Nestačí školit jen zaměstnance a manažery.
A není školení jako školení.
🕒 6 min čtení
Každá organizace, která bere kybernetická rizika aspoň trochu vážně, by měla mít systém školení přizpůsobený různým skupinám zaměstnanců.
Každá z těchto skupin totiž potřebuje jiný typ školení. Nejde přitom jen o bezpečnostní osvětu ve smyslu phishingu, hesel a podezřelých e-mailů, ale také o znalost interních procesů, odpovědností, kontrolních mechanismů, používaných frameworků a pravidel, která se vztahují ke konkrétní roli.
Na různé skupiny zaměstnanců míří různé typy útoků a různé role také vytvářejí různé typy slabin. Ke vzdělání zaměstnanců a manažerů je proto třeba přistoupit systematicky. O tom, co by takové vzdělávání mělo v praxi obsahovat, jsem podrobněji psal v článku Jak na vzdělávání v oblasti informační a kybernetické bezpečnosti.
To, že školení nemá být stejné pro všechny, navíc není jen můj názor. např. DORA v čl. 13 odst. 6 výslovně říká, že programy zvyšování povědomí o bezpečnosti v oblasti IKT a školení o digitální provozní odolnosti se mají vztahovat na všechny zaměstnance i vedoucí pracovníky a musí mít úroveň složitosti úměrnou výkonu jejich funkcí.
Řekněme si to upřímně, jeden univerzální e-learning pro všechny není prostě dostačující. nikdy nebyl a ani nebude. Spousta organizací to však vůbec netuší. A svůj podíl na tom mají i firmy, které s jedním bezpečnostním školením objíždějí republiku a vytvářejí dojem, že jedna univerzální estráda stačí všem. Výsledkem ale není promyšlené vzdělávání podle rolí, nýbrž jen další utvrzení firmy v omylu, že jedno školení stačí.
Buď jak buď, takové školení, završené phishing testem a zavádějícím vyhodnocením, kdo kliknul a kdo správně odreportoval, bývá spíš jakýmsi compliance rituál než nástroj, který by něco reálně změnil. Jakmile je hlavním výstupem školení záznam o absolvování, nikoli změna chování, stává se z toho pouhé divadlo pro auditory.
Jistě, něco se udělalo. Jenže jak už jsem psal, human firewall má své limity a samotná osvěta ani opakované testování odolnou organizaci neudělají.
Školení podle rolí: kdo by měl co vědět?
Jakmile opustíte představu, že jeden e-learning vyřeší všechno, začne to být zajímavé. Najednou zjistíte, že každá role potřebuje něco úplně jiného. Ne něco trochu jiného, ale úplně jiného. A lze to uchopit např. takto:
| Cílová skupina | Zaměření školení | Příklady témat |
|---|---|---|
| Top management / představenstvo | Strategická úroveň, odpovědnost, governance | Role a odpovědnost za ICT rizika, schvalování strategie, krizové řízení, rozhodování o outsourcingu |
| Liniový management | Řízení týmů v souladu s bezpečnostními požadavky | Incident management, provozní kontinuita, kontrola nad dodavateli, prioritizace rizik |
| Všichni zaměstnanci (ne-IT) | Základní kybernetická hygiena a povědomí | Phishing, silná hesla, práce s e-mailem, klasifikace dat, hlášení incidentů |
| Vývojáři (Dev) | Bezpečný vývoj a testování | Secure coding, bezpečné knihovny, CI/CD pipeline, bezpečnostní testování, code review, interní vývojové standardy a povinné kontrolní kroky |
| Architekti (IT architektura) | Návrh odolné infrastruktury, segmentace, záloha | Zero trust, resilience design, síťová segmentace, disaster recovery, redundance, architektonické principy organizace |
| DevOps / CI/CD týmy | Automatizace bezpečnostních prvků v životním cyklu systému | Infrastructure as Code, automatizované skenování, bezpečný deployment, rollback scénáře, provozní a změnové procesy |
| IT administrátoři / správci sítí | Implementace a správa bezpečnostních technologií | Správa přístupů, segmentace sítí, firewally, monitoring, aktualizace, patch management, provozní postupy a eskalační pravidla |
| Incident Response tým / SOC | Detekce a reakce na incidenty | Incident handling, forenzní analýza, log management, spolupráce s CSIRT, komunikace během krize |
| Risk / compliance / audit | Hodnocení rizik, regulace, auditní stopa | ICT risk management, mapování kontrol, zajištění souladu s regulacemi, interní audity |
| Externí partneři a dodavatelé | Specifické požadavky dle přístupu k systémům | Základní bezpečnost, pravidla pro přístup, povinnosti v krizových situacích, školení dle SLA |
V menších organizacích se tyto role často překrývají. To ale na principu nic nemění. I tam má být obsah školení odvozen od vykonávané role, nikoli od toho, že je zrovna po ruce jedno univerzální školení, které se dá pustit úplně všem.
Jak na to v praxi?
Kybernetická bezpečnost je věcí celé firmy. A jednoznačnou odpovědnost nese management. Ideální proto je, když se na potřebě změny shodnou CEO, CISO i CHRO. V takové chvíli má organizace šanci opustit pohodlný model jednoho školení pro všechny a začít budovat systém vzdělávání, který skutečně odpovídá rolím, odpovědnostem a reálným rizikům. Co tedy můžete v této věci udělat:
1. Zmapujte role – začněte tím, že identifikujete, jaké typy rolí ve vaší organizaci pracují s ICT. Nestačí jen dělení na IT a ne-IT. To je asi stejně přesné jako dělit nemocnici na lékaře a „ostatní“.
2. Stanovte minimální znalosti – definujte, co má daná role minimálně znát. Pro architekta to bude resilience a architektonické principy, pro vývojáře bezpečný vývoj a povinné kontroly v pipeline, pro běžného uživatele phishing a hlášení incidentů. Obě skupiny potřebují školení, ale opravdu ne stejné.
3. Přizpůsobte obsah školení – každé školení by mělo být jiné podle úrovně, odbornosti a odpovědnosti. U některých rolí nepůjde jen o osvětu, ale i o vysvětlení interních procesů, bezpečnostních rámců, standardů, odpovědností a důvodů, proč se musí dodržovat. Jinak nevzniká systém vzdělávání, ale jen hromadná distribuce slidů s dobrým pocitem.
4. Zaznamenávejte a opakujte – pravidelnost a auditní stopa jsou klíčové. Školení není jednorázová aktivita. Tedy alespoň ne pro organizace, které berou kybernetickou odolnost jako roční administrativní cvičení a nic víc.
Poznámka: I když se DORA vztahuje primárně na finanční instituce, její princip je přenositelný i jinam. Obsah a úroveň školení mají odpovídat vykonávané roli, odpovědnosti a typu rizika.
Závěr
Pokud školíte jen běžné zaměstnance a management, utíká vám podstatná část rizika mezi prsty. Problém dnes často není v tom, že by organizace vůbec neškolily. Problém je v tom, koho školí, co školí a jak školí. Často plošně a zcela bez vazby na roli. Přitom školit podle rolí je základní předpoklad kybernetické odolnosti. A je nasnadě, že tímto směrem se bude ubírat školení v organizacích, které to myslí s bezpečností opravdu vážně.
LITERATURA
EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE. Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011. Úřední věstník Evropské unie, L 333, 27. 12. 2022, s. 1–79. ISSN 1977-0626. Online. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32022R2554. [cit. 2026-04-09].
Tohle není drobnost, ale systémový problém, který byste měl jako vlastník nebo CEO řešit. Detailněji se mu věnuji v knize "Jak proměnit kyberbezpečnost v konkurenční výhodu aneb Za hranicemi best practice a proč CEO selhávají".
Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.
Děkujeme!
ČERMÁK, Miroslav. Nestačí školit jen zaměstnance a manažery.
A není školení jako školení.. Online. Clever and Smart. 2026. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/nestaci-skolit-jen-zamestnance-a-manazery-a-neni-skoleni-jako-skoleni/. [cit. 2026-04-14].
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.