Späť

Zvyšovanie IT bezpečnostnej gramotnosti zamestnancov je plné mýtov a dohadov

Pridané: 19.2.2021 07:30:00 Počet zobrazení: 865

19 Február 2021

Zvyšovanie bezpečnostného povedomia je témou, ktorá sa týka každéhu subjektu prevádzkujúceho informačný systém. Používatelia (zamestnanci) sú nositeľmi rizika a bez zvyšovania ich kompetencií je riadenie bezpečnosti problematické. Najmä ak u manažérov zodpovedných za danú oblasť prevláda rad mýtov, dohadov a nesprávnych hodnotení tohto procesu...

Zvyšovanie IT bezpečnostnej gramotnosti zamestnancov je plné mýtov a dohadov

 

Niekoľko v praxi bežne stretávaných dohadov a mýtov týkajúcich sa firemných vzdelávacích aktivít zameraných na zvyšovanie bezpečnostnej gramotnosti non(IT) zamestnancov.

 

intuitívne chápanie IT bezpečnosti

je pomerne rozšírený mýtus, základné vedomosti je nutné vhodným spôsobom nadobudnúť - intiutívne chápanie bezpečnostných rizík nemá vrodené nik a keby aj mal, skladby rizík sa dynamicky menia - čo platilo včera, dnes už platiť nemusí.

 

viera v samoštúdium v mimopracovnom čase 

príjemná predstava - chybičkou je že nefunguje, ľudia reálne nemajú čas a vo väčšine ani záujem oboznamovať sa podobnými témami v mimopracovnom čase

pritom je nutné brať aj do úvahy aj rad ďalších faktorov

  • dostupnosť relevantných zdrojov informácií, ktoré má non(IT) zamestnanec k dispozícií
  • potrebu zamestnávateľa odovzdávať informácie vo väzbe na interné procesy a bezpečnostné opatrenia

 

je to problém IŤákov

naučiť ľudí "chovať sa bezpečne pri používaní firemného IT" je výsostným problémom a úlohou IT oddelenia - jeden zo zásadných omylov - téma konštituovania obsahu a rovnako aj realizácia je témou ďaleko nad rámec úloh oddelenia IT

v neposlednom rade je nutné brať do úvahy aj rozsah a dosah kompetencií IT v problematike systematizovaného vzdelávania zamestnancov

 

náš správca IT to zvláda 

predpoklad, že správca počítačovej siete, zodpovedná osoba či security manažér musí byť zásadne dobrý vzdelávač či tréner nemá pragmatický základ - môže byť expert vo svojej oblasti, to však neznamená, že dokáže svojich kolegov "naučiť"

druhou témou vychádzajúcou z praktických skúseností bezpečnostných manažérov sú interné väzby - v rámci kolektívu je prezentovanie "nepríjemných" informácií vnímané s nižšou mierou hodnovernosti a tým pádom nižším dopadom. 

 

naši ľudia boli poučení ako pracovať s osobnými údajmi

poučenie OO (oprávnenej osoby) vo formáte podľa predchádzajúceho zákona a ochrane osobných údajov (122) nie je zvyšovaním bezpečnostného povedomia

 

spoliehame sa na inteligenciu zamestnancov, raz sme ich poučili, kontrolovať ich nemusíme

prax a skúsenosti poukazujú, že bez spätnej väzby (v istej miere aj represie) procesy nefungujú „poprosiť fakt nestačí"

nezamieňajme si prosím motiváciu s prehnanou toleranciou voči vyhýbaniu sa bezpečnostným opatreniam a ignorovaniu stavu kedy odprezentované požiadavky na dodržiavanie bezpečnostných opatrení nie sú akceptované.

porušenia v oblasti bezpečnosti sú často disciplinárnymi priestupkami v zmysle pracovného práva - pokiaľ sa im z tohto uhla nevenuje pozornosť vytvára sa pôda pre "neakceptáciu" opatrení.

v neposlednom rade je spätná väzba aj nástrojom pre "customizáciu" vzdelávacieho obsahu na ďalšie obdobia a práve vďaka rôznych formám môže zvyšovanie bezpečnostného povedomia korešpondovať s realitou v ktorej zamestnanci fungujú.

 

vzdelávať v podobných témach nemáme povinnosť

pomerne rozšírený omyl, zvyšovanie bezpečnostného povedomia rade firiem a organizácií vyplýva priamo z legislatívy

minimálne niekoľko dominantných normatív jasne stanovuje povinnosť 

    • nariadenie GDPR a zákon č.18/2018 Z.z. o ochrane osobných údajov
    • zákon o kybernetickej bezpečnosti č. 69/2018 Z. z. a vyhláška 362 z 11.12.2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
    • zákon č. 95/2019Z. z. o informačných technológiách vo verejnej správe, najmä jeho vyhláška 179 z 22.6.2020, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
    • v neposlednom rade značnú úlohu v procesoch zvyšovania bezpečnostného povedomia u samospráv zohráva aj zákon č. 583/2008 Z. z. o prevencii kriminality a inej protispoločenskej činnosti a programové vyhlásenia vlády SR „Stratégia prevencie kriminality a inej protispoločenskej činnosti"
    • a v neposlednom rade dôležitú úlohu zohrávajú aj technické bezpečnostné normy napr.ISO27001

 

Detailnejšie sme o problematike písali v článku Vzdelávanie zamestnancov v oblasti kybernetickej bezpečnosti je veľkou výzvou pre samosprávy alias aká je realita?

 

webináre a on-line riešenia nám postačujú

tieto formy sú vhodnou doplnkovou formou procesov zvyšovania bezpečnostného povedomia - nie plnohodnotnou náhradou prezenčných a ďalších foriem vzdelávacích aktivít a samozrejme priebežného testovania

 

... viac informácií o tejto problematike môžete získať aj na našich informatívnych webinároch konkrétne k vyššie uvedenej problematike určite odporúčame bezplatný webinár pre manažérov Ako vzdelávať zamestnancov v oblasti IT bezpečnosti

 

Jaroslav Oster, oster@infoconsult.sk

 

 

Prihlásenie

Na prispôsobenie obsahu a reklám, poskytovanie funkcií sociálnych médií a analýzu návštevnosti používame súbory cookie. Informácie o tom, ako používate naše webové stránky, poskytujeme aj našim partnerom v oblasti sociálnych médií, inzercie a analýzy. Títo partneri môžu príslušné informácie skombinovať s ďalšími údajmi, ktoré ste im poskytli alebo ktoré od vás získali, keď ste používali ich služby.  Viac info