Firewall, MFA, EDR, kopie zapasowe, segmentacja sieci, polityki haseł. Dyrektor IT zwykle zaczyna właśnie od tych elementów i słusznie, bo bez nich trudno mówić o bezpieczeństwie organizacji. Problem w tym, że wiele incydentów nadal zaczyna się wcześniej - od wiadomości, telefonu, pośpiechu albo błędnej decyzji użytkownika. Verizon w najnowszym DBIR wskazuje, że czynnik ludzki nadal pojawia się w około 60% naruszeń bezpieczeństwa.
To dlatego temat szkoleń z cyberbezpieczeństwa wraca na biurko IT. Nie jako „miękki dodatek”, ale jako jeden z elementów ograniczania ryzyka. Bo nawet dobrze skonfigurowane środowisko nie rozwiązuje problemu, jeśli pracownik poda dane przez telefon osobie podszywającej się pod helpdesk, kliknie link do fałszywej faktury albo prześle plik do niewłaściwego odbiorcy.
Może pomyślisz: przecież pracownicy już wiedzą, czym jest phishing. Zwykle tak. Tylko że znajomość pojęcia nie oznacza jeszcze właściwej decyzji w środku dnia, między jednym zadaniem a drugim. NIST zwraca uwagę, że programy phishing awareness trzeba projektować z uwzględnieniem realnej trudności rozpoznania wiadomości przez człowieka, a nie tylko samej treści instrukcji.
W wielu organizacjach impuls wychodzi właśnie z działu IT. To tam najszybciej widać, że incydent bezpieczeństwa rzadko jest wyłącznie problemem technologicznym. Z perspektywy dyrektora IT problem wygląda zwykle bardzo konkretnie:
„Musimy ograniczyć ryzyko po stronie użytkowników, ale nie chcemy robić kolejnej akcji, która skończy się tylko odhaczeniem szkolenia”.
To ważna różnica. Celem nie jest samo udostępnienie kursu. Celem jest wdrożenie procesu, który da organizacji większą przewidywalność: kto został przeszkolony, kiedy, w jakim zakresie i z jakim wynikiem.
W projektach cyberbezpieczeństwa często widzimy dwie skrajności. Pierwsza to formalność: plik PDF, prezentacja albo krótki materiał do „zaliczenia”. Druga to szkolenie efektowne wizualnie, ale słabo osadzone w realiach pracy. Jedno i drugie może wyglądać dobrze na starcie, ale z perspektywy IT kluczowe pytanie brzmi inne: czy to realnie zmniejsza prawdopodobieństwo błędu użytkownika?
Właśnie z takim problemem mierzyła się średnia firma z branży energetycznej, zatrudniająca ponad 300 pracowników. Potrzeba wyszła z IT, ale od początku było jasne, że nie chodzi o szkolenie dla samego działu technicznego. Chodziło o objęcie całej organizacji wspólnym standardem podstawowych zachowań związanych z cyberbezpieczeństwem.
Założenia były konkretne.
Po pierwsze – szkolenie miało być dostępne online, aby nie wyłączać zespołów z pracy i nie układać wielu terminów stacjonarnych.
Po drugie – rozwiązanie musiało być skalowalne. Przy kilkuset osobach ręczne koordynowanie procesu szybko staje się kolejnym zadaniem administracyjnym po stronie IT albo HR.
Po trzecie – potrzebne było raportowanie. Nie tylko informacja, że szkolenie „zostało wysłane”, ale realny wgląd w przypisania, statusy, ukończenie i potwierdzenia.
Po czwarte – materiał miał dotyczyć sytuacji, z którymi pracownicy spotykają się naprawdę, a nie wyłącznie katalogu definicji. ENISA podkreśla, że działania awareness powinny wspierać nie tylko wiedzę, ale zmianę zachowań i cyber hygienę.
Dla dyrektora IT dobre szkolenie z cyberbezpieczeństwa nie jest osobnym bytem. Powinno wspierać istniejący model bezpieczeństwa organizacji.
To znaczy, że pracownik po kursie powinien lepiej rozpoznawać sytuacje takie jak:
Właśnie tutaj rozchodzą się teoria i praktyka. Bo pracownik rzadko popełnia błąd podczas czytania procedury. Błąd pojawia się wtedy, gdy działa szybko, ufa pozornie wiarygodnemu komunikatowi albo nie chce „zawracać głowy IT”.
Dlatego sensowne szkolenie powinno być projektowane wokół decyzji, a nie wokół samych definicji.
W opisywanym przypadku sprawdził się program Cyberbezpieczna organizacja, udostępniony w modelu online. Dla klienta ważne było jednak nie tylko to, że otrzymywał treść szkoleniową. Równie ważne było środowisko wdrożenia: przypisanie szkoleń użytkownikom, monitorowanie postępu, przypomnienia, raporty i potwierdzenie ukończenia.
Z perspektywy IT to właśnie ten element decyduje, czy rozwiązanie jest użyteczne operacyjnie. Sam kurs można oceniać pod kątem treści. Ale wdrożenie ocenia się inaczej: czy da się nim zarządzać bez tworzenia dodatkowego chaosu?
W tym projekcie szkolenie zostało potraktowane jako element procesu bezpieczeństwa, a nie jednorazowa akcja komunikacyjna. Każdy uczestnik otrzymał dostęp online, mógł przejść materiał we własnym tempie, a osoby odpowiedzialne za temat miały wgląd w status realizacji.
Każdy pracownik otrzymał ten sam punkt odniesienia. To ważne szczególnie tam, gdzie część wiedzy funkcjonuje wcześniej w obiegu nieformalnym: ktoś coś słyszał, ktoś coś przekazał, ale nikt nie ma pewności, czy wszyscy rozumieją temat tak samo.
Przy kilkuset osobach szkolenia stacjonarne oznaczają logistykę, terminy, zastępstwa i utrudnienia operacyjne. Model online pozwala rozłożyć realizację w czasie i dopasować ją do rytmu pracy organizacji.
Z punktu widzenia dyrektora IT ważne jest nie tylko to, że szkolenie istnieje, ale że można wykazać jego realizację. Kto ukończył, kto nie ukończył, komu trzeba wysłać przypomnienie, jaki jest status grup. Taki porządek ma znaczenie zarówno zarządcze, jak i audytowe.
Dobrze ułożony proces ogranicza ręczne działania: wysyłanie przypomnień, zbieranie potwierdzeń, sprawdzanie list, odpowiadanie na powtarzalne pytania. To odciąża nie tylko IT, ale także HR i osoby odpowiedzialne za rozwój.
To punkt najważniejszy. Szkolenie z cyberbezpieczeństwa ma sens wtedy, gdy pomaga użytkownikowi podejmować ostrożniejsze decyzje. Nie chodzi o pamięciowe odtworzenie definicji phishingu, ale o to, żeby pracownik zatrzymał się na moment i rozpoznał ryzyko wtedy, gdy naprawdę trzeba.
Choć opisany case dotyczy firmy energetycznej, sam problem jest dużo szerszy. Ten model dobrze sprawdza się wszędzie tam, gdzie organizacja:
To może być firma przemysłowa, logistyczna, handlowa, usługowa, instytucja publiczna albo organizacja z rozproszoną strukturą. Wspólny mianownik jest prosty: bezpieczeństwo zależy tam zarówno od systemów, jak i od codziennych decyzji użytkowników.
Dla dyrektora IT szkolenie z cyberbezpieczeństwa nie powinno być osobnym projektem „od edukacji”. Powinno wspierać zarządzanie ryzykiem, porządkować proces i dawać organizacji możliwość działania w skali.
Case średniej firmy energetycznej dobrze to pokazuje. Problem nie polegał na braku wiedzy, że cyberzagrożenia istnieją. Problem polegał na tym, jak przełożyć ten temat na uporządkowane działanie w całej organizacji: bez zatrzymywania pracy, bez ręcznego pilnowania setek osób i bez utraty kontroli nad realizacją.
W takich sytuacjach sprawdza się rozwiązanie, które łączy praktyczną treść z porządkiem organizacyjnym. Tak działa program Cyberbezpieczna organizacja udostępniany na platformie LearncomPro – pozwala szkolić pracowników online, monitorować postęp, korzystać z przypomnień, raportów i certyfikatów, a jednocześnie wspierać bezpieczniejsze decyzje w codziennej pracy. Jeśli chcesz zobaczyć, jak taki model może działać w Twojej organizacji, zajrzyj tutaj: LearncomPro – platforma i szkolenia dla organizacji.
