Gamificação Aplicada a Programas e Campanhas de Conscientização de Segurança da Informação
Palavras-chave:
Segurança da Informação, Conscientização de Segurança Cibernética, GamificaçãoResumo
O fator mais determinante no sucesso ou fracasso da segurança dos ativos de informação nas organizações é o fator humano. Os sistemas modernos estão cada vez mais seguros devido aos anos de desenvolvimento na área da segurança da informação. Estudos têm mostrado que a falta de conscientização dos usuários, referente aos perigos das suas ações e das ameaças no contexto da tecnologia da informação, levam a uma maior ocorrência de incidentes de segurança. Os programas e campanhas de conscientização de segurança da informação apresentam-se como uma solução para o problema. Contudo, as abordagens e métodos tradicionais desses programas e campanhas vêm se mostrado insuficientes para conscientizar e gerar comportamentos seguros de seus usuários. Nesse sentido, este trabalho tem por objetivo verificar a eficácia da gamificação em ações de conscientização de segurança da informação. Para tanto, utilizou-se de uma pesquisa bibliográfica, exploratória, descritiva com abordagem quantitativa, além da utilização do jogo eletrônico Kahoot!. Para viabilizar a coleta dos dados foi aplicado um questionário. Os participantes foram discentes da Faculdade de Tecnologia de Americana Ministro Ralph Biasi. Os dados foram analisados utilizando estatística básica. Este estudo mostra que o uso do software Kahoot! proporcionou resultados positivos, tendo em vista que os alunos que participaram do jogo tiveram um melhor desempenho em 66% das questões abordadas. Dessa forma, a gamificação é mais uma ferramenta que pode ser utilizada em ações de treinamento e conscientização em segurança da informação
Referências
ABAWAJY, J. User preference of cyber security awareness delivery methods. Behaviour & Information Technology, v. 33, n. 3, p. 237-248, 2014. Disponível em: https://www.tandfonline.com/doi/abs/10.1080/0144929x.2012.708787 Acesso em: 13 abr. 2022.
ABREU, El.; Hacker K. M. Speaks out. Cable News Network, Atlanta, Georgia, 2000. Disponível em: http://edition.cnn.com/2000/TECH/computing/09/29/open.mitnick.idg/ Acesso em: 13 abr. 2022.
AJZEN, I. The theory of planned behavior. Organizational behavior and human decision processes, v. 50, n. 2, p. 179-211, 1991. Disponível em: https://www.sciencedirect.com/science/article/abs/pii/074959789190020T Acesso em: 2 ago. 2022.
ALOTAIBI, Faisal et al. A review of using gaming technology for cyber-security awareness. Int. J. Inf. Secur. Res.(IJISR), v. 6, n. 2, p. 660-666, 2016. Disponível em: https://infonomics-society.org/wp-content/uploads/ijisr/published-papers/volume-6-2016/A-Review-of-Using-Gaming-Technology-for-Cyber-Security-Awareness.pdf Acesso em: 21 abr. 2022.
ALOUL, F. A. The need for effective information security awareness. Journal of advances in information technology, v. 3, n. 3, p. 176-183, 2012. Disponível em: http://www.jait.us/uploadfile/2014/1218/20141218031904864.pdf . Acesso em: 13 abr 2022.
ARNAB, Sylvester et al. Mapping learning and game mechanics for serious games analysis. British Journal of Educational Technology, v. 46, n. 2, p. 391-411, 2015. Disponível em: https://bera-journals.onlinelibrary.wiley.com/doi/abs/10.1111/bjet.12113 Acesso em: 16 ago. 2022.
BADA, M.; SASSE, A. M.; NURSE, J. R. C. Cyber security awareness campaigns: Why do they fail to change behaviour?. arXiv preprint arXiv:1901.02672, 2019. Disponível em: https://arxiv.org/ftp/arxiv/papers/1901/1901.02672.pdf . Acesso em: 21 abr. 2022.
DECI, Edward L.; RYAN, Richard M. The" what" and" why" of goal pursuits: Human needs and the self-determination of behavior. Psychological inquiry, v. 11, n. 4, p. 227-268, 2000. Disponível em: https://www.tandfonline.com/doi/abs/10.1207/S15327965PLI1104_01 Acesso em: 10 ago. 2022.
DOLAN, Paul et al. MINDSPACE: influencing behaviour for public policy. Institute of Government, London, UK, 2010.Disponível em: https://www.instituteforgovernment.org.uk/sites/default/files/publications/MINDSPACE.pdf . Acesso em: 15 abr. 2022.
