Cieľom školenia nemá byť len potvrdenie o absolvovaní, ale reálna zmena správania zamestnancov.
Tu je 5 zásad, ako na to:
1. Školenie musí byť zrozumiteľné aj pre technických laikov
Zabudnite na terminológiu typu „zero-day exploit“ alebo „hashovacia funkcia“. Bežný zamestnanec potrebuje vedieť ako rozpoznať podvodný e-mail, prečo nepoužívať všade rovnaké heslo a ako bezpečne pracovať z domu.
👉 Praktické, jednoduché, konkrétne. Nie akademická prednáška.
2. Krátke, časté a zapamätateľné
Jedno veľké školenie raz ročne nestačí. Oveľa lepšie fungujú minimalistické formáty školenia, napríklad 5-minútové videá alebo interaktívne kvízy.
Pravidelné pripomenutia e-mailom, cez intranet, alebo na mesačnej porade majú ďaleko väčší efekt.
Pre pokročilejších môže byť zaujímavý tzv. "kampaňový prístup" (napríklad „týždeň bezpečnosti“), počas ktorého sa každý deň preberá iná téma.
3. Reálne scenáre zo života firmy
Čím viac sa školenie dotýka reality zamestnancov, tým viac si z neho odnesú.
Príklady:
- simulovaný phishing e-mail, ktorý vyzerá ako od vášho HR
- scenár: „Zabudol som laptop vo vlaku – čo teraz?“
- dilema: „Kolega si pýta moje heslo – mám mu ho dať?“
👉 Ak sa ľudia v scenári spoznajú, začnú premýšľať, reagovať a to je priestor na debatu a ujasnenie si pravidiel.
4. Zapojiť vedenie aj HR
Ak školenie vnímajú zamestnanci ako „IT záležitosť“, ich angažovanosť býva nízka.
Na zvýšenie interakcie potrebujete podporu vedenia. Ideálne, ak sa manažéri aktívne zapoja, ba idú príkladom.
Kooperácia s HR oddelením, aby bola bezpečnosť súčasťou onboardingu, hodnotení aj benefitov, prináša vyššiu odolnosť voči neželaným útokom.
5. Merajte, sledujte, zlepšujte
Školenie nemá byť samoúčelné. Sledujte koľko ľudí absolvovalo školenie a ako si viedli v testoch.
Následne zisťujte či narástol počet nahlásených podozrivých e-mailov či iných podozrení na podvodnú komunikáciu.
Sledujte zmeny správania zúčastnených. Sledujte, či sa niekto dlhodobo nevyhýba školeniam a skúste sa na neho zamerať – pravdepodobne bude najslabším ohnivkom v pomyselnej reťazi bezpečnosti.
Nepodceňujte upratovačky a iný personál pri ktorom nepredpokladáte prácu s počítačom, lebo bezpečnosť je aj pohyb vo vnútorných priestoroch. Aj jedny nezavreté dvere, alebo pridržané dvere kuriérovi môžu byť začiatkom incidentu.
👉 Na základe zistených dát môžete školenia prispôsobovať.
Zhrnutie
Efektívne bezpečnostné školenie je:
- krátke
- zrozumiteľné
- praktické
- pravidelné
A hlavne, zapadá do celkového firemného prostredia, kde je bezpečné správanie súčasťou firemnej kultúry.
Ako merať pokrok v oblasti bezpečnostného povedomia >
Ako reagovať na bezpečnostný incident (bez vzájomného obviňovania) >
Ako zapojiť manažérov a vedenie do budovania bezpečnostnej kultúry >
