3 přístupy ve vzdělávání zaměstnanců v kyberbezpečnosti
Podle většiny výzkumů tvoří zaměstnanci největší riziko kybernetické bezpečnosti organizace.
Zodpovědné úřady i firmy se snaží s tímto jevem popasovat různými způsoby.
V případě menších organizací lze školení pro všechny zaměstnance vyřešit za jeden den, kdy vás proškolí odborná firma. U větších organizací se jedná o dlouhodobý proces, pro nějž se nabízí využití online kurzů.
— Kybez.cz
Základní znalosti a dovednosti pro všechny
Finančně a časově nejnáročnější metodou je vzdělávání všech zaměstnanců tak, aby dosáhli aspoň základní úrovně znalostí a dovedností v kybernetické bezpečnosti.
Všichni budou umět rozeznat nejčastější typy kyberútoků a vědět, jak postupovat, když se setkají s podezřelým chováním.
V případě menších organizací lze školení tohoto typu vyřešit za jeden den, kdy vás proškolí odborná firma. U větších organizací se jedná o dlouhodobý proces, pro nějž se nabízí využití online kurzů (např. pomocí nástroje GDPO).
Nicméně v dnešní době už spousta lidí zažila pokus o kyberútok či si nějakým prošla. Taktéž správně nastavená bezpečnostní pravidla a firewall spoustu infikovaných emailů odfiltrují.
Útočníci se dokáží dostat do organizace i jinými způsoby. V celkové kontextu se tak může jevit vzdělávání všech zaměstnanců jako zajímavá aktivita, která ovšem riziko prolomení události nesníží významnou měrou.
Vzdělávejme jen ICT oddělení
Druhý způsob představuje zlepšování schopností zaměstnanců ICT oddělení a dalších pracovníků starajících se o kybernetickou bezpečnost. Přeci jenom hlavní zodpovědnost za kybernetickou bezpečnost společnosti leží na bedrech ICT oddělení.
Proto by mělo nejvíce financí na vzdělávání směřovat hlavně na ICT, aby se jeho pracovníci co nejlépe orientovali v nových hrozbách, trendech a bezpečnostních řešeních. Tím pádem školíte pouze vybrané pracovníky. Což pravděpodobně nebude stát tolik času a peněz jako proškolení celé firmy.
Na druhou stranu tím naznačujete, že úroveň znalostí a dovedností ostatních zaměstnanců pro vás není příliš důležitá. Vytváříte tak velký tlak na ICT, které v případě nedostatku personálu, přidělených pravomocí či financí, nemusí situaci zcela zvládat.
Pouze testujme, učit se měli doma a ve škole
Některé ICT společnosti vůbec neprovádí systematické vzdělávaní v kybernetické bezpečnosti. Většina jejich zaměstnanců jsou ICT pracovníci, kteří disponují základními znalostmi a dovednostmi v kybernetické bezpečnosti již ze svého studia.
Ostatní (ne ICT) personál se v tomto případě setká pouze s krátkým bezpečnostním školením. Tyto firmy ovšem daleko více dbají na testování, a to zejména prostřednictvím cvičných phishingových emailů a podobných aktivit.
Firma následně sleduje, kolik zaměstnanců email otevřelo, kliklo na odkaz, stáhlo přílohu nebo vyplnilo nějaká data a jak s emailem následně naložili. Veškerá data jsou dále zpracovávána a vyhodnocována.
Problémovým oddělením a zaměstnancům se věnuje zvláštní péče. Organizace zlepšuje úroveň znalostí a dovednostní personálu na základně svých chyb. Nemusí investovat nic navíc a učit zaměstnance věci, které v praxi nevyužijí.
Záleží na vás, jaký přístup (nebo jejich kombinaci) pro vzdělávání zaměstnanců v kybernetické bezpečnosti zvolíte. Pokud byste si přáli s čímkoliv poradit, neváhejte se na nás obrátit.
Nebo si vyberte si z nabídky školení a kurzů.
Zdroj: