Zvyšovanie IT bezpečnostnej gramotnosti zamestnancov je plné mýtov a dohadov
Pridané: 14.9.2024 07:30:00 Počet zobrazení: 2161
14 September 2024
...aktualizovali sme jeden z najčítanejších článkov nášho blogu v téme, ktorá patrí k asi najviac diskutovaným v kuloároch konferencií a vzdelávacích aktivít. Zvyšovanie bezpečnostného povedomia je témou, ktorá sa týka každéhu subjektu prevádzkujúceho informačný systém. Používatelia (zamestnanci) sú nositeľmi rizika a bez zvyšovania ich kompetencií je riadenie bezpečnosti problematické. Najmä ak u manažérov zodpovedných za danú oblasť prevláda rad mýtov, dohadov a nesprávnych hodnotení tohto procesu...
Niekoľko v praxi bežne stretávaných dohadov a mýtov týkajúcich sa firemných vzdelávacích aktivít zameraných na zvyšovanie bezpečnostnej gramotnosti non(IT) zamestnancov. Niektoré z nich už pri prvom prečítaní a zamyslení sa vyvolávajú pochybnosti.
Intuitívne chápanie IT bezpečnosti
Pomerne rozšírený mýtus. Tento pohľad popiera elementárny fakt - základné vedomosti je nutné vhodným spôsobom nadobudnúť, ani abecedu sme sa neučili svojpomocne. Intiutívne chápanie bezpečnostných rizík nemá vrodené nik a keby aj mal, skladby rizík sa dynamicky menia - čo platilo včera, dnes už platiť nemusí.
Viera v samoštúdium v mimopracovnom čase
Príjemná predstava, ale chybičkou je, že v reálnom živote nefunguje. Ľudia reálne nemajú čas a vo väčšine ani záujem oboznamovať sa podobnými témami v mimopracovnom čase
Pritom je nutné brať aj do úvahy aj pár ďalších faktorov
- dostupnosť relevantných zdrojov informácií, ktoré má non(IT) zamestnanec k dispozícií - bežný zamestnanec ťažko môže posúdiť relevantnosť zdroja a tak delimitovať požiadavku v štýle "nájdi - naštuduj" je úplne kontraproduktívny krok
- potrebu zamestnávateľa odovzdávať informácie aj vo väzbe na interné procesy a bezpečnostné opatrenia
- a veľmi dôležitý aspekt vzdelávania - spätná väzba - o úrovni znalostí zamestnancov, o zaujímavosti a účinnosti vzdelávacích formátoch, ale aj o dodržiavaní interných nariadení
Je to problém IŤákov
Naučiť ľudí "chovať sa bezpečne pri používaní firemného IT" je výsostným problémom a úlohou IT oddelenia - jeden zo zásadných omylov - téma konštituovania obsahu a rovnako aj realizácia je témou ďaleko nad rámec úloh oddelenia IT.
Túto otázku manažéri mnohých firiem a organizácií, zdvorilo obchádzajú z dôvodu personálnych kapacít. Manažment bezpečnosti či z pohľadu zákonných povinností, či z pohľadu organizačného vrátane organizácie a realizácie vzdelávania zamestancov patrí do rúk na to určeného manažéra (DPO, CISO).
V neposlednom rade je nutné brať do úvahy aj rozsah a dosah kompetencií IT v problematike systematizovaného vzdelávania zamestnancov. Tento proces totiž častokrát spadá ako koncepčný proces do kompetencie HR a preto ho delimitovať výsostne na IT oddelenie býva nesprávnym rozhodnutím.
Náš správca IT to zvláda
Predpoklad, že správca počítačovej siete, zodpovedná osoba či security manažér musí byť zásadne dobrý vzdelávač či tréner nemá pragmatický základ - môže byť expert vo svojej oblasti, to však neznamená, že dokáže svojich kolegov "naučiť"
Druhou témou vychádzajúcou z praktických skúseností bezpečnostných manažérov sú interné väzby - v rámci kolektívu je prezentovanie "nepríjemných" informácií vnímané s nižšou mierou hodnovernosti a tým pádom nižším dopadom.
Naši ľudia boli poučení ako pracovať s osobnými údajmi
Poučenie OO (oprávnenej osoby) vo formáte podľa predchádzajúceho zákona a ochrane osobných údajov (122) nie je zvyšovaním bezpečnostného povedomia. Pokiaľ proces vzdelávania nereflektuje vývoj legislatívy, rizík, interných predpisov a v neposlednom rade aj vlastných bezpečnostných incidentov neplní účel.
Súčasný vývoj vzdelávania dnes vyžaduje stanovenie jednoznačnej a komplexnej stratégie vzdelávania, ktorá v rámci firmy/organizácie nastaví jasné pravidlá pre fungujúci proces vzdelávania v témach bezpečnosti.
Spoliehame sa na inteligenciu zamestnancov, raz sme ich poučili, kontrolovať ich nemusíme
Prax a skúsenosti poukazujú, že bez spätnej väzby (v istej miere aj represie) procesy nefungujú „poprosiť fakt nestačí"
Nezamieňajme si prosím motiváciu s prehnanou toleranciou voči vyhýbaniu sa bezpečnostným opatreniam a ignorovaniu stavu kedy odprezentované požiadavky na dodržiavanie bezpečnostných opatrení nie sú akceptované.
Porušenia v oblasti bezpečnosti sú často disciplinárnymi priestupkami v zmysle pracovného práva - pokiaľ sa im z tohto uhla nevenuje pozornosť vytvára sa pôda pre "neakceptáciu" opatrení.
V neposlednom rade je spätná väzba aj nástrojom pre "customizáciu" vzdelávacieho obsahu na ďalšie obdobia a práve vďaka rôznych formám môže zvyšovanie bezpečnostného povedomia korešpondovať s realitou v ktorej zamestnanci fungujú.
A tu je osožné uvedomiť si ešte jeden benefit, ktorý zamestnancovi môže prinášať firemné vzdelávanie bezpečnosti. Môže zvyšovať jeho znalosti pre riešenie otázok bezpečnosti jeho rodiny. Ak je správne obsahovo nastavené a zrealizované poskytne zamestnancovi vedomostnú výbavu pomocou ktorej dokáže pomáhať zvyšovať on-line bezpečnosť svojich detí a seniorov.
Povýšenie obsahu "klasického" firemného vzdelávania o takýto benefit dokáže zvýšiť jeho účinnosť a atraktivitu a to v miere, ktorú často docení zamestnávateľ až v okamihu prvej skúsenosti. Dokáže dosiahnuť efekt, kedy sa zamestanci sami, iniciatívne zaujímajú o následné vzdelávania a vyvíjajú nátlak na zamestnávateľa.
Viac k téme zamestanec-rodič v článku Deti, online riziká, prevencia a rodičia a v ďalších častiach pripravovanej série článkov.
Vzdelávať v podobných témach nemáme povinnosť
Pomerne rozšírený a zásadný omyl, zvyšovanie bezpečnostného povedomia rade firiem a organizácií vyplýva priamo z legislatívy
Minimálne niekoľko dominantných normatív jasne stanovuje povinnosti vo vzdelávaní:
-
- nariadenie GDPR a zákon č.18/2018 Z.z. o ochrane osobných údajov
- zákon o kybernetickej bezpečnosti č. 69/2018 Z. z. a vyhláška 362 z 11.12.2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
- zákon č. 95/2019Z. z. o informačných technológiách vo verejnej správe, ktorý okrem iných stanovuje povinnú frekvenciu vzdelávania v oblasti informačnej bezpečnosti,
- v neposlednom rade značnú úlohu v procesoch zvyšovania bezpečnostného povedomia u samospráv zohráva aj zákon č. 583/2008 Z. z. o prevencii kriminality a inej protispoločenskej činnosti a programové vyhlásenia vlády SR „Stratégia prevencie kriminality a inej protispoločenskej činnosti"
- a v neposlednom rade dôležitú úlohu zohrávajú aj technické bezpečnostné normy napr.ISO27001
Detailnejšie sme o problematike písali v článku Vzdelávanie zamestnancov v oblasti kybernetickej bezpečnosti je veľkou výzvou pre samosprávy alias aká je realita?
Webináre a on-line riešenia nám postačujú
Tieto formy sú vhodnou doplnkovou formou procesov zvyšovania bezpečnostného povedomia - nie plnohodnotnou náhradou prezenčných a ďalších foriem vzdelávacích aktivít a samozrejme priebežného testovania.
Ako sa vysporiadať s témou vzdelávania zamestnancov v otázkach informačnej a kybernetickej kriminality, čo všetko je možné pre zvyšovanie kompetencií zamestnancov urobiť nájdete na stránke VZDELÁVANIE IT SECURITY.