我听说过的每个程序（而且只有少数）都是本土开发的，结果好坏参半，主要是由于程序的设计。我本人正在开发一个计划，将游戏化融入正在进行的网络钓鱼意识培训中。我希望利用我在这一领域的成功扩展到用户安全培训的其他领域，但这种方法是非常新的。

我所做的一项重大修改是删除所有对“游戏化”的引用，因为它会引起混淆。相反，我使用术语“主动反馈指标”和“比较指标”，并希望我听起来不会太老套（“改变范式”等等......）。

我的设计目标是：

• 行为修改而不是知识转移
• 培训/互动时间短
• 用户成功后难度增加的培训
• 主动学习而不是被动学习
• 交互之间的短时间
• 可以与同行共享的简单“评分”（又名“即时主动反馈”）

游戏化的一个意想不到的好处是，它可以引导用户进入比仅通过被动学习更复杂的材料。诱使用户处理可选材料以获得他们的分数/奖励/成就/吹牛的权利/积极的反馈。

根据我的经验，我认为游戏化可以用来填补传统安全培训的空白，因为最终我们不希望用户只是“知道”他们应该做什么，而是“做”他们应该做的事情，即使他们并不完全知道为什么（尽管知识本身是有益的）。这意味着我们需要关注的是行为修改，而游戏化特别适合此目的。

我不时进行渗透测试，并在一家金融公司与他们的架构师等开会时，向我传达了他们的信息安全“大师”已经加入并尝试做类似的事情。结果很可怕。有人告诉我，许多人被这个人传达安全和风险的方式冒犯了。例如：他用纸板剪下拿着枪的人，上面写着：“这个罪犯想要你的密码，等等。”

企业在做生意是为了赚钱。无论是定性的还是定量的，安全性都没有切实的投资回报率，也没有任何人提供统计数据 (AV*EF=SLE)。可以提出支持和反对的论据，墨菲定律将胜过所有论据。话虽如此，公司在为游戏花费有形资源方面有什么好处。

现在，从某种意义上回答了这个问题，我推断这是一个针对整个安全策略和程序的问题。“hacme bank”评论可能适用于基于安全的领域，它可能有助于说明程序员和 Web 开发人员的风险，但对于普通人（接待员、客户经理）来说，他们就像头灯中的鹿（困惑）。

像这样的程序会花费（工时，花在游戏之外的时间等），所以除非可以证明董事会成员（在一家大公司），资深人士（首席执行官，首席财务官等），它可以以某种方式赚钱，我认为这不会成为一种常态。虽然你可以向 CEO、COO、CFO 推销：“它可以省钱”，但他们可能会寻找一种“技术”解决方案（防火墙、电子邮件代理等），这比说 N 数量更具成本效益一场比赛损失的工时。

算一算：

Big Corp (10,000 employees)
Security Game (1/2 hour of time)
Game Plays (once per quarter)
Employee Salary $7.25

如果每个人都获得最低工资，那么每次游戏的工资成本将是每季度 36,250.00 美元，不包括设置成本、任何服务器、由于有人玩游戏而造成的潜在业务损失等。按照这个速度，让人们正常了解情况（每季度一次），仅工资就需要 145,000.00 美元。（7.25 [薪水] * 10,000 [员工人数] / 2 [半小时时间] * 4 [每年次数]） CEO/CFO/CTO 将立即寻找解决此问题的技术。例如，用于检测网络钓鱼的电子邮件代理服务器可能需要 30,000.00 美元，一封快速电子邮件无需任何费用。将“游戏”带入环境并没有太大的经济意义。生意就是这样，关于赚钱。