DUOLINGUO, INC; What is Duolingo?; Disponível em: https://support.duolingo.com/hc/en-us/articles/204829090-What-is-Duolingo- Acesso em: 2 ago. 2022.
FLOWERDAY, S. V.; TUYIKEZE, T. Information security policy development and implementation: The what, how and who. computers & security, v. 61, p. 169-183, 2016. Disponível em: https://www.sciencedirect.com/science/article/pii/S0167404816300670 . Acesso em: 2 ago. 2022.
FONSECA, P. F. Gestão de Segurança da Informação: o fator humano. Pontifícia Universidade Católica do Paraná. Curitiba, 2009. Disponível em: < https://www.academia.edu/download/53570328/Paula_Fernanda_Fonseca_-_Artigo.pdf> Acesso em: 2 ago. 2022.
GJERTSEN, Eyvind Garder B. et al. Gamification of Information Security Awareness and Training. In: ICISSP. 2017. p. 59-70. Disponível em: https://www.researchgate.net/profile/Maria-Bartnes/publication/314523152_Gamification_of_Information_Security_Awareness_and_Training/links/5ba3773ba6fdccd3cb652a88/Gamification-of-Information-Security-Awareness-and-Training.pdf . Acesso em: 13 abr. 2022.
GLANZ, K.; RIMER, B. K.; VISWANATH, K. (Ed.). Health behavior: Theory, research, and practice. John Wiley & Sons, 2015. p. 30-51. Disponível em: https://books.google.com.br/books?hl=pt-BR&lr=&id=PhUWCgAAQBAJ&oi=fnd&pg=PR11&dq=Theory,+research,+and+practice+in+health+behavior.&ots=-erOfTEbHB&sig=7IIsGin_JjFEl7VIHNNydIbOwmc Acesso em: 10 ago. 2022.
HAMARI, J.; KOIVISTO, J.; SARSA, H. Does gamification work?--a literature review of empirical studies on gamification. In: 2014 47th Hawaii international conference on system sciences. Ieee, 2014. p. 3025-3034. Disponível em: https://ieeexplore.ieee.org/abstract/document/6758978/ Acesso em: 10 de agosto de 2022.
HERATH, T.; RAO, H. R. Protection motivation and deterrence: a framework for security policy compliance in organisations. European Journal of Information Systems, v. 18, n. 2, p. 106-125, 2009. Disponível em: https://www.tandfonline.com/doi/full/10.1057/ejis.2009.6 . Acesso em: 26 de abr. 2022.
HÖNE, K.; ELOFF, J. H. P. What makes an effective information security policy?. Network Security, v. 2002, n. 6, p. 14-16, 2002. Disponível em: https://www.sciencedirect.com/science/article/pii/S1353485802060117 . Acesso em: 2 ago. 2022.
HWANG, Inho et al. Security awareness: The first step in information security compliance behavior. Journal of Computer Information Systems, v. 61, n. 4, p. 345-356, 2021. Disponível em: https://doi.org/10.1080/08874417.2019.1650676 . Acesso em: 21 abr. 2022.
JALALI, M. S.; SIEGEL, M.; MADNICK, S. Decision-making and biases in cybersecurity capability development: Evidence from a simulation game experiment. The Journal of Strategic Information Systems, v. 28, n. 1, p. 66-82, 2019. Disponível em: https://www.sciencedirect.com/science/article/pii/S0963868717304353?via%3Dihub . Acesso em: 21 abr. 2022.
JEAN-PIERRE, J. J. User Awareness and Knowledge of Cybersecurity and the Impact of training in the Commonwealth of Dominica. 2021. Tese de Doutorado. Walden University. Disponível em: https://scholarworks.waldenu.edu/cgi/viewcontent.cgi?article=11861&context=dissertations . Acesso em: 12 abr. 2022.
KAHOOT! ASA; What is Kahoot!? , 2019 Disponível em: https://kahoot.com/what-is-kahoot/ Acesso em: 2 ago. 2022.
KAPP, K. M.; FARDO, M. L. The gamification of learning and instruction: game-based methods and strategies for training and education. San Francisco: Pfeiffer, 2012. CONJECTURA: filosofia e educação, v. 18, n. 1, p. 201-206, 2013. Disponível em: https://www.amazon.com.br/dp/B007XA3ME6/ref=dp-kindle-redirect?_encoding=UTF8&btkr=1 . Acesso em: 6 abr. 2022.
KRATH, J.; SCHÜRMANN, L.; VON KORFLESCH, H. F. O. Revealing the theoretical basis of gamification: A systematic review and analysis of theory in research on gamification, serious games and game-based learning. Computers in Human Behavior, v. 125, p. 106963, 2021. Disponível em: https://www.sciencedirect.com/science/article/pii/S0747563221002867 Acesso em: 10 ago. 2022.
MAJURI, J.; KOIVISTO, J.; HAMARI, J. Gamification of education and learning: A review of empirical literature. In: Proceedings of the 2nd international GamiFIN conference, GamiFIN 2018. CEUR-WS, 2018. Disponível em: https://trepo.tuni.fi/bitstream/handle/10024/104598/gamification_of_education_2018.pdf Acesso em: 10 ago. 2022.
MATIFIC - EDUCATIONAL MATHS GAMES; Pedagogia da Matific, 2022; Disponível em: https://www.matific.com/bra/pt-br/home/pedagogy/principles/ Acesso em: 2 ago. 2022.
MCCROHAN, K. F.; ENGEL, K.; HARVEY, J. W. Influence of awareness and training on cyber security. Journal of internet Commerce, v. 9, n. 1, p. 23-41, 2010. Disponível em: http://dx.doi.org/10.1080/15332861.2010.487415 . Acesso em: 26 de abril.
MORE, Josh. Measuring Psychological Variables Of Control In Information Security. Information Security. SANS, 2011. Disponível em: https://www.sans.org/white-papers/33594/ . Acesso em: 14 abr. 2022.
PELTIER, T. R. Implementing an information security awareness program. Inf. Secur. J. A Glob. Perspect., v. 14, n. 2, p. 37-49, 2005. Disponível em: https://www.tandfonline.com/doi/pdf/10.1201/1086/45241.14.2.20050501/88292.6 . Acesso em: 2 ago. 2022.
RHEE, H.-S.; RYU, Young U.; KIM, C.-T. Unrealistic optimism on information security management. Computers & Security, v. 31, n. 2, p. 221-232, 2012. Disponível em: https://www.sciencedirect.com/science/article/pii/S0167404811001441?via%3Dihub . Acesso em: 21 abr. 2022.
ROGERS, E. M. Diffusion of innovations. Simon and Schuster, 2010. Disponível em: https://teddykw2.files.wordpress.com/2012/07/everett-m-rogers-diffusion-of-innovations.pdf . Acesso em: 21 abr. 2022.
SAS, M. et al. NIST Special Publication 800-16. Information Technology Security Training Requirements: A Role-and Performance-Based Model. Gaithersburg, MD: US Department of Commerce, p. 800-16, 1998. Disponível em: https://csrc.nist.gov/publications/detail/sp/800-16/final . Acesso em: 21 abr. 2022.
SAS, Marlies et al. The impact of training sessions on physical security awareness: Measuring employees’ knowledge, attitude and self-reported behaviour. Safety science, v. 144, p. 105447, 2021. Disponível em: https://www.sciencedirect.com/science/article/abs/pii/S0925753521002915 . Acesso em: 26 de abr. 2022.
SHAW, Ruey Shiang et al. The impact of information richness on information security awareness training effectiveness. Computers & Education, v. 52, n. 1, p. 92-100, 2009. Disponível em: https://www.sciencedirect.com/science/article/abs/pii/S0360131508001012 . Acesso em: 6 abr. 2022.
WILSON, M.; HASH, J. SP 800-50. Building an Information Technology Security Awareness and Training Program. National Institute of Standards & Technology, Gaithersburg, MD: US Department of Commerce v. 800, n. 50, p. 1-39, 2003. https://csrc.nist.gov/publications/detail/sp/800-50/final . Acesso em: 18 abr. 2022.
ZICHERMANN, G.; CUNNINGHAM, C. Gamification by design: Implementing game mechanics in web and mobile apps. " O'Reilly Media, Inc.", 2011. Disponível em: https://books.google.com.br/books/about/Gamification_by_Design.html?id=Hw9X1miVMMwC&redir_esc=y . Acesso em: 28 abr. 2022.
ZWILLING, Moti et al. Cyber security awareness, knowledge and behavior: A comparative study. Journal of Computer Information Systems, v. 62, n. 1, p. 82-97, 2022. Disponível em: https://www.tandfonline.com/doi/full/10.1080/08874417.2020.1712269 . Acesso em: 6 maio. 2022.
Downloads
Publicado
Como Citar
Edição
Seção
Licença
Copyright (c) 2022 FatecSeg - Congresso de Segurança da Informação
Este trabalho está licenciado sob uma licença Creative Commons Attribution-NonCommercial 4.0 International License.
