Jak skutecznie podnieść świadomości w zakresie cyberbezpieczeństwa w Twojej organizacji?

Kontekst podnoszenia świadomości w zakresie cyberbezpieczeństwa

• Człowiek jest kluczowym elementem łańcucha bezpieczeństwa wpływającym na efektywną ochronę przed zagrożeniami.
• Edukacja pracowników jest zarazem najtańszym sposobem podnoszenia poziomu cyberbezpieczeństwa jednocześnie mając największy wpływ.
• Świadomość zagrożeń czy sposobów reagowania jest istotna dla każdego pracownika w organizacji.
• Jednym z sposobów na zaadresowanie „elementu ludzkiego” jest organizacja szkoleń czy pozostałych inicjatyw (np. testów socjotechnicznych czy prób phishingowych) podnoszących świadomość z zakresu bezpieczeństwa (organizacja szkoleń do jeden z wymogów NIS 2).
• Szkolenia i pozostałe inicjatywy warto połączyć w ramach systemowego programu do podnoszenia świadomości w zakresie cyberbezpieczeństwa.

Program podnoszenia świadomości ds. cyberbezpieczeństwa

Wdrożenie szkoleń z zakresu cyberbezpieczeństwo jest powiązane z wdrożeniem kompleksowego programu podnoszenia świadomości cyberbezpieczeństwa.

Kluczowym założeniem programu podnoszenia świadomości jest systemowe informowanie i edukacja pracowników o potencjalnych zagrożeniach. 

Odpowiednia edukacja i informowanie ma wspierać użytkowników w podejmowaniu właściwych decyzji podczas korzystania z systemów biznesowych czy internetu, odpowiedniej reakcji na różnego rodzaju incydenty czy zapewnienie najwyższych standardów w współpracy z klientami czy partnerami. 

Tworzenie programu warto zacząć od zdefiniowania kto i do jakiego stopnia powinien podlegać programowi. Zupełnie inną wiedzę powinien posiadać pracownik IT, osoba pracująca blisko z klientem czy członek zespołu compliance.

Elementy efektywnego programu wspierającego świadomość w ramach cyberbezpieczeństwa

CIS definiuje cztery kluczowe etapy w ramach tworzenia i egzekwowania efektywnego programu wspierającego świadomość w ramach cyberbezpieczeństwa:

• Ocena metod dotarcia do pracownika czyli zgromadzenie informacji na temat najlepszych metod dotarcia do Twoich pracowników
• Stworzenie programu szkoleniowego dla organizacji obejmującego inwestycje w narzędzia lub stworzenie dedykowanych materiałów edukacyjnych
• Edukacja czyli dostarczenie treści szkoleniowych dotyczących cyberbezpieczeństwa pracownikom organizacji
• Weryfikacja czyli upewnienie się, że zastosowane metody  przynoszą korzyści i spełniają cele poza widocznością działów odpowiedzialnych za IT

Przykładowy zakres szkoleń w ramach programu

Zakres szkoleń programu będzie uzależniony od indywidualnych potrzeb oraz charakterystyki organizacji (środowisk, ryzyk itd.). Niezależnie od indywidualnych potrzeb organizacje powinny uwzględnić następujące zagadnienia: 

• Rozpoznanie i zgłaszanie ataków phishingowych 
• Bezpieczeństwo w pracy zdalnej
• Bezpieczne korzystanie z nośników danych i zarządzanie danymi firmowymi
• Tworzenie silnych haseł
• Zapewnienie bezpieczeństwa fizycznego  
• Bezpieczeństwo mobilne
• Bezpieczeństwo w chmurze i aplikacjach
• Inżynieria społeczna
• Reagowanie na incydenty

Jakie techniki szkoleniowe wybrać?

W 2023 roku ENISA opublikowała zestaw narzędzi, które sugerują gotowe techniki w zakresie tworzenia programów do podnoszenia świadomości cyberbezpieczeństwa. Na dole prezentujemy metody organizacji szkoleń w podziale na grupy odbiorców:

• Marketing, HR, operacje, R&D oraz pozostali pracownicy: Gry online oraz quizy, materiały video, grupy dyskusyjne oraz zestawy wspomagające budowanie świadomości (infografiki, plakaty itd.)
• Działy finansowe, zakupowe, dyrektorzy i menadżerowie poszczególnych jednostek: newslettery, zestawy wspomagające budowanie świadomości (infografiki, plakaty itd.), materiały video, kursy online, konferencje czy webinary
• Działy ICT oraz eksperci od cyber: kursy online, materiały video, certyfikacje i dyplomy, webinary czy ćwiczenia techniczne

Jeśli przygotowujesz się do implementacji dyrektywy NIS 2 zapraszamy na konsultacje organizowane przez Trecom.