Jak na vzdělávání v oblasti informační a kybernetické bezpečnosti
Bezpečnostní osvěta (security awareness), trénink (training) a vzdělávání (education) představují tzv. vzdělávací kontinuum (learning continuum).
Ostatně takto to formuloval NIST ve své publikaci SP 800-16 Information Technology Security Training Requirements již v roce 1989.
Osvěta
Nejprve musí proběhnout bezpečnostní osvěta, která musí být cílena na všechny zaměstnance včetně managementu s tím, že budou všichni seznámeni s aktuální problematikou a základními pojmy v oblasti informační a kybernetické bezpečnosti, aby hovořili stejným jazykem, rozuměli si a chápali, proč se po nich požaduje určité chování.
Osvěta je zpravidla zaměřena na seznámení zaměstnanců s kybernetickými hrozbami a útoky, které na ně mohou být vedeny a dále pak s bezpečnostními zásadami a požadavky, které jsou uvedeny v bezpečnostní dokumentaci, a jejichž dodržování by mělo podstatným způsobem snížit bezpečnostní riziko.
Zaměstnanci by se měli dozvědět, proč je nezbytné zajistit bezpečnost v celém životním cyklu informace, tj. při přenosu, v úložišti a užití a jaká jsou základní bezpečnostní opatření nezbytná k zajištění důvěrnosti, integrity, dostupnosti a případně i neodmítnutelnosti, užitečnosti a vlastnictví, vizte Parkerian Hexad model.
Pro osvětu je typická jednosměrná komunikace, která zahrnuje sdělování informací prostřednictvím všech dostupných médií. Skrze e-maily jsou distribuovány odkazy na bezpečnostní zásady, na intranetu se zobrazují bannery vedoucí na rozhovory, podcasty, prezentace, videa, infografiku apod. Ve společných prostorách se pak objevují plakáty upozorňující na nějaký negativní jev nebo vybízející k určitému chování. Vyhodnocení úspěšnosti osvěty probíhá zpravidla formou testu, kdy se vybírá správná odpověď.
Trénink
Po osvětě, která je prerekvizitou a přináší odpověď na otázku co, by měl následovat trénink, který zaměstnancům umožňuje si osvojit požadované vzorce chování a přinese odpověď na otázku jak. Všichni tak budou mít možnost získané znalosti přetavit v dovednosti tím, že budou řešit vybrané problémy a učit se správně reagovat na situace, ke kterým v praxi dochází, tedy na bezpečnostní incidenty a kybernetické útoky, které mohou být vedeny na osobu, která vykonává nějakou roli nebo dokonce i několik rolí.
Nejčastěji se v českých organizacích trénuje rozpoznávání phishingu a reakce na něj. Což je logické, protože s phishingem se v rámci kybernetických útoků setkáváme vůbec nejčastěji. V menším počtu případů se pak testují i reakce na spear phishing, whaling, CEO fraudy a BEC.
Skoro vůbec se pak firmy nevěnují testování odolnosti zaměstnanců vůči SMShingu, vishingu, baitingu, piggybackingu/tailgatingu, pretextingu, quid pro quo útokům apod. Osvěta i trénink by měly probíhat kontinuálně, aby se ze zaměstnanců začátečníků stali středně pokročilí uživatelé a z těch pak pokročilí uživatelé, kteří si pak dále prohlubují své dovednosti.
Vzdělávání
Vzdělání, které je uváděno na samotném vrcholu této pomyslné pyramidy, může být jak formální, tak i neformální a mělo by přinést odpověď na otázku proč a celkový vhled a porozumění problematice informační a kybernetické bezpečnosti.
Odpovídajícím vzděláním by pak měli disponovat zaměstnanci a manažeři na vybraných pracovních pozicích. Formálního vzdělání lze dosáhnout na úrovni, základní, střední nebo vysoké školy v rámci vybraných studijních programů, kterou jsou u nás akreditovány MŠMT.
K neformálnímu vzdělávání pak dochází na pracovišti (on-the-job/on-site, interní vzdělávání) anebo mimo pracoviště (off-the-job/off-site, externí vzdělávání). Na pracovišti se nového kolegy ujímá mentor, který se mu věnuje a seznamuje jej s tím, jak se k bezpečnosti přistupuje v dané organizaci.
Mimo pracoviště se pak jedná o nejrůznější kurzy, které mohou být zakončené testem a certifikátem. Mimo learning continuum pak ještě stojí tzv. informální učení, ke kterému dochází v průběhu celého života a dochází k němu, aniž by si to člověk uvědomoval.
Závěr
Aby skutečně došlo k posílení kybernetické odolnosti organizace, je nezbytné v organizaci zavést efektivní vzdělávací program a na bezpečnostní osvětu navázat tréninkem a dalším vzděláváním.
Osvěta sice přináší výsledky již v krátkodobém horizontu, ale nestačí, aby proběhla jen jednou. Na zaměstnance je třeba působit soustavně po celou dobu trvání pracovního poměru.
Rovněž trénink, který přináší výsledky ve střednědobém horizontu, musí být pravidelný, protože se objevují nové hrozby a nové vektory útoku a zaměstnanci na ně musí být připraveni.
A konečně vzdělání, které přináší výsledky v dlouhodobém horizontu je pro udržení konkurenceschopnosti nezbytné, protože např. ten, kdo je v organizaci za sestavení implementaci programu odpovědný, musí program aktualizovat s ohledem na měnící se svět.
V příštím dílu našeho vzdělávacího kontinua se podíváme na neformální vzdělávání v oblasti informační a kybernetické bezpečnosti.
ČERMÁK, Miroslav, 2023. Jak na vzdělávání v oblasti informační a kybernetické bezpečnosti. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/jak-na-vzdelavani-v-oblasti-informacni-a-kyberneticke-bezpecnosti/. [citováno 07.12.2024].
Štítky: kybernetická bezpečnost, vzdělávání
K článku “Jak na vzdělávání v oblasti informační a kybernetické bezpečnosti” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.