Resumen
El proyecto que hemos venido desarrollando, describe como la gamificación apoya los procesos de formación y sensibilización de ciberseguridad en las instituciones y empresas de Colombia y Latinoamérica, generando una metodología que denominamos “Ciberseguridad Gamificada”. Hemos realizado conferencias y talleres donde a través del juego transmitimos conocimiento y evaluamos su apropiación en los participantes. Los resultados obtenidos indican que nuestra metodología ha sido exitosa y los datos encontrados nos permiten comprobar la efectividad y eficiencia de la gamificación en el proceso de concientización, parte de la solución para mitigar las principales fuentes de incidentes y obstáculos de seguridad de la información.
I. Materiales y Métodos
Existe una problemática muy delicada que enfrenta el mundo actualmente, relacionada con los incidentes de seguridad de la información que se presentan, afectando aspectos operativos, legales, de imagen y financieros de las organizaciones (ver Gráfica 1 extracto de la XXIII Encuesta Nacional de Seguridad Informática [1]). Este aspecto financiero es uno de los que más incide corporativamente cuando de impacto se habla. La cifra para Colombia en el 2023 alcanzó los USD 3,500 millones por incidentes causados por errores humanos.
Si detallamos aún más los resultados de la encuesta, los principales tipos de incidentes que se presentan son: errores humanos, phishing y acciones de ingeniería social, según se refleja en la XX Encuesta Nacional de Seguridad Informática [2] dónde en la Gráfica 2 que corresponde a un extracto de los tipos de incidentes más frecuentes y su variación con el año anterior, se asemeja al top 3 de los identificados en la Gráfica 3 con un lapso de 5 años entre estas 2 encuestas.
Estos tipos de ataques tienen un factor común: el ser humano. Somos nosotros quienes enfrentamos ese primer contacto con la ciberdelincuencia y por ende somos quienes podemos ejercer una defensa inicial ante esos ataques. La mejor forma de hacerlo es mediante la educación y formación de cultura de seguridad de la información. Esta última se ha convertido en la gran ausente y por ello, lidera el primer lugar en obstáculos para llegar a lograr niveles adecuados de seguridad de información en las empresas según se muestra en la gráfica 4, extraída de la XXIII Encuesta Nacional de Seguridad Informática [1].
Para abordar la solución a esta problemática desde el factor humano, hemos diseñado varias herramientas usando gamificación, denominando a este método “Ciberseguridad gamificada”, como una corriente de formación para crear ambientes y experiencias de aprendizaje que a través del juego permiten un acercamiento a los temas técnicos y de gestión de seguridad de la información.
La primera herramienta dentro de nuestro portafolio es el Taller del Huevo. Su objetivo es capacitar a los participantes con habilidades prácticas de gestión de riesgos. El juego contiene 2 tipos de tarjetas, las azules corresponden a las actividades y las amarillas a los riesgos. El juego se enmarca en el contexto de freír un huevo buscando que el jugador asocie los riesgos y controles y luego pueda abstraer estas habilidades a un contexto profesional.
Otra herramienta que diseñamos junto con el equipo del semillero de investigación de seguridad informática UQBAR de la Universidad Nacional de Colombia Sede Bogotá, es “Ctrl+Run”, una Carrera de Observación donde los participantes se embarcan en una serie de pruebas por estaciones, cada una diseñada para desafiar su conocimiento y habilidades en ciberseguridad. Siguiendo pistas y resolviendo retos lúdicos, los equipos ponen a prueba su capacidad de observación, agilidad mental y trabajo cooperativo. Desde descifrar códigos hasta identificar amenazas de phishing, cada estación proporcionará una oportunidad para aprender de manera divertida fortaleciendo los conceptos claves. La referencia [3] muestra un video descriptivo de la carrera.
Reto Seguro es un concurso de preguntas de ciberseguridad, con opción múltiple de respuesta y límite de tiempo. El juego consta de 3 momentos. El primero tamiza conocimientos iniciales, en el segundo se desarrolla un taller con una temática y el tercero evalúa los avances alcanzados luego del taller. A continuación presentamos algunas experiencias donde se demuestra la efectividad del uso de esta última herramienta.
II. Resultados y Discusión
Para el juego de Reto Seguro presentamos las gráficas comparativas de estos momentos iniciales y finales. De las parejas de Gráficas 5-6 y 7-8 podemos inferir el incremento del puntaje promedio (en más de 300 puntos), de la distribución de puntaje y del número de preguntas correctas. Lo que comprueba la efectividad del uso del juego en procesos de formación y concientización que se han realizado en instituciones como: Ministerio de Tecnologías de la Información y las Telecomunicaciones MINTIC, Departamento Administrativo Nacional de Estadística DANE, Servicio Nacional de Aprendizaje SENA, Fiscalía General de la Nación y en empresas de varios sectores y tamaños.
Con los Talleres de Ingeniería social hemos visto como las personas de diversas áreas y sectores, hacen gala de su talento artístico para poner en escena los efectos de los principales ataques, generando verdaderas obras de arte. La referencia [4] muestra un video de inducción al taller. La referencia [5] muestra un video de opinión del taller.
El Taller del Huevo en su versión virtual, ha tenido una inmensa acogida en el público de países como Chile, México, Argentina. Lo han jugado profesionales de varias ramas Ciencias Humanas, Ingeniería, Artes, generando una conciencia del riesgo en un nivel muy alto. Permitiendo de manera intuitiva que las personas aprendan los conceptos de riesgos y controles de forma natural. La referencia [6] muestra un video de opinión y resultados del taller.
III. Conclusiones
Nuestra metodología “Ciberseguridad Gamificada” garantiza los resultados de los esfuerzos hechos en concientización y formación, generando un sentido de pertenencia hacia las organizaciones mediante su práctica, que a pesar de ser un tema vital, aún no se posiciona en el lugar que requiere en las grandes corporaciones.
Es un área por explorar, especialmente porque resalta la esencia de lo humano y desafía la creencia de que todo está siendo reemplazado por la Inteligencia Artificial, tecnologías donde las nuevas generaciones se sumergen de forma incremental y probablemente esto, motive su mayor acogida.
Agradecimiento
A los colegas de APSIC Asociación Colombiana de Profesionales de Seguridad de la Información y de otras comunidades que han participado de los ejercicios de gamificación invirtiendo en nuevas formas de generar cultura de seguridad nacional e internacionalmente.
A ConCienciaTIC, la comunidad que ha trabajado por la concientización en seguridad de la información desde varios rincones del país y fuera de él.
A Andrés Almanza, Jeimy Cano y ACIS por liderar y gestionar las Encuestas Nacional y Latinoamericana de Seguridad Informática que generan un insumo importante para medir cómo estamos en materia de seguridad de la información y ciberseguridad.
A Germán Realpe por ser coequipero y promotor de innovación en las Mipymes.
A Dios y mi familia, especialmente, por el amor, apoyo y orientación en estos años de emprendimiento profesional y personal.
Referencias
- [1] XXIII Encuesta Nacional de Seguridad Informática. Asociación Colombiana de Informática Sistemas y Tecnologías Afines ACIS. Accedido: 22 de abril de 2024. [En linea]. Disponible en: https://sistemas.acis.org.co/index.php/sistemas/article/download/Investigaci%C3%B3n%20169/199
- [2] XX Encuesta Nacional de Seguridad Informática. Asociación Colombiana de Informática Sistemas y Tecnologías Afines ACIS. Accedido: 22 de abril de 2024. [En linea]. Disponible en: https://sistemas.acis.org.co/index.php/sistemas/issue/view/14/11
- [3] Carrera de Observación Seguridad de Información UNAL 4S SOLUCIONES. Accedido: 29 de abril de 2024. [En linea]. Disponible en: https://youtu.be/OF1_MZd0QL8
- [4] Taller de Ingeniería Social 4S SOLUCIONES. Accedido: 29 de abril de 2024. [En linea]. Disponible en: https://www.youtube.com/watch?v=hPRNA0m8gp8
- [5] Opinión Taller de Ingeniería Social Start up Colombia 4S SOLUCIONES. Accedido: 30 de abril de 2024. [En linea]. Disponible en: https://www.youtube.com/shorts/_95DmWVBP8w
- [6] Opinión Taller del Huevo Banco Chile 4S SOLUCIONES. Accedido: 30 de abril de 2024. [En linea]. Disponible en: https://www.youtube.com/watch?v=-KzG3eMWC1s