Späť

Zvyšovanie IT bezpečnostnej gramotnosti zamestnancov je plné mýtov a dohadov

Pridané: 19.2.2021 07:30:00 Počet zobrazení: 1270

19 Február 2021

Zvyšovanie bezpečnostného povedomia je témou, ktorá sa týka každéhu subjektu prevádzkujúceho informačný systém. Používatelia (zamestnanci) sú nositeľmi rizika a bez zvyšovania ich kompetencií je riadenie bezpečnosti problematické. Najmä ak u manažérov zodpovedných za danú oblasť prevláda rad mýtov, dohadov a nesprávnych hodnotení tohto procesu...

Zvyšovanie IT bezpečnostnej gramotnosti zamestnancov je plné mýtov a dohadov

 

Niekoľko v praxi bežne stretávaných dohadov a mýtov týkajúcich sa firemných vzdelávacích aktivít zameraných na zvyšovanie bezpečnostnej gramotnosti non(IT) zamestnancov.

 

intuitívne chápanie IT bezpečnosti

je pomerne rozšírený mýtus, základné vedomosti je nutné vhodným spôsobom nadobudnúť - intiutívne chápanie bezpečnostných rizík nemá vrodené nik a keby aj mal, skladby rizík sa dynamicky menia - čo platilo včera, dnes už platiť nemusí.

 

viera v samoštúdium v mimopracovnom čase 

príjemná predstava - chybičkou je že nefunguje, ľudia reálne nemajú čas a vo väčšine ani záujem oboznamovať sa podobnými témami v mimopracovnom čase

pritom je nutné brať aj do úvahy aj rad ďalších faktorov

  • dostupnosť relevantných zdrojov informácií, ktoré má non(IT) zamestnanec k dispozícií
  • potrebu zamestnávateľa odovzdávať informácie vo väzbe na interné procesy a bezpečnostné opatrenia

 

je to problém IŤákov

naučiť ľudí "chovať sa bezpečne pri používaní firemného IT" je výsostným problémom a úlohou IT oddelenia - jeden zo zásadných omylov - téma konštituovania obsahu a rovnako aj realizácia je témou ďaleko nad rámec úloh oddelenia IT

v neposlednom rade je nutné brať do úvahy aj rozsah a dosah kompetencií IT v problematike systematizovaného vzdelávania zamestnancov

 

náš správca IT to zvláda 

predpoklad, že správca počítačovej siete, zodpovedná osoba či security manažér musí byť zásadne dobrý vzdelávač či tréner nemá pragmatický základ - môže byť expert vo svojej oblasti, to však neznamená, že dokáže svojich kolegov "naučiť"

druhou témou vychádzajúcou z praktických skúseností bezpečnostných manažérov sú interné väzby - v rámci kolektívu je prezentovanie "nepríjemných" informácií vnímané s nižšou mierou hodnovernosti a tým pádom nižším dopadom. 

 

naši ľudia boli poučení ako pracovať s osobnými údajmi

poučenie OO (oprávnenej osoby) vo formáte podľa predchádzajúceho zákona a ochrane osobných údajov (122) nie je zvyšovaním bezpečnostného povedomia

 

spoliehame sa na inteligenciu zamestnancov, raz sme ich poučili, kontrolovať ich nemusíme

prax a skúsenosti poukazujú, že bez spätnej väzby (v istej miere aj represie) procesy nefungujú „poprosiť fakt nestačí"

nezamieňajme si prosím motiváciu s prehnanou toleranciou voči vyhýbaniu sa bezpečnostným opatreniam a ignorovaniu stavu kedy odprezentované požiadavky na dodržiavanie bezpečnostných opatrení nie sú akceptované.

porušenia v oblasti bezpečnosti sú často disciplinárnymi priestupkami v zmysle pracovného práva - pokiaľ sa im z tohto uhla nevenuje pozornosť vytvára sa pôda pre "neakceptáciu" opatrení.

v neposlednom rade je spätná väzba aj nástrojom pre "customizáciu" vzdelávacieho obsahu na ďalšie obdobia a práve vďaka rôznych formám môže zvyšovanie bezpečnostného povedomia korešpondovať s realitou v ktorej zamestnanci fungujú.

 

vzdelávať v podobných témach nemáme povinnosť

pomerne rozšírený omyl, zvyšovanie bezpečnostného povedomia rade firiem a organizácií vyplýva priamo z legislatívy

minimálne niekoľko dominantných normatív jasne stanovuje povinnosť 

    • nariadenie GDPR a zákon č.18/2018 Z.z. o ochrane osobných údajov
    • zákon o kybernetickej bezpečnosti č. 69/2018 Z. z. a vyhláška 362 z 11.12.2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
    • zákon č. 95/2019Z. z. o informačných technológiách vo verejnej správe, najmä jeho vyhláška 179 z 22.6.2020, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
    • v neposlednom rade značnú úlohu v procesoch zvyšovania bezpečnostného povedomia u samospráv zohráva aj zákon č. 583/2008 Z. z. o prevencii kriminality a inej protispoločenskej činnosti a programové vyhlásenia vlády SR „Stratégia prevencie kriminality a inej protispoločenskej činnosti"
    • a v neposlednom rade dôležitú úlohu zohrávajú aj technické bezpečnostné normy napr.ISO27001

 

Detailnejšie sme o problematike písali v článku Vzdelávanie zamestnancov v oblasti kybernetickej bezpečnosti je veľkou výzvou pre samosprávy alias aká je realita?

 

webináre a on-line riešenia nám postačujú

tieto formy sú vhodnou doplnkovou formou procesov zvyšovania bezpečnostného povedomia - nie plnohodnotnou náhradou prezenčných a ďalších foriem vzdelávacích aktivít a samozrejme priebežného testovania

 

... viac informácií o tejto problematike môžete získať aj na našich informatívnych webinároch konkrétne k vyššie uvedenej problematike určite odporúčame bezplatný webinár pre manažérov Ako vzdelávať zamestnancov v oblasti IT bezpečnosti

 

Jaroslav Oster, oster@infoconsult.sk

 

 

Predvoľby súkromia
Cookies používame na zlepšenie vašej návštevy tejto webovej stránky, analýzu jej výkonnosti a zhromažďovanie údajov o jej používaní. Na tento účel môžeme použiť nástroje a služby tretích strán a zhromaždené údaje sa môžu preniesť k partnerom v EÚ, USA alebo iných krajinách. Kliknutím na „Prijať všetky cookies“ vyjadrujete svoj súhlas s týmto spracovaním. Nižšie môžete nájsť podrobné informácie alebo upraviť svoje preferencie.

Zásady ochrany osobných údajov

Ukázať podrobnosti
Naša webová stránka ukladá údaje na vašom zariadení (súbory cookie a úložiská prehliadača) na identifikáciu vašej relácie a dosiahnutie základnej funkčnosti platformy, zážitku z prehliadania a zabezpečenia.
Môžeme ukladať údaje na vašom zariadení (súbory cookie a úložiská prehliadača), aby sme mohli poskytovať doplnkové funkcie, ktoré zlepšujú váš zážitok z prehliadania, ukladať niektoré z vašich preferencií bez toho, aby ste mali používateľský účet alebo bez prihlásenia, používať skripty a/alebo zdroje tretích strán, widgety atď.
Používanie analytických nástrojov nám umožňuje lepšie porozumieť potrebám našich návštevníkov a tomu, ako používajú našu stránku. Môžeme použiť nástroje prvej alebo tretej strany na sledovanie alebo zaznamenávanie vášho prehliadania našej webovej stránky, na analýzu nástrojov alebo komponentov, s ktorými ste interagovali alebo ste ich používali, zaznamenávanie udalostí konverzií a podobne.
Môžeme používať súbory cookie a nástroje tretích strán na zlepšenie ponuky produktov a/alebo služieb našej alebo našich partnerov, jej relevantnosti pre vás na základe produktov alebo stránok, ktoré ste navštívili na tejto webovej stránke alebo na iných webových stránkach.

Prihlásenie