Mensen houden van spelletjes, zoals bijvoorbeeld Wordfeud of Candy Crush. Deze hang naar spel en competitie heeft ook zijn intrede gedaan in het bedrijfsleven. Serious games en gamification worden steeds vaker gebruikt als speelse tool om cybersecurity awareness te creëren bij medewerkers.
Mindgame is in 2005 gestart met de ontwikkeling van maatwerk serious games voor in eerste instantie banken, verzekeraars en farmaceutische bedrijven. Deze spellen worden ingezet voor verandertrajecten, risk-awareness en trainingsdoeleinden. In de afgelopen jaren zijn meer dan 350 games geproduceerd voor een grote diversiteit van opdrachtgevers.
Vinger aan de pols
In 2017 heeft Mindgame de transitie ingezet van een ontwikkelaar van klantgebonden maatwerkprojecten naar een partij die als vaste partner bedrijven op continue basis helpt om hun risico awareness in kaart te brengen en structureel te verbeteren middels gamification. Met het door Mindgame ontwikkelde Are you Secure (AYS), kan een klant voor de gehele organisatie de vinger aan de pols houden.
Van spelletjesmaker naar eigenaar van Mindgame
Gerard Mulder is van huis uit bioloog en heeft een grote voorliefde voor het maken van spellen. Daarom begon hij zijn carrière bij spellenfabrikant Jumbo. Vanaf 2005 maakte hij als freelancer spellen voor musea en onderwijsinstellingen. Na de financiële crisis in 2009 stapte Mulder de wereld van Mindgame binnen, het bedrijf waar hij nu eigenaar van is.
Verhoging risico awareness middels gamification
“Cybersecurity is meestal niet het primaire proces voor bedrijven”, zegt hij. “Behalve als we kijken naar bijvoorbeeld banken. Vaak denken mensen in bedrijven: ´Cybersecurity, dat is toch iets van de IT-afdeling?´. Maar overal loert het gevaar dat individuen fouten maken. Tegenwoordig moeten we op elk moment overal bij kunnen om het werk te doen. Anderen kunnen ´meekijken´, een wachtwoord achterhalen, et cetera. Tegelijkertijd dienen bedrijven transparant te zijn; inzage te geven over wat ze doen. Die combinatie zorgt ervoor dat er risico´s ontstaan, waardoor de cybersecurity in gevaar komt.
Uiteindelijk is alles mensenwerk
De risico’s zijn in te perken met technische foefjes en afspraken over procedures, maar uiteindelijk is alles mensenwerk. Het is belangrijk, dat medewerkers optimaal hun verantwoordelijkheid nemen. Hun gedrag aanpassen. Mindgame helpt bedrijven hiermee middels gamification.”
> Gerelateerd: Cybergame ontwikkeld voor cyberawareness

Gerard Mulder: “Deze ´strategie´ werkt heel anders dan wanneer er een schot hagel met tien gouden regels door de organisatie wordt geschoten.”
Probleem zichtbaar maken
Gamification voor cybersecurity is gebaseerd op een vijfstappenmodel voor gedragsverandering (awareness, attitude, kennis, vaardigheid, ambassadeurschap) met op elk niveau de optimale balans voor specifieke spelmechanismen. “We moeten eerst mensen laten zien dat er echt een probleem is op het gebied van cybersecurity”, legt Mulder uit.
Verantwoordelijkheid nemen
“De tweede stap is, dat er niet alleen een probleem is, maar dat hij/zij een aandeel erin heeft. Dit noemen we attitude. Zolang mensen dit niet vinden, kunnen we ze niets leren. Ook geen ander gedrag. Waar we ons dus op richten met gamification is het gevoel van verantwoordelijkheid. Dat maakt mensen ontvankelijk voor informatie; van regels tot protocollen die er zijn (kennisniveau).
In de praktijk brengen en eigenaarschap toewijzen
Daarna komen we uit op het in de praktijk brengen van wat ze gehoord en geleerd hebben (vaardigheidsniveau). En uiteindelijk is het belangrijk om op verschillende plaatsen binnen de organisatie ambassadeurs te creëren (eigenaarschap).”
De manager is teamcaptain in het spel
Hoe werkt de ´speeltuin´ van gamification? Gerard Mulder: ¨We brengen eerst het bedrijf in kaart: van divisiemanagers tot afdelingsmanagers en teams. Deze structuur kopiëren we in het online spel. De manager van een team is ook de teamcaptain. Hij krijgt via een dashboard zicht op welke fouten er gemaakt worden in het team en hoe andere teams het doen in het spel. Het eerste wat we willen bereiken, is mensen (teams) aan het spelen krijgen. Als een captain ziet dat in zijn team slechts 30 procent meedoet aan het spel, dan is dit een reden om met zijn team in overleg te gaan.
Vijftien vragen moeten binnen twee weken goed beantwoord worden
Het spelen zelf betreft vijftien quizvragen die binnen twee weken door elke medewerker van de verschillende teams beantwoord moeten worden. Alle vijftien antwoorden moeten goed zijn, om klaar te zijn met het spel. Het is mogelijk drie digitale hulplijnen in te schakelen. Wordt een vraag fout beantwoord, dan komt deze net zo vaak terug totdat wel het goede antwoord gegeven is. Een voorbeeldvraag is ´Wat is het beste wachtwoord?´. Medewerkers kunnen kiezen uit vier antwoorden. Na de keuze volgt de feedback met de reden waarom het antwoord wel of niet goed is.¨
De kracht van het spel zit in de herhaling
Het spel kan thuis of op het werk gespeeld worden, vanaf tablet, pc of telefoon. In totaal duurt het slechts 10 minuten. Maar – en hierin zit de kracht – het spel wordt twee tot zes keer per jaar herhaald met net iets andere vragen.
Vragen gekoppeld aan belangrijkste risico’s
Mulder: “De vragen zijn gelabeld aan de belangrijkste risico’s voor de organisatie. Op deze manier bouwt het bedrijf een voetprint op van de risico’s over de tijd per afdeling van het specifieke onderwerp. Het bedrijf weet waar en in welke clusters ze moeten bijsturen op onderwerp X, Y of Z. Vervolgens kan het deze clusters gericht bijscholen ´in een klasje´, zelf of met een deskundige nadere uitleg geven over bijvoorbeeld thema X. Dat werkt. Mensen weten dat de resultaten van het spel op intranet staan. Dus staan ze open voor nadere informatie over in ons voorbeeld thema X, waarop niet zo goed gescoord is. Deze ´strategie´ werkt heel anders dan wanneer er een schot hagel met tien gouden regels door de organisatie wordt geschoten. De realiteit verandert te snel, niemand voelt zich verantwoordelijk er wat mee te doen. Het gaat niet over hem of haar.¨
Het is geen eenmalige ingreep, maar een doorlopende inspanning
Incidentmeldingen schieten vaak omhoog
Is aan het einde van een cyclus van zes spellen er sprake van gedragsverandering ten opzichte van cybersecurity? Gerard Mulder: “Zeker. Ook verandering van het besef dat de medewerker een verantwoordelijkheid heeft, is gedragsverandering. Of het zich vertaalt in andere acties? De incidentmeldingen schieten vaak omhoog na het spelen van deze games. Ook zien we een verschil in de mate waarop wel of niet op phishing mails geklikt wordt. Maar zoals gezegd, de spellen moet je regelmatig blijven herhalen want anders vervallen mensen te snel weer in hun oude gedrag. Het is geen eenmalige ingreep, maar een doorlopende inspanning. We moeten blijven spelen om waar nodig bij te kunnen sturen.”
Betty Rombout is freelance journalist