w odniesieniu do słownika ” Słownik cyberbezpieczeństwa” autorstwa Tomasza Pączkowskiego, przedstawiamy dlaczego, jak i z czego robić szkolenia
Jeśli uważasz, że szkolenia są drogie, poczekaj na pomyłkę pracownika i incydent.
Często jestem pytany o dobre źródła wiedzy.
poniżej prezentuję jedno z nich, tj „Słownik cyberbezpieczeństwa” jego autor, Tomasz Pączkowski, opisał wiele zagrożeń związanych z bezpieczeństwem.
Zapobieganie cyberzagrożeniom
Marian Żuber z Wyższej Szkoły Oficerskiej Wojsk Lądowych podzielił całe zagadnienie
zapobiegania cyberzagrożeniom na trzy poziomy.
Poziom pierwszy dotyczy zagrożeń w skali całego państwa.
Podejmowane na tym poziomie działania zapobiegawcze powinny dotyczyć:
• budowy i stałego unowocześniania zabezpieczeń technicznych sieci informatycznych;
• wprowadzania i egzekwowania procedur bezpieczeństwa dostępu do sieci; zwalczania prób infiltrowania systemów telekomunikacyjnych;
• międzynarodowej współpracy w zwalczaniu ponadnarodowej cyberprzestępczości;
• wspierania produkcji oprogramowania do celów zabezpieczeń;
• opracowywania programów i planów na wypadek zagrożeń.
Poziom drugi dotyczy zagrożeń w skali organizacji i przedsiębiorstw.
Podejmowane na tym poziomie działania powinny dotyczyć:
• budowy i przestrzegania systemów zabezpieczeń;
• przestrzegania dyscypliny dostępu do danych;
• regularnego używania oprogramowania antywirusowego;
• szkolenia pracowników w zakresie bezpieczeństwa korzystania z Internetu.
Poziom trzeci dotyczy zagrożeń dla indywidualnych obywateli
Podejmowane na tym poziomie działania powinny dotyczyć:
• regularnego używania oprogramowania antywirusowego;
• odwiedzania tylko zaufanych stron i portali;
• dokładnego weryfikowania źródeł przychodzącej korespondencji;
• natychmiastowego sygnalizowania Policji wszelkich zjawisk związanych z cyberprzemocą;
• przestrzegania zasad prawidłowego prowadzenia korespondencji przyjętych w sieci;
• szkoleń chętnych z zakresu bezpieczeństwa w Internecie, pomocy państwa dla organizacji zajmujących się szerzeniem tego typu wiedzy.
Na szkoleniach poruszamy aspekty związane z poziomem drugim i trzecim, z kilku powodów. Jednym z nich jest perspektywa słuchaczy, którzy znając podstawy dobrych zachowań, higieny pracy z komputerem, jak działają przestępcy, mogą to odnieść zarówno do swojego życia prywatnego, jak i zawodowego. Wiele ataków jest zbliżonych, cele są podobne, a najważniejsze, że czujność i świadomość użytkownika jest diablo ważnym elementem ochrony. To człowiek czytając komunikat (od przestępcy) może szybko ocenić jego prawdziwość, słuszność, wyczuć intencje a to wszystko dzięki wyostrzonym zmysłom na zmamiona oszustwa. Jeszcze długo żadna maszyna, tzw. krzem, nie sprosta takiemu zagadnieniu.
Na poziomie drugim, z uwagi na skalę wszystkiego stosowane są zaawansowane narzędzia, wykrywające, przeciwdziałające, ale i one nie są doskonałe. Połączenie krzemu, ludzi, procedur, technik, kontekstu pozwala zbudować środowisko zdolne do odpierania ataków. Doskonale wiemy, że nie wszystkich, ale owo połączenie i to zakłada, wiemy co robić gdy nastąpi atak, wyciek, kompromitacja, wiemy, że w ogóle miało to miejsce.
Człowiek świadomy, wiedzący potrafi uszczelnić ten system, dlatego edukacja występuje na obu frontach.
Szkolenia mogą odbywać się w miłej atmosferze, poparte wieloma przykładami i tak właśnie my je robimy. Dwie, trzy godziny interakcji z słuchaczami to optimum ile ludzie mogą wytrzymać na szkoleniu z takiego zakresu. Ogrom wiedzy, którą potencjalnie można przekazać jest spory, każda niemalże informacja jest nowością. 8 godzin takich nowości? Jako trenerzy damy radę, ale czy to ma sens dla słuchaczy?
Czasami lepiej przedstawić 3-5 obszarów, w atmosferze dyskusji, analizy, pytań i odpowiedzi, bo takie zaangażowanie lepiej gruntuje wiedzę.
Zupełnie inna sytuacja jest w szkoleniach dedykowanych dla osób z IT. Tutaj jest już spora wiedza, świadomość, jednak brakuje elementu poruszanego na szkoleniu – całościowego spojrzenia na bezpieczeństwo.
Począwszy od definicji i dobrych praktyk, poprzez realizowanie projektów, szkoleń wewnętrznych, wystąpień publicznych, aż do ewaluacji tej wiedzy i utrwalania jej w zachowaniach pracowników.
Na takim szkoleniu można przedyskutować dlaczego wspólny słownik na linii IT-pracownik jest bardo istotny, że szacowanie ryzyka jest lewarem dla całego bezpieczeństwa, oraz wiele innych.
Gdy podzielasz opinię o słuszności szkolenia z cyberbezpieczeństwa, to zapraszam do kontaktu.
Jeśli uważasz, że szkolenia są drogie, poczekaj na pomyłkę pracownika i incydent.
Dodaj komentarz