Školenie zamestnancov v oblasti kybernetickej bezpečnosti
Pridané: 27.11.2024 12:54:32 Počet zobrazení: 78
27 November 2024
Značky
Úskalia vzdelávania kybernetickej bezpečnosti zamestnancov sú dnes reálne podceňované aj napriek tomu, že môžu viesť ku klamlivému pocitu "my sme urobili všetko". Mylné východisko, že sme dostatočne pripravili personál organizácie na zvládanie rizík je prvým krokom do očakávateľného problému.
Realita dnešných dní by sa v téme vzdelávanie zamestnancov dala zhrnúť do dvoch nosných myšlienok:
- v diskusiách o potrebe sofistikovaného riadenia bezpečnosti je potreba kvalifikovaného a systematického vzdelávania zamestnancov témou číslo 1,
- úroveň praktickej a správnej implementácie tohto nástroja v praxi neodpovedá bodu č.1
Áno je to tak, smutná realita. Interné i externé bezpečnostné audity neomylne identifikujú praktickú stránku zvyšovania bezpečnostného povedomia a odolnosti zamestnancov ako nedostatočne využívané opatrenia. Ale začnime úplne od začiatku.
Primárne úskalie – odpovede hľadajme v predpisoch
Tvrdenie, že nastupujúci zamestnanec je nezanedbateľným bezpečnostným rizikom asi nie je námet na veľkú diskusiu. A tu narážame na dva pomerne rozšírené javy:
- každý nastupujúci zamestnanec musí v súlade s platnou legislatívou prejsť základným zaškolením v oblasti bezpečnosti pri práci a ochrany zdravia, prípadne radom ďalších poučení,
- u špecializovaných profesií je pri nástupe požadované preukázanie splnenia zákonných požiadaviek obvykle potvrdzujúcich vykonanie cyklického preškolenia a preskúšania
Pri zamestnancoch, ktorí získavajú prístup k informačného systému a často citlivým dátam zamestnávateľa sa dnes u dominantnej časti subjektov v súvislosti s jeho základnými znalosťami súvisiacimi s informačnou a kybernetickou bezpečnosťou na vyššie uvedené body neberie ohľad. Primárne poučenie súvisiace s riadením kybernetickej bezpečnosti legislatíva nevyžaduje a často ani zamestnávateľ nevidí reálnu potrebu venovať tejto téme pozornosť pri vstupe do pracovného pomeru.
A ešte jedno riziko hodné zreteľa a zamyslenia. Z mojich skúseností sa v téme bezpečnostného povedomia v značnej miere ignoruje jedna skupina dočasných zamestnancov. Do tejto skupiny patria krátkodobé pomery ako sú stážisti či študenti na praxi (obvykle vybavenej po známosti).
Zhrňme si niekoľko „návykov" vo vzťahu k týmto krátkodobým kolegom.
- základné zaškolenie je minimalizované na úroveň zákonne nutného rozsahu BOZP,
- voľný pohyb na administratívnych pracoviskách s často podceňovanými základnými bezpečnostnými opatreniami,
- voľne dostupné dokumenty obsahujúce citlivé dáta (obchodné, osobné údaje) - priznajme princíp "čistého stola" je mnohých organizáciách čistou teóriou,
- neodhlasovanie z pracovných staníc počas neprítomnosti na pracovisku, prípadne prístup do systému bez nutnosti prihlasovania,
- prístup k pracovnému počítaču zamestnanca - v štýle "nech si surfuje"
- neznáma história a pozadie danej osoby,
- často sú na pracovisku len „tolerovanou osobou", ktorej nedokáže personál nadizajnovať pracovnú náplň na celú dobu,
- osobný mobilný telefón, tablet či notebook na firemnej wifi sa nepovažuje za otázku hodnú zamyslenia,
- a ďalšie
Prečo tak podceňujeme reálnu potrebu vzdelávania v oblasti informačnej a kybernetickej bezpečnosti?
Zjednodušene by sme mohli povedať, že od času, kedy som v roku 2021 v rámci príprav na série prednášok na niekoľko konferencií a webinárov zosumarizoval niekoľko základných skresľujúcich pohľadov z reálneho sveta žiadny zásadný posun nenastal. Čitateľ, ktorý sa začíta do pôvodného článku Zvyšovanie IT bezpečnostnej gramotnosti zamestnancov je plné mýtov a dohadov (infoconsult.sk) môže kriticky zhodnotiť realitu vo svojom prostredí, kde pracovne pôsobí.
Jedným z dominantných problémov vzdelávania dospelých, a to najmä pri vzdelávaní v zamestnaní, je degradácia tohto procesu na jednorazové aktivity obvykle vyvolané zmenou legislatívnych povinností alebo potrebou eskalácie interného bezpečnostného incidentu. Je logické, že každý subjekt má snahu napĺňať zákonné požiadavky kladené regulátorom, ale pokiaľ je toto jediný motivátor v princípe sa dostáva do slepej uličky. Tvorba obsahu vzdelávania tak často nereflektuje v plnom rozsahu (alebo vôbec) reálne požiadavky na riadenie bezpečnosti v konkrétnom prostredí (zamestnávateľa).
... ale o tom a rade iných tém o efektívnom a účinnom vzdelávaní v niektorom z ďalších blogov
Vzdelávajte o problematike podvodov aj svojich zamestnancov. Je to najúčinnejšia cesta ako môžete ochrániť svoje aktíva a rovnako im pomôcť ochrániť aj ich bezpečnosť. Viac informácií o možnostiach vzdelávania nájdete na https://www.infoconsult.sk/vzdelavanie