aangepast tot de interfaces van de organisatie, volgen we de interne processen en mailt men met de eigen contactpersonenen zoals de CISO. Dit om de eigen situatie zo nauwkeurig mogelijk na te bootsen en het effect van het spel te vergroten.
Daarnaast speel je al onze games in teamverband; of als multiplayer, of samen op hetzelfde scherm. Je kan het ook alleen spelen, maar samen is én veel leuker (je gaat ook niet in je eentje zitten monopoliën) én veel leerzamer! Een groot deel van het leeraspect zit in de gezamenlijke ervaring met collega’s, het horen van andere beweegredenen, het nemen van andere beslissingen en het samen discussiëren over wat een goede of foute keuze is.
En niet te vergeten, de positieve leerervaring. We zorgen ervoor dat het merendeel van de deelnemers de game uit kan spelen. Door middel van de gegeven feedback kan je steeds weer bijsturen en ervoor zorgen dat je succesvol de eindstreep haalt. Belangrijk want een positieve leerervaring is van groot belang voor een geslaagde leerervaring.
Kortom, de serious game is een waardige strijder op het front van informatiebeveiliging en privacy. Door middel van een shockeffect, een interactieve leeromgeving, directe feedback op gemaakte keuzes, het aanreiken van alternatieven, constructieve discussies en het herhaaldelijk bezig zijn met informatieveiligheid en privacy, worden cyber security en het gewenste gedrag op den duur onderdeel van de cyber awareness. Geïnteresseerd in nog meer toepassingen van het spel aspect op de werkvloer? In ons volgende artikel gaan we in op de ‘gamification van informatiebeveiliging’. Stay tuned!
Benieuwd of serious games wat voor jouw organisatie kunnen betekenen? Of zelf een serious game ervaren? Plan hier direct een Demo in!
