Zvyšovanie IT bezpečnostnej gramotnosti zamestnancov je plné mýtov a dohadov

Niekoľko v praxi bežne stretávaných dohadov a mýtov týkajúcich sa firemných vzdelávacích aktivít zameraných na zvyšovanie bezpečnostnej gramotnosti non(IT) zamestnancov. Niektoré z nich už pri prvom prečítaní a zamyslení sa vyvolávajú pochybnosti.

Intuitívne chápanie IT bezpečnosti

Pomerne rozšírený mýtus. Tento pohľad popiera elementárny fakt - základné vedomosti je nutné vhodným spôsobom nadobudnúť, ani abecedu sme sa neučili svojpomocne. Intiutívne chápanie bezpečnostných rizík nemá vrodené nik a keby aj mal, skladby rizík sa dynamicky menia - čo platilo včera, dnes už platiť nemusí.

Viera v samoštúdium v mimopracovnom čase 

Príjemná predstava, ale chybičkou je, že v reálnom živote nefunguje. Ľudia reálne nemajú čas a vo väčšine ani záujem oboznamovať sa podobnými témami v mimopracovnom čase

Pritom je nutné brať aj do úvahy aj pár ďalších faktorov

• dostupnosť relevantných zdrojov informácií, ktoré má non(IT) zamestnanec k dispozícií - bežný zamestnanec ťažko môže posúdiť relevantnosť zdroja a tak delimitovať požiadavku v štýle "nájdi - naštuduj" je úplne kontraproduktívny krok
• potrebu zamestnávateľa odovzdávať informácie aj vo väzbe na interné procesy a bezpečnostné opatrenia
• a veľmi dôležitý aspekt vzdelávania - spätná väzba - o úrovni znalostí zamestnancov, o zaujímavosti a účinnosti vzdelávacích formátoch, ale aj o dodržiavaní interných nariadení 

Je to problém IŤákov

Naučiť ľudí "chovať sa bezpečne pri používaní firemného IT" je výsostným problémom a úlohou IT oddelenia - jeden zo zásadných omylov - téma konštituovania obsahu a rovnako aj realizácia je témou ďaleko nad rámec úloh oddelenia IT. 

Túto otázku manažéri mnohých firiem a organizácií, zdvorilo obchádzajú z dôvodu personálnych kapacít.  Manažment bezpečnosti či z pohľadu zákonných povinností, či z pohľadu organizačného vrátane organizácie a realizácie vzdelávania zamestancov patrí do rúk na to určeného manažéra (DPO, CISO).

V neposlednom rade je nutné brať do úvahy aj rozsah a dosah kompetencií IT v problematike systematizovaného vzdelávania zamestnancov. Tento proces totiž častokrát spadá ako koncepčný proces do kompetencie HR a preto ho delimitovať výsostne na IT oddelenie býva nesprávnym rozhodnutím.

Náš správca IT to zvláda 

Predpoklad, že správca počítačovej siete, zodpovedná osoba či security manažér musí byť zásadne dobrý vzdelávač či tréner nemá pragmatický základ - môže byť expert vo svojej oblasti, to však neznamená, že dokáže svojich kolegov "naučiť"

Druhou témou vychádzajúcou z praktických skúseností bezpečnostných manažérov sú interné väzby - v rámci kolektívu je prezentovanie "nepríjemných" informácií vnímané s nižšou mierou hodnovernosti a tým pádom nižším dopadom. 

Naši ľudia boli poučení ako pracovať s osobnými údajmi

Poučenie OO (oprávnenej osoby) vo formáte podľa predchádzajúceho zákona a ochrane osobných údajov (122) nie je zvyšovaním bezpečnostného povedomia. Pokiaľ proces vzdelávania nereflektuje vývoj legislatívy, rizík, interných predpisov a v neposlednom rade aj vlastných bezpečnostných incidentov neplní účel. 

Súčasný vývoj vzdelávania dnes vyžaduje stanovenie jednoznačnej a komplexnej stratégie vzdelávania, ktorá v rámci firmy/organizácie nastaví jasné pravidlá pre fungujúci proces vzdelávania v témach bezpečnosti.

Spoliehame sa na inteligenciu zamestnancov, raz sme ich poučili, kontrolovať ich nemusíme

Prax a skúsenosti poukazujú, že bez spätnej väzby (v istej miere aj represie) procesy nefungujú „poprosiť fakt nestačí"

Nezamieňajme si prosím motiváciu s prehnanou toleranciou voči vyhýbaniu sa bezpečnostným opatreniam a ignorovaniu stavu kedy odprezentované požiadavky na dodržiavanie bezpečnostných opatrení nie sú akceptované.

Porušenia v oblasti bezpečnosti sú často disciplinárnymi priestupkami v zmysle pracovného práva - pokiaľ sa im z tohto uhla nevenuje pozornosť vytvára sa pôda pre "neakceptáciu" opatrení.

V neposlednom rade je spätná väzba aj nástrojom pre "customizáciu" vzdelávacieho obsahu na ďalšie obdobia a práve vďaka rôznych formám môže zvyšovanie bezpečnostného povedomia korešpondovať s realitou v ktorej zamestnanci fungujú.

A tu je osožné uvedomiť si ešte jeden benefit, ktorý zamestnancovi môže prinášať firemné vzdelávanie bezpečnosti. Môže zvyšovať jeho znalosti pre riešenie otázok bezpečnosti jeho rodiny. Ak je správne obsahovo nastavené a zrealizované poskytne zamestnancovi vedomostnú výbavu pomocou ktorej dokáže pomáhať zvyšovať on-line bezpečnosť svojich detí a seniorov. 

Povýšenie obsahu "klasického" firemného vzdelávania o takýto benefit dokáže zvýšiť jeho účinnosť a atraktivitu a to v miere, ktorú často docení zamestnávateľ až v okamihu prvej skúsenosti. Dokáže dosiahnuť efekt, kedy sa zamestanci sami, iniciatívne zaujímajú o následné vzdelávania a vyvíjajú nátlak na zamestnávateľa. 

Viac k téme zamestanec-rodič v článku Deti, online riziká, prevencia a rodičia a v ďalších častiach pripravovanej série článkov.

Vzdelávať v podobných témach nemáme povinnosť

Pomerne rozšírený a zásadný omyl, zvyšovanie bezpečnostného povedomia rade firiem a organizácií vyplýva priamo z legislatívy

Minimálne niekoľko dominantných normatív jasne stanovuje povinnosti vo vzdelávaní:

• • nariadenie GDPR a zákon č.18/2018 Z.z. o ochrane osobných údajov
  • zákon o kybernetickej bezpečnosti č. 69/2018 Z. z. a vyhláška 362 z 11.12.2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
  • zákon č. 95/2019Z. z. o informačných technológiách vo verejnej správe, ktorý okrem iných stanovuje povinnú frekvenciu vzdelávania v oblasti informačnej bezpečnosti,
  • v neposlednom rade značnú úlohu v procesoch zvyšovania bezpečnostného povedomia u samospráv zohráva aj zákon č. 583/2008 Z. z. o prevencii kriminality a inej protispoločenskej činnosti a programové vyhlásenia vlády SR „Stratégia prevencie kriminality a inej protispoločenskej činnosti"
  • a v neposlednom rade dôležitú úlohu zohrávajú aj technické bezpečnostné normy napr.ISO27001

Detailnejšie sme o problematike písali v článku Vzdelávanie zamestnancov v oblasti kybernetickej bezpečnosti je veľkou výzvou pre samosprávy alias aká je realita?

Webináre a on-line riešenia nám postačujú

Tieto formy sú vhodnou doplnkovou formou procesov zvyšovania bezpečnostného povedomia - nie plnohodnotnou náhradou prezenčných a ďalších foriem vzdelávacích aktivít a samozrejme priebežného testovania.

Ako sa vysporiadať s témou vzdelávania zamestnancov v otázkach informačnej a kybernetickej kriminality, čo všetko je možné pre zvyšovanie kompetencií zamestnancov urobiť nájdete na stránke VZDELÁVANIE IT SECURITY.