Kibernetinio saugumo mokymai darbuotojams: kas yra tikrasis laimėtojas?
„Manoma, kad IT skyriui reikia specializuotų mokymų, kurie būtų itin techniški. Turbūt sunku būtų su tuo nesutikti, tačiau kibernetinis saugumas – sritis, kuri aktuali visiems darbuotojams, mat kiekvienas iš jų savo veiksmais kasdienėje veikloje gali prisidėti prie kibernetinių incidentų prevencijos, o jiems visgi įvykus – žinoti, kaip elgtis. Žinoma, žinių apie technikas, kurios padėtų suvaldyti kibernetinį incidentą, yra racionalu tikėtis iš IT arba incidentų reagavimo skyriaus, jeigu organizacija tokį turi. Tad kibernetinio saugumo mokymus galima skirstyti į kelias grupes: būtinuosius ir investicinius“, — sako R. Jašinskienė
„Leidinyje „Kibernetinis saugumas ir verslas. Ką turėtų žinoti kiekvienas įmonės vadovas“ sakoma, kad vienas iš dešimties pirmųjų veiksmų, padidinančių įmonės kibernetinį atsparumą - darbuotojų mokymas. Bendriniai kibernetinio saugumo mokymai, kurie apima tokias sritis, kaip saugus prisijungimas, socialinės inžinerijos atpažinimas, dezinformacija ir jos plitimas bei dalijimasis ar socialinių medijų erdvė, turėtų organizacijoje vykti periodiškai. Visų darbuotojų kibernetinis budrumas yra itin svarbus organizacijos saugumui — kas antras duomenų pažeidimas įvyksta dėl žmogaus ir sistemų klaidų[1]. Ir tai neturėtų stebinti, nes daugiau nei 90 % kenkėjiškų programų yra pernešama el. paštu[2], kuris mūsų gyvenime, ir ypač darbe, užima labai svarbią vietą. Daugiau kaip trečdalis visų mus pasiekiančių el. laiškų yra brukalai (angl. spam)[3], su kuriais atkeliauja ir kenkėjiškos nuorodos, ir šnipinėjančios programėlės, ir visi kiti bandymai išvilioti konfidencialius duomenis — dažniausiai prisijungimus prie sistemų. Tad sveikintina, kai į bendrinius kibernetinio saugumo mokymus žiūrima tarsi į higieną.“
Ekspertė teigia, kad net ir turint puikų tam tikros srities specialistą ar jų komandą, būtina nuolat stiprinti jų pajėgumus:
„Kita dalis mokymų — tiksliniai arba specializuoti kibernetinio saugumo mokymai, kurie įgalina IT specialistus valdyti incidentus, reaguoti į juos greičiau ir efektyviau, jau yra skirti specialistams arba komandai, kuriems tai pagrindinė užduotis. Čia investuojama ir į pačius žmones, ir į organizacijos atsparumą, gebėjimą valdyti rizikas ir mažinti pasekmes.“
Mokymai dažnai pateikiami kaip tam tikrų sričių stiprinimas, kvalifikacijos kėlimas. Ar galima teigti, kad kibernetinio saugumo mokymai prisideda prie darbuotojų gerbūvio?„Iš savo ilgametės praktikos galime pasakyti, kad bendrinius kibernetinio saugumo mokymus darbuotojai vertina ne tik dėl to, kad jie yra svarbūs darbe, tačiau ir todėl, kad įgytos žinios ir įgūdžiai praverčia jų kasdieniniame gyvenime ir namų aplinkoje. Vis daugiau laiko praleidžiame elektroninėje erdvėje, tiek atlikdami darbines užduotis, tiek besirūpindami buitiniais reikalais, tiek leisdami laisvalaikį. Dažnai visa tai yra persipynę, virtualioje erdvėje daug lengviau „pereiti“ iš vienos aplinkos į kitą, todėl atskirti kur asmeniniai poreikiai, o kur darbiniai, tampa keblu. Dėl karantino darbą perkėlus į namus, tai tapo dar painiau. Jeigu anksčiau asmeniniams tikslams kartais naudodavome darbui skirtus įrenginius, pavyzdžiui, nusipirkti bilietą į koncertą per pietų pertrauką, arba atvirkščiai — asmeninėje planšetėje patogumo dėlei įsidiegdavome darbinę el. pašto dėžutę. Dabar tai atrodo savaime suprantama. Juk namai ir darbas neretam tapo tiesiog viena erdve.
Taip pat girdime atsiliepimų, kad bendrosios žinios apie kibernetinį saugumą padeda pastebėti ir apie potencialias grėsmes kalbėtis su kitais šeimos nariais. Pavyzdžiui, kaip ir apie kokius el. erdvės pavojus tėvams reikėtų kalbėtis su vaikais arba apie ką įspėti savo pačių tėvus ir kitus artimuosius. Organizacijų, su kuriomis dirbame, personalo valdymo skyriai indikuoja, kad tokie ir panašūs mokymai, kai apimamos įvairios gyvenimo sritys, daugumos darbuotojų vertinami, kaip keliantys motyvaciją ir stiprinantys ryšį su organizacija.
Tuo tarpu specializuoti mokymai turi kiek kitokį efektą — tai tiesioginė investicija į kompetencijų ir pajėgumų stiprinimą. Mus supa vis daugiau technologijų, jos vis išmanesnės, greitesnės, galingesnės, bet vis dėlto už jų valdymą ir atnešamą rezultatą yra atsakingi žmonės. „Technologijos – tik įrankiai, o jų tikslingam ir sėkmingam panaudojimui ir išnaudojimui itin svarbūs įgūdžiai ir žinios”, — teigia profesorius ir praktikas Donald F. Norris[4]. Štai kibernetinių incidentų stebėjimui naudojamas galingas įrankis IBM Qradar bus mažai naudingas, jeigu „šalia“ neturėsime gerai paruošto analitiko. O kuo jis geriau ir efektyviau paruoštas bei pasiruošęs, tuo efektyviau pastebi, kas slypi „ tarp eilučių“ — t. y. iš pirmo žvilgsnio visiškai normaliai atrodančiame duomenų sraute gali būti ir gerai užmaskuota ataka. Deja, IT industrijoje tenka girdėti, kad dėl didelės darbuotojų kaitos toks talentų ugdymas yra brangus ir beviltiškas, nes apmokius didelė tikimybė, kad darbuotojas po kažkiek laiko paliks organizaciją. Tačiau pagalvokite, kas bus jeigu jūs jo neapmokysite ir jis pasiliks“, — dėmesį atkreipia R. Jašinskienė
Kaip ir kas turėtų parinkti kokių kibernetinio saugumo mokymų reikėtų organizacijai?„Dažname darbo skelbime rasite kelis sakinius apie mokymus – jie pozicionuojami kaip papildomos naudos, kurias siūlo įmonė, kaip būdas tobulėti ir kelti kvalifikaciją“, — pastebi Ž. Nečejauskaitė, — „Paradoksalu, tačiau mokymai dažniausiai tampa ta biudžeto eilute, kuri „tempiasi“ iki metų galo ir tuomet paskubomis renkami mokymai arba paskirtos lėšos išvis taip ir lieka nepanaudotos. Kodėl taip yra? Dažnas atvejis — nėra atsakingo žmogaus ar skyriaus, kuris tuo pasirūpintų. Net jeigu organizacija turi personalo valdymo skyrių ar atsakingą asmenį, mokymų biudžetui skirtos lėšos neretai priskiriamos kiekvienam skyriui. Visgi už bendrinių kibernetinio saugumo mokymų organizavimą turėtų būti atsakingas ne IT skyrius, o personalo valdymo komanda, nes tai svarbu visiems organizacijos darbuotojams.“
Specialistė siūlo apie kibernetinį saugumą su darbuotoju pradėti kalbėtis jau nuo pirmųjų dienų organizacijoje:
„Tikrai nemažai organizacijų ką tik pradėjusiems darbuotojams turi sudėliojusios taip vadinamą „startinį paketą“ — kelias intensyvias dienas, kurių metu susipažįstama su organizacija, jos kultūra, taisyklėmis ir darbo nuostatomis. Šio etapo dalimi turėtų tapti ir kibernetinio saugumo mokymai, gal net su žaismingu žinių patikrinimu. Tai gali būti ir jau neseniai vykusių kibernetinio saugumo mokymų įrašas, arba, ypač jeigu startuoja didesnė grupelė darbuotojų, mokymai atliekami gyvai. Taip pat, remiantis mokymų medžiaga, verta pasiruošti kibernetinio saugumo atmintinę. Organizacijos komunikacijos, ypač, jeigu turite, vidinės komunikacijos, skyrius galėtų šią atmintinę pateikti paprastu ir įsimintinu formatu, pagalvoti apie efektyviausius kanalus, kaip ja dalintis ir kur ją talpinti.
O štai specializuotus kibernetinio saugumo mokymus greičiausiai rinksis jau patys padaliniai. Iš praktikos matome, kad vidinės komunikacijos kanalais verta paskleisti žinią apie planuojamus specializuotus mokymus ir kokių žinių bei įgūdžių galima po jų tikėtis. Neretai po specializuotų mokymų, tokių kaip „Informacijos analizė“ arba „Atvirųjų šaltinių žvalgyba“, girdime, kad jie būtų buvę labai vertingi ir aktualūs ir kitiems kolegoms“, — teigia ji, — „Grįžtant prie biudžeto, eilutės gali būti priskirtos ir prie konkrečių padalinių ar komandų dėl efektyvesnės apskaitos, tačiau patartina, kad atsakomybę prisiimtų personalo valdymo padalinys arba už šią sritį atsakingas žmogus. Taip atsiras didesnė tikimybė, kad mokymai visgi įvyks ir nebus nuolatos atidėliojami dėl darbo krūvio.“
Kokiais kriterijais vertėtų vadovautis renkantis kibernetinio saugumo mokymus ir dėstytojus?„Kibernetinio saugumo mokymuose, kaip ir daugelyje kitų, yra itin svarbus praktinis jų aspektas“, – pažymi R. Jašinskienė, — „Ir nesvarbu, ar turime omenyje bendrinius mokymus apie slaptažodžių silpnąsias puses ir duomenų saugumą, ar specializuotus mokymus apie reagavimą į kibernetinius incidentus. Galioja sena gera taisyklė — teorija suteikia žinių, tačiau kaip elgtis realioje situacijoje, galime įvertinti tik išbandę jas praktikoje. Praktika gali vykti dar mokymų metu, tai — įvairūs pratimai, simuliacijos ir scenarijų gvildenimas. Todėl, kai rinksitės kibernetinio saugumo mokymų teikėjus, atkreipkite dėmesį, kiek ir kokio pobūdžio praktinių pratimų yra planuojama, kaip sudėlioti mokymų moduliai, kokius metodus naudos žinių perteikimui. Ne mažiau svarbu turima dėstytojų patirtis. Kuo daugiau praktikos – tuo daugiau realių pavyzdžių ir uždavinių iš „gyvenimo“. Jeigu yra galimybė, rinkitės tarptautinių kibernetinio saugumo organizacijų bei bendruomenių tarpe pripažintus, tarptautinės patirties turinčius dėstytojus — jie ne tik duos jums tokių žinių, kurių kiti neturi, bet ir praplės jūsų akiratį.“
Kolegei pritaria ir Živilė Nečejauskaitė, pridurdama, kad mokymai gali tapti ir puikia vieta praplėsti ne tik žinių ratą:
„Tarptautiniai, sertifikuoti neretai suteikia darbuotojams galimybę megzti pažintis ar tapti tarptautinių bendruomenių dalimi. Pavyzdžiui, NRD Cyber Security, kaip Jungtinių Tautų Tarptautinės Telekomunikacijos Sąjