CAPACITAR SIN ABURRIRSE:
Gamificación del entrenamiento

El mercado de la ciberseguridad continúa en crecimiento sostenido. Prácticamente todas las semanas surgen nuevos casos de fuga de datos (data leakage), empresas atacadas por ransomware, y nuevas TTPs (Tácticas, Técnicas y Procedimientos) que potencian en las organizaciones la necesidad de capacitar a su personal para estar preparadas contra eventos inesperados. El problema subyacente es que las nuevas situaciones nos llevan al terreno de lo impredecible, y allí las capacidades operativas pierden eficacia.

¿Cómo afrontar lo impredecible?

La respuesta a esto es sencilla, pero su aplicación no lo es. En pocas palabras, el truco es no hacer foco en predecir, sino en estar preparados. Análogamente, en vez de prepararnos para levantar una carga pesada algún día, entrenamos todos los músculos para levantar cualquier tipo de carga, cualquier día. Pero claro, prepararse para cosas que no conocemos suena incompatible con las tareas operativas de la tecnología y los negocios, que circulan en el terreno de lo conocido. Por esto, muchas muchas organizaciones en busca de la innovación constante se están orientando a realizar capacitaciones y entrenamientos en base a nuevas dinámicas para facilitarle a su personal enfrentar situaciones críticas donde una decisión puede afectar a la continuidad del negocio, o traer problemas mayores que no se habían contemplado. Esto aplica principalmente a los equipos de respuesta a incidentes (CSIRT) y de tecnología, pero también al personal no técnico que forma parte de las respuestas a distintos niveles (prensa, legales, comunicación, etc.).

¿Qué es la gamificación de entrenamientos?

La gamificación (del inglés gamification) o ludificación, es el uso de mecánicas de juegos en entornos que no lo son, con el objetivo practicar el pensamiento crítico y ponerse a prueba ante situaciones simuladas y controladas, lo que genera una mejor interacción entre las personas, y una mejor actitud, porque al fin y al cabo ¿a quién no le gusta jugar un poco? Sin embargo, esto no es tan simple como incluir dinámicas lúdicas; los estudios académicos indican que se pueden obtener mejores diseños a partir de más investigación científica, por lo que una aproximación liviana podría dejarnos más del lado del entretenimiento que del aprendizaje. Entre los usos principales de la gamificación en entornos de empresas y organizaciones, se encuentran la selección de personal, la capacitación y la gestión del desempeño.[1]

Así, se busca mantener la esencia del entorno de juego, generando un ambiente con menos estrés que ante una situación real, posibilitando pensar y/o accionar de una manera más natural y tranquila, en un ámbito psicológicamente seguro. Además, la evidencia demuestra que los empleados se sienten más motivados a capacitarse de esta forma que de la manera convencional, lo cual amerita ser analizado como forma de aumentar el conocimiento. Por otro lado, el hecho de aprender jugando desarrolla más fácilmente la “memoria muscular”, al fin y al cabo somos complejas máquinas de repetición. Esto nos permite prepararnos para responder mejor ante situaciones de riesgo o que requieran actuar de inmediato. Así, como en las artes marciales que se repite un movimiento hasta que se transforme en reacción automática, buscamos gastar las energías en las decisiones que no tienen que ver con lo que sí podemos entrenar.

Los beneficios de esta nueva forma de aprender son muchos, y es un ganar-ganar para ambas partes. Desde la perspectiva del empleado, se adquiere el conocimiento de una forma más entretenida y práctica. Desde el lado de la empresa, se disminuyen los incidentes y los tiempos de respuesta, y también mejora la predisposición de los empleados a capacitarse, sin la premisa de que habrá de ser una tarea aburrida y repetitiva.

Capacitación, ciberseguridad, y juegos

La ciberseguridad tiene en sí misma mucho de juego, ya que en esta industria existe la estructura estándar de “el gato y el ratón” en la que un bando ataca y otro se defiende, y esto facilita la creación de juegos basados en dinámicas naturales. Con esta premisa, en algunos ámbitos de la ciberseguridad la gamificación parece ser una opción que es, cuanto menos, bastante razonable. Y pese que al proponer entrenamientos gamificados los llamamos “ejercicios” para lograr una mejor aceptación en el mercado tradicional, en el fondo sabemos que incluye jugar.

Pero podemos ir un paso más allá de la gamificación, ya que no solo buscamos agregar dinámicas de juego a procesos conocidos, sino también construir nuevas dinámicas creadas desde el diseño para facilitar procesos de aprendizaje, en base a métodos lúdicos para darle un contexto más entretenido. Sobre esa línea se apoya probablemente el futuro de la capacitación (y por qué no de la educación) no solo en ciberseguridad.

En efecto, quizás el principal entorno en el que convergen el mundo de la capacitación, la ciberseguridad y los juegos, son los llamados “Ejercicios de tablero” (Tabletop Exercises, o TTX) que sirvieron para entrenar habilidades de estrategia militar durante siglos, y derivaron en los tradicionales juegos de mesa. Este tipo de ejercicios permite exponerse a situaciones simuladas mediante las cuales se practican las posibles respuestas y acciones más adecuadas para enfrentar problemas y situaciones, tanto conocidas como desconocidas e inesperadas. Esta forma de entrenamiento no está enfocada solamente a personal con conocimientos técnicos, sino también para cargos ejecutivos y managers de todos los niveles, incluyendo la alta dirección, orientados a la toma de decisiones. Todos pueden vivir esta experiencia. En efecto, las investigaciones sugieren que la formación utilizando Tabletop Exercises mejora los niveles de conciencia, comprensión y preparación de los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y la toma de decisiones estratégicas, permitiendo una mejor preparación para enfrentar incidentes reales.[2]

Si bien la temática lleva pocos años en desarrollo y tiene por delante mucho recorrido, el entrenamiento gamificado y las experiencias de aprendizaje basadas en el juego formarán parte central de los programas de capacitación para el personal de ciberseguridad en un futuro no muy lejano.