Zasada działania protokołu 802.1X w ochronie dostępu do sieci wewnętrznej
Polityka bezpieczeństwa IT
Polityka bezpieczeństwa IT – co zawiera i dlaczego jest konieczna w firmie?
Zasada działania protokołu 802.1X w ochronie dostępu do sieci wewnętrznej
Polityka bezpieczeństwa IT
Polityka bezpieczeństwa IT – co zawiera i dlaczego jest konieczna w firmie?
Pokaż wszystko

Dlaczego szkolenia pracowników z cybernetycznego bezpieczeństwa są ważne?

Z roku na rok wzrasta liczba ataków na systemy informatyczne przedsiębiorstw. Jak można zredukować ryzyko włamania do wewnętrznej sieci i wycieku danych? Najlepiej rozpocząć od podstaw, czyli edukacji pracowników z zakresu bezpieczeństwa i ochrony zasobów informatycznych.

Pracownik w cyfrowym świecie

Funkcjonowanie większości współczesnych przedsiębiorstw w mniejszym lub większym stopniu opiera się na wykorzystaniu nowoczesnych technologii, w tym dostępie do internetu. Obecnie praktycznie każdy pracownik – magazynier, handlowiec, administrator sieci czy manager – część zawodowych obowiązków wykonuje online. Czynności te mogą przybierać różne formy: od zwykłej korespondencji za pośrednictwem poczty elektronicznej, po operacje wymagające zalogowania do uprzywilejowanych kont w systemie zarządzania (Privileged Access Management). Wraz ze wzrostem mobilności pracowników, “byciem online” i operacji wykonywanych zdalnie, podnosi się ryzyko zagrożenia bezpieczeństwa systemów i danych.
Z tego względu tak ważna jest edukacja pracowników z zagadnień związanych z bezpieczeństwem i ochroną zasobów informatycznych. Pomagają w tym dedykowane szkolenia z cyberbezpieczeństwa prowadzone przez specjalistów.

Przeczytaj również również, dlaczego warto wykonać audyt infrastruktury i audyt aplikacji.

Dlaczego każdy pracownik powinien przejść szkolenie z cyberbezpieczeństwa?

Okazuje się, że większość cyberataków dokonywanych na sieci przedsiębiorstw i organizacji zaczyna się od… pracownika.
Przysłowiowym “słabym ogniwem” może być każdy, kto nie zdobył podstawowej wiedzy o cyfrowych zagrożeniach i nie stosuje się do zasad bezpieczeństwa obowiązujących w firmie.
W jaki sposób pracownik może spowodować poważne zagrożenie bezpieczeństwa dla przedsiębiorstwa?
Przyjrzyjmy się kilku najczęściej występującym scenariuszom.

Pracownik otwiera e-maila i pada ofiarą phishingu.

Phishing to popularna wśród hakerów metoda wyłudzenia informacji bazująca na socjotechnice. Najczęściej tego typu atak przeprowadzany jest za pośrednictwem e-maila, rzadziej stron internetowych lub telefonu. Szerzej na temat phishingu i ich rodzajów pisałem w artykule: Cyberataki i malware – rodzaje i metody działania przestępców.

Z raportu CISCO Cybersecurity Threat Trends Reports [1] wynika, że w 2021 roku phishing odpowiadał za 90% naruszeń danych, przy czym aż w 65% przypadków był tzw. spear phishing, w formie spersonalizowanego e-maila. Ataki tego typu są bardzo precyzyjnie przygotowane i bardzo trudno się przed nimi obronić. W większości przypadków nawet najbardziej ostrożny pracownik nie ma świadomości, że otwiera niebezpiecznego maila lub klika link, który może spowodować instalację złośliwego oprogramowania i przejęcie systemów firmy (atak Golden Ticket) A tego typu niebezpiecznych wiadomości (wg danych Tessian) [2] potencjalny pracownik może otrzymać co najmniej kilkanaście w roku.

Pracownik ignoruje zasady polityki bezpieczeństwa.

Nieuświadomiony pracownik bardzo często nie stosuje się do wytycznych i polityki bezpieczeństwa >> wdrożonej w firmie. Potwierdza to ankieta przeprowadzona w sierpniu 2021 r. przez Palo Alto Networks [3], w której aż 35% właścicieli firm przyznało, że ich pracownicy obchodzą lub wyłączają podczas pracy zdalne zabezpieczenia. Tego typu działanie, świadome lub nieświadome, zwiększa zagrożenie i otwiera furtkę dla przestępców.

Pracownik korzysta w pracy z osobistego sprzętu.

W wielu przypadkach pracownicy ignorują wewnętrzne wytyczne bezpieczeństwa i korzystają z poczty firmowej czy nawet logują się do systemu za pośrednictwem niezabezpieczonych telefonów prywatnych czy laptopów. Tego typu działania zwiększają ryzyko dostania się do wewnętrznej sieci osób nieuprawnionych.

Szkolenie z zasad cybernetycznego bezpieczeństwa pozwala uniknąć takich sytuacji. Pracownik staje się bardziej świadomy zagrożeń, jakie czyhają na niego w internecie, wie jak na nie reagować i jak się przed nim bronić. Po szkoleniu cybernetycznym pracownik będzie znacznie uważniej przyglądał się podejrzanym e-mailom i nie zdecyduje się na ich otwarcie czy kliknięcie linku.

Zobacz też: Polityka bezpieczeństwa IT – co zawiera i dlaczego jest konieczna w firmie?

Kto powinien zostać przeszkolony z zakresu bezpieczeństwa cybernetycznego w firmie?

Praktycznie każdy pracownik, którego obowiązki i zakres uprawnień mogą mieć wpływ na bezpieczeństwo firmy. Pamiętajmy, że w większości przypadków zagrożenie może spowodować już kliknięcie linku w wiadomości e-mail lub pobranie zainfekowanego szkodliwym oprogramowaniem załącznika. Takie działania może wykonać zarówno pracownik produkcji, jak i manager wysokiego szczebla.

Szkolenie z cyberbezpieczeństwa rekomendowane jest m.in. dla:

  • Osób pracujących w działach produkcji i w magazynie;
  • Pracowników biurowych (korzystających z poczty firmowej np. z działu obsługi klientów)
  • Osób odpowiadających za zakupy w firmie;
  • Księgowych;
  • Kadry zarządzającej;
  • Pracowników działu IT.

Szkolenie z cyberbezpieczeństwa – czego nauczą się pracownicy?

Głównym celem szkolenia jest wyedukowanie pracowników i uczulenie ich na zagrożenia bezpieczeństwa, które mogą wystąpić podczas pracy online i pracy z systemami komputerowymi.
Tematyka szkolenia powinna być ściśle dopasowana do stanowiska i obowiązków pracownika. Na przykład pracownik obsługujący korespondencję biurową powinien być szczególnie przeszkolony z zakresu technik socjotechnicznych i metod phishingu stosowanych w korespondencji elektronicznej. Pracownik zdalny, który często zabiera firmowego laptopa do domu, musi poznać zasady wykorzystywania służbowego sprzętu np. do celów prywatnych. Zupełnie inne zagrożenie bezpieczeństwa może spowodować pracownik działu IT mający dostęp do kont uprzywilejowanych.

Po odbyciu szkolenia pracownicy:

  • będą mieli większą świadomość zagrożeń;
  • poznają najczęściej stosowane metody hakerów;
  • dowiedzą się jak rozpoznawać i zapobiegać atakom;
  • nauczą się prawidłowo reagować na incydenty zagrożenia bezpieczeństwa;
  • poczują większą odpowiedzialność za bezpieczeństwo w firmie.

W zależności od potrzeb przedsiębiorstwa zakres tematyczny szkolenia może się różnić. Zazwyczaj podczas tego typu spotkań omawiane są następujące zagadnienia:

  • aktualne zagrożenia w zakresie cyberbezpieczeństwa;
  • podstawy prawne: ochrona danych osobowych (RODO), ustawa o krajowym systemie cyberbezpieczeństwa;
  • polityka bezpieczeństwa organizacji;
  • bezpieczne korzystanie z Internetu i poczty e-mail;
  • obszar socjotechniki i phishingu;
  • kwestia ochrony haseł i bezpiecznego uwierzytelniania;
  • bezpieczeństwo urządzeń mobilnych;
  • bezpieczeństwo pulpitu zdalnego;
  • dobre praktyki w zakresie korzystania z publicznej sieci Wi-Fi;
  • Cloud Security;
  • bezpieczna korzystanie z urządzeń służbowych w domu;
  • bezpieczeństwo fizyczne.

Zajęcia praktyczne.

W niektórych przypadkach firmy szkoleniowe oferują również przeprowadzenie tak zwanego kontrolowanego ataku phishingowego. Podczas “ataku” do pracowników wysyłany jest e-mail z linkiem zawierającym złośliwe oprogramowanie. Tego typu kontrolowane ataki phishingowe dzieli się na scenariusze, dostosowane do danych grup. Badany jest odsetek pracowników, którzy klikną link przed i po szkoleniu. To doskonały sposób na wstępną ocenę pracowników, a także na sprawdzenie, czy wiedza zdobyta w trakcie szkolenia stosowana jest w praktyce.

Jak wybrać wartościowe szkolenie z cyberbezpieczeństwa?

Przy wyborze firmy oferującej szkolenia z cyberbezpieczeństwa warto zwrócić uwagę na następujące elementy:

Doświadczeni szkoleniowcy.

Szkolenia dla pracowników powinny być się prowadzone przez wykwalifikowanych trenerów, którzy oprócz wiedzy teoretycznej mogą pochwalić się konkretnym doświadczeniem i praktyką związaną z bezpieczeństwem cyfrowym.

Skrojona do potrzeb agenda.

Szkolenie cyberbezpieczeństwa powinno być dostosowane do indywidualnych potrzeb biznesowych i uwzględniać takie elementy jak: branża, struktura organizacyjna firmy, zakres zadań pracowników na poszczególnych stanowiskach itd. Z tego względu przygotowanie agendy szkolenia powinno być poprzedzone gruntowną analizą przedsiębiorstwa, odnosić się do firmowej polityki bezpieczeństwa, standardów korporacyjnych i uwypuklać rzeczy, które potencjalnie mogą być najważniejsze dla odbiorców szkolenia.

Zgodne z bieżącym prawem.

Szkolenie bezpieczeństwa powinno uwzględniać aktualne przepisy, a także wymogi prawne, którym podlegają niektóre jednostki i organizacje np. Prawo do ochrony danych osobowych (RODO), wymogi europejskiej dyrektywy NIS dotyczącej zarządzania ryzykiem i raportowania incydentów cyberbezpieczeństwa czy dyrektyw Komisji Nadzoru Finansowego.

Elastyczny format.

Należy wybrać taką formę szkolenia, która będzie dopasowana do charakteru pracy i uwzględniać potrzeby pracowników. Warto szukać firm szkoleniowych, które są w stanie elastycznie reagować na wymogi klienta np. oferują szkolenia zdalne i stacjonarne w różnej formie. Jeżeli jesteśmy w stanie zgromadzić wszystkie pracowników w jednym miejscu i w określonym czasie warto zorganizować szkolenie stacjonarne. W przypadku dużych i rozproszonych firm z dużą ilością filii rozwiązaniem może być forma zdalna. Szkolenie również może być podzielone na kilka sesji, w których tematyka rozbijana jest na bloki. W tym przypadku zamiast jednego całodniowego szkolenia oferowane jest kilka mniejszych szkoleń po 2-3 godziny.

Testy kontrolne.

Miarą jakości szkolenia jest to, jak dużo wiedzy pozostaje w głowach pracowników po jego zakończeniu. Warto wybrać szkolenia, które będą oferowały praktyczną wiedzę i narzędzia do jej weryfikacji np. testy. Doskonałą formą są też wspomniane kontrolowane ataki pishingowe, które sprawdzają, w jaki sposób pracownicy w praktyce stosują wiedzę i wskazówki przekazane na szkoleniach.

Certyfikaty dla pracowników.

Certyfikaty oferowane pracownikom po szkoleniu są fizycznym dowodem na to, że zdobyli określoną wiedzę i umiejętności dotyczące bezpieczeństwa cyfrowym. To również forma wyróżnienia, która będzie motywacją dla pracownika do angażowania się mocniej w kwestii bezpieczeństwa firmy.

Dowiedz się również jak pozyskać budżet na IT i szkolenie z cyberbezpieczeństwa.

Chcesz przeszkolić pracowników z zagadnień cyberbezpieczeństwa?

Zapraszam do kontaktu telefonicznego ze mną pod numerem +48 515 135 478 lub mailowego pod adresem pt@sebitu.pl . Wybierzemy najlepszą opcję pod względem potrzeb biznesowych.


Przypisy:

  1. Cybersecurity threat trends: phishing, crypto top the list [dostęp 10.05.2022r]
  2. Must-Know Phishing Statistics: Updated 2022 [dostęp 10.05.2022r]
  3. The State of Hybrid Workforce Security 2021 [dostęp 10.05.2022r]

Ostatnia aktualizacja 2024-02-21

Piotr Tamulewicz - avatar.
Doradca ds. rozwiązań IT w SEBITU.