Nie bez powodu w systemach zarządzania zgodnych z normami europejskimi typu ISO 27001 czy 22301 istotna jest kwestia budowania odpowiednich kompetencji pracowników i kadry zarządzającej.
Edukacja zwiększa świadomość pracowników na wszystkich szczeblach.
Szkolenia wewnętrzne, czyli jak świadomość wzmaga czujność
Znając zagrożenia związane z bezpieczeństwem informacji, takie jak phishing, malware, czy nieuprawnione udostępnianie danych, wszyscy pracownicy mogą skuteczniej się przed nimi chronić i szybciej je identyfikują. Świadomość wzmaga czujność i podejrzana korespondencja jest szybko przekazywana odpowiednim specjalistom, dzięki czemu wiedza o ataku pozwala szybko reagować i kontrolować zagrożenie.
Znajomość zewnętrznych zagrożeń to jednak nie wszystko. Dobrze zabezpieczona organizacja tworzy procedury, które chronią ją przed tymi zjawiskami, ale też przed szeregiem innych zdarzeń, których pojedynczy pracownik niezaangażowany w obszar cybersecurity może nie rozumieć.
Nie musi, wystarczy by stosował się do procedur. By się stosować musi je znać i rozumieć. Tu również konieczny jest system wewnętrznych szkoleń.
Celowo piszę o systemie, bo w cyberbezpieczeństwie chodzi w dużej mierze o dobre nawyki. A ich nie można wykształcić podczas jednego szkolenia. To tak jak z nauką jazdy. Na kursie dowiemy się, że zatrzymując się na czerwonym świetle warto wrzucić jedynkę, aby potem płynnie ruszyć.
Po kilku lekcjach z instruktorem zaczynamy o tym pamiętać, ale dopiero po kilku miesiącach samodzielnej jazdy robimy to automatycznie. Tak też jest z procedurami, o których należy pamiętać działając w ramach organizacji.
Nie wystarczy raz przeprowadzić szkolenia, należy je powtarzać w różnych formach, wprowadzać mechanizmy przypominające, korzystać z różnych wewnętrznych kanałów komunikacji, by wyrobić w zespole odpowiednie nawyki.
Przy czym należy pamiętać, że przedmiotem tych szkoleń nie powinny być jedynie zagrożenia, ale również sposób działania, kiedy przysłowiowe mleko się rozleje. Skutki incydentu bezpieczeństwa mogą zostać znacznie ograniczone, jeśli pracownicy wiedzą, jak na niego zareagować i jakie działania zaradcze wdrożyć niezwłocznie.
Jak budować kompetencje techniczne?
Kompetencje techniczne można budować „hybrydowo”, łącząc wewnętrzne możliwości do uczenia się organizacji (szkolenia realizowane przez specjalistów wyższego szczebla, mentoring, wewnętrzny e-learning) i zewnętrzne szkolenia i warsztaty, ale także udział w konferencjach, podczas których zdobywa się wiedzę o nowościach, wymienia doświadczenia, dyskutuje o przyczynach już nagłośnionych incydentów, bierze udział w warsztatach i poznaje nowe technologie.
Co cieszy, ilość takich wydarzeń rośnie. Są coraz bardziej dostępne. Nie odbywają się już jedynie w lokalizacjach mocno kojarzonych z aktywnością w tym obszarze, jak Warszawa czy Śląsk. Pojawiają się także w regionach wcześniej nie kojarzonych z takim tematem, jak lubuskie, gdzie w tym roku po raz pierwszy w otwartej formule odbędzie się konferencja IT Security Days.
Wiedza strategiczna, niezbędna do podejmowania decyzji
Wiedza techniczna niezbędna na poziomie operacyjnym i taktycznym jest aktywem organizacji, ale by właściwie nią zarządzać niezbędna jest także wiedza strategiczna, dzięki której kadra zarządzająca posiądzie zdolność podejmowania trafnych decyzji.
Tutaj niezbędne jest połączenie znajomości trendów i case studies, które można wykorzystać do zabezpieczenia własnej organizacji z twardą wiedzą na temat architektury systemu cyberbezpieczeństwa, budowania zespołów, doboru rozwiązań i powiązań między tymi wszystkimi elementami.
Kompetencje strategiczne pozwalają na lepszą ocenę zagrożeń i uwzględnienie ich w planach rozwoju całej organizacji. Dzięki temu możliwe jest właściwe zabezpieczenie zasobów na ten sektor, zarówno finansowych jak i ludzkich.
NIS2 wchodzi do polskiego systemu prawnego nakładając na członków zarządu odpowiedzialnych za cyberbezpieczeństwo obowiązki, którym trudno sprostać nie posiadając kompetencji w tym obszarze.
Zapewne nie od razu będą one egzekwowane, dlatego jeśli jesteś jedną z osób odpowiedzialnych za cybersecurity, a nie masz w tym zakresie przygotowania, w najbliższym roku akademickim warto zainwestować swój czas w studia podyplomowe. Jednym z dostępnych na rynku rozwiązań są studia podyplomowe prowadzone przez Uniwersytet Zielonogórski.
Zgodnie z europejskimi normami, np. 27001 czy 22301 to najwyższe kierownictwo powinno odgrywać kluczową rolę w budowaniu postaw zapewniających organizacji odporność.
Studia podyplomowe oferują kursy pozwalające na dogłębne poznanie zagadnień i kompleksowe zrozumienie różnych aspektów cyberbezpieczeństwa. Mają przemyślaną strukturę i program nauczania, który systematycznie prowadzi studentów przez różne tematy i zagadnienia od podstawowych koncepcji po zaawansowane techniki i strategie.
To sprzyja lepszemu przyswajaniu wiedzy i daje czas na jej poukładanie (patrz: przykład z kursem jazdy w początkowej części artykułu). W niektórych przypadkach program realizowany przez zakorzenionych w temacie wykładowców uzupełniają zajęcia prowadzone przez praktyków z branży, którzy mogą podzielić się także swoimi doświadczeniami.
Studia podyplomowe z zakresu cyberbezpieczeństwa zapewniają dużo więcej, niż tylko wiedzę w zakresie istniejących zagrożeń i sposobów ich mitygowania. Pozwalają na szersze spojrzenie i powiązanie obszaru cyberbezpieczeństwa z innymi elementami istotnymi dla bezpiecznego rozwoju organizacji. Tego typu wiedza jest dziś wręcz obligatoryjna dla kierownictwa, zarządu i wszystkich osób decyzyjnych.
Zaangażowanie biznesu w projekty edukacyjne
Na rynku widać coraz większe zaangażowanie firm specjalizujących się w zabezpieczaniu ekosystemów IT w edukowanie środowiska, które współpracuje z nimi po stronie klientów. Czy to jedynie działania marketingowe? Częściowo pewnie też, ale nie jest to jedyny i najważniejszy powód.
Klient posiadający wiedzę na temat cyberbezpieczeństwa potrafi ocenić (i docenić) korzyści proponowanych mu rozwiązań i odsiać z natłoku docierających komunikatów to, co jest jedynie wypełniaczem w tej informacyjnej „paczce”.
Inaczej o zaletach rozwiązania SOC (Security Operations Center) rozmawia się z kimś, kto zna architekturę zabezpieczeń i analizując propozycję widzi ją przez pryzmat poszczególnych danych i procesów, a inaczej, kiedy tej wiedzy nie ma.
Merytoryczna rozmowa z klientem zdecydowanie zwiększa szansę na osiągniecie finalnego celu, który przyświeca obu stronom – skutecznego zabezpieczenia organizacji przed zagrożeniami.
ARTYKUŁ PARTNERA