Zvyšovanie IT bezpečnostnej gramotnosti zamestnancov je plné mýtov a dohadov
Pridané: 19.2.2021 07:30:00 Počet zobrazení: 1572
19 Február 2021
Zvyšovanie bezpečnostného povedomia je témou, ktorá sa týka každéhu subjektu prevádzkujúceho informačný systém. Používatelia (zamestnanci) sú nositeľmi rizika a bez zvyšovania ich kompetencií je riadenie bezpečnosti problematické. Najmä ak u manažérov zodpovedných za danú oblasť prevláda rad mýtov, dohadov a nesprávnych hodnotení tohto procesu...

Niekoľko v praxi bežne stretávaných dohadov a mýtov týkajúcich sa firemných vzdelávacích aktivít zameraných na zvyšovanie bezpečnostnej gramotnosti non(IT) zamestnancov.
intuitívne chápanie IT bezpečnosti
je pomerne rozšírený mýtus, základné vedomosti je nutné vhodným spôsobom nadobudnúť - intiutívne chápanie bezpečnostných rizík nemá vrodené nik a keby aj mal, skladby rizík sa dynamicky menia - čo platilo včera, dnes už platiť nemusí.
viera v samoštúdium v mimopracovnom čase
príjemná predstava - chybičkou je že nefunguje, ľudia reálne nemajú čas a vo väčšine ani záujem oboznamovať sa podobnými témami v mimopracovnom čase
pritom je nutné brať aj do úvahy aj rad ďalších faktorov
- dostupnosť relevantných zdrojov informácií, ktoré má non(IT) zamestnanec k dispozícií
- potrebu zamestnávateľa odovzdávať informácie vo väzbe na interné procesy a bezpečnostné opatrenia
je to problém IŤákov
naučiť ľudí "chovať sa bezpečne pri používaní firemného IT" je výsostným problémom a úlohou IT oddelenia - jeden zo zásadných omylov - téma konštituovania obsahu a rovnako aj realizácia je témou ďaleko nad rámec úloh oddelenia IT
v neposlednom rade je nutné brať do úvahy aj rozsah a dosah kompetencií IT v problematike systematizovaného vzdelávania zamestnancov
náš správca IT to zvláda
predpoklad, že správca počítačovej siete, zodpovedná osoba či security manažér musí byť zásadne dobrý vzdelávač či tréner nemá pragmatický základ - môže byť expert vo svojej oblasti, to však neznamená, že dokáže svojich kolegov "naučiť"
druhou témou vychádzajúcou z praktických skúseností bezpečnostných manažérov sú interné väzby - v rámci kolektívu je prezentovanie "nepríjemných" informácií vnímané s nižšou mierou hodnovernosti a tým pádom nižším dopadom.
naši ľudia boli poučení ako pracovať s osobnými údajmi
poučenie OO (oprávnenej osoby) vo formáte podľa predchádzajúceho zákona a ochrane osobných údajov (122) nie je zvyšovaním bezpečnostného povedomia
spoliehame sa na inteligenciu zamestnancov, raz sme ich poučili, kontrolovať ich nemusíme
prax a skúsenosti poukazujú, že bez spätnej väzby (v istej miere aj represie) procesy nefungujú „poprosiť fakt nestačí"
nezamieňajme si prosím motiváciu s prehnanou toleranciou voči vyhýbaniu sa bezpečnostným opatreniam a ignorovaniu stavu kedy odprezentované požiadavky na dodržiavanie bezpečnostných opatrení nie sú akceptované.
porušenia v oblasti bezpečnosti sú často disciplinárnymi priestupkami v zmysle pracovného práva - pokiaľ sa im z tohto uhla nevenuje pozornosť vytvára sa pôda pre "neakceptáciu" opatrení.
v neposlednom rade je spätná väzba aj nástrojom pre "customizáciu" vzdelávacieho obsahu na ďalšie obdobia a práve vďaka rôznych formám môže zvyšovanie bezpečnostného povedomia korešpondovať s realitou v ktorej zamestnanci fungujú.
vzdelávať v podobných témach nemáme povinnosť
pomerne rozšírený omyl, zvyšovanie bezpečnostného povedomia rade firiem a organizácií vyplýva priamo z legislatívy
minimálne niekoľko dominantných normatív jasne stanovuje povinnosť
-
- nariadenie GDPR a zákon č.18/2018 Z.z. o ochrane osobných údajov
- zákon o kybernetickej bezpečnosti č. 69/2018 Z. z. a vyhláška 362 z 11.12.2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
- zákon č. 95/2019Z. z. o informačných technológiách vo verejnej správe, najmä jeho vyhláška 179 z 22.6.2020, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
- v neposlednom rade značnú úlohu v procesoch zvyšovania bezpečnostného povedomia u samospráv zohráva aj zákon č. 583/2008 Z. z. o prevencii kriminality a inej protispoločenskej činnosti a programové vyhlásenia vlády SR „Stratégia prevencie kriminality a inej protispoločenskej činnosti"
- a v neposlednom rade dôležitú úlohu zohrávajú aj technické bezpečnostné normy napr.ISO27001
Detailnejšie sme o problematike písali v článku Vzdelávanie zamestnancov v oblasti kybernetickej bezpečnosti je veľkou výzvou pre samosprávy alias aká je realita?
webináre a on-line riešenia nám postačujú
tieto formy sú vhodnou doplnkovou formou procesov zvyšovania bezpečnostného povedomia - nie plnohodnotnou náhradou prezenčných a ďalších foriem vzdelávacích aktivít a samozrejme priebežného testovania
... viac informácií o tejto problematike môžete získať aj na našich informatívnych webinároch konkrétne k vyššie uvedenej problematike určite odporúčame bezplatný webinár pre manažérov Ako vzdelávať zamestnancov v oblasti IT bezpečnosti
Jaroslav Oster, oster@infoconsult.sk