Osvědčené tipy pro správné školení informační bezpečnosti

Jak začít?

Pokud mluvíme o školení, rozhodně nemáme na mysli jednorázovou akci, ale naopak průběžný proces vzdělávání zaměstnanců v oblasti kybernetické (či obecně informační) bezpečnosti, sestavený na základě strategie a řízený jasným plánem. Tento plán by měl zahrnovat hned několik typů školení:

• Úvodní školení všech nových zaměstnanců v základních bezpečnostních zásadách organizace při práci s daty, aplikacemi a systémy a postupech při bezpečnostních incidentech.
• Pravidelná školení všech zaměstnanců, realizovaná nejméně jednou ročně, se zopakováním a aktualizací pravidel a procesů kybernetické bezpečnosti, stejně jako plánů na udržení kontinuity a obnovy po havárii.
• Mimořádná školení reflektující změny v bezpečnostních pravidlech společnosti nebo reagující na aktuální nebezpečí či bezpečnostní incident.

Smyslem plánu školení je kontinuální budování povědomí o bezpečnosti. Otázkou ale zůstává, jakým způsobem školení realizovat – z pohledu obsahu a formy a zajištění školení s pomocí interních zdrojů, nebo outsourcingu. Důležitější je samozřejmě obsah a forma, a proto, bez ohledu na to, zdali bude školení realizováno interně, nebo s pomocí externího dodavatele, je nutné myslet především na následující osvědčené postupy školení kybernetické bezpečnosti.

Soustřeďte se na jednoduchost

Zdlouhavým a nudným školením si už asi prošel každý firemní zaměstnanec. Praktický přínos takového školení je ale přinejmenším sporný – povinnosti byla splněna, ale nikdo si na obsah školení za pár dní ani nevzpomene. Jak se tomu vyhnout a udělat školení zajímavější a efektivnější?

• Ať už školení vytváříte sami, nebo jej objednáváte u externího dodavatele, vždy dbejte na jednoduchost a názornost.
• Při hromadných školeních pro všechny (většinu) zaměstnanců nezacházejte do zbytečných detailů.
• Zaměřte se na opakování nejdůležitějších pravidel kybernetické bezpečnosti – obecných i specifických pro vaši společnost.
• Vyzkoušejte různé formy prezentování důležitých informací zaměstnancům. Může jít třeba o letáčky, plakáty, samolepky nebo třeba spořiče obrazovek.
• Nebojte se experimentovat a vneste do školení vtip, nadsázku nebo soutěživost ve formě kvízu. Fantazii se meze nekladou.

Často se zapomíná, že školení informační bezpečnosti nemusí mít jen formu prezentace nebo e-learningového kurzu. Nejdůležitější zásady mohou být prezentovány všude po firmě – v kuchyňkách, na chodbách nebo třeba i na toaletách – prostě kdekoli, kde budou na očích zaměstnancům – a koneckonců třeba i návštěvám – nikoho přece neurazí zjištění, že neustále pamatujete na bezpečnost informací, se kterými vaši zaměstnanci pracují. Střídání různých forem prezentace hlavních pravidel kybernetické bezpečnosti bude efektivnější a zaměstnanci si je zapamatují mnohem lépe, než když si je vyslechnou jen v rámci hromadného školení.

Aktuálnost

Kybernetická bezpečnost je velmi aktuální oblastí, ve které dochází k neustálým změnám. A to musí odrážet také obsah školení. Obecná pravidla jsou jistě platná trvale, ale současně musíme obsah školení přizpůsobovat i aktuálnímu stavu informační bezpečnosti. Jen budou aktuální i znalosti zaměstnanců a školení neztratí svůj preventivní účinek.

Obsah školení se musí přizpůsobit nejen aktuálnímu stavu v oblasti kybernetické bezpečnosti, ať už jde o nové typy útoků nebo rozpoznávání hrozeb, ale také vývoji ve vaší společnosti. Oddělení správy IT jistě každodenně řeší bezpečnostní incidenty a posouvá svoje zkušenosti v ochraně sítí a dat. To vše lze vhodným způsobem zakomponovat do školení, které pak bude obsahovat i aktuální případy, ze kterých je třeba se poučit, aby k podobným incidentům nedocházelo opakovaně. Každá praktická ukázka průběhu incidentu, jeho následků a řešení, bude zaměstnancům bližší než čistě teoretické školení.

Zaměstnanci také potřebují být pravidelně seznamováni se změnami v dokumentaci pravidel a postupů. Opět pamatujte na to, že školení s výčtem změn v dokumentaci nebude mít takový efekt, jako představení aktualitou pochopitelnější – a hlavně zapamatovatelnější formou.

A k čemu nám to bude?

Na typickou otázku před každým školením si musí nejdříve odpovědět všichni, kdo se na jeho přípravě podílejí. Využitelnost poznatků získaných na školení se samozřejmě zvyšuje především jejich propojením s každodenní firemní praxí i běžným životem.

• Propojte obsah školení s konkrétními příklady procesů a postupů z každodenní praxe v různých odděleních.
• Pokud bude školení připravovat externí partner, seznamte jej s vašimi směrnicemi, politikami a také nepsanými pravidly.
• Zahrňte i příklady, kdy se nové poznatky o kyberbezpečnosti hodí v každodenním životě – při práci s e-mailem, internetovým bankovnictvím atd.

Jestliže se vám podaří postavit obsah školení tak, aby mohli zaměstnanci získané znalosti využít jak v práci, tak i v soukromí, zapamatují si více a budou i obezřetnější. V případě rozsáhlejších týmů a větších odlišnostech mezi různými odděleními je také vhodné rozdělit zaměstnance do více skupin a školit je zvlášť. Pak bude totiž možné více se zaměřit na praxi daného oddělení a školení bude pro zaměstnance zajímavější a užitečnější. Získáte také větší prostor pro otázky na konkrétní témata.

Nahlédněte do naší online knihovny a stáhněte si materiály, které vás zajímají!

Z oblasti bezpečnosti doporučujeme:

• Kybernetické útoky: Slovníček pojmů
• 10 bezpečnostních rizik ve vaší kanceláři
• Phishingové útoky: Nenechte se nachytat!

Každé školení je finanční a časovou investicí, a tak je jistě na místě připravit jej vždy tak, aby se taková investice vyplatila.

V SoftwareOne máme bohaté zkušenosti s realizací školení i rozsáhlými adopčními programy, které pomáhají s efektivním využíváním nasazených aplikací a nástrojů, o které se s vámi rádi podělíme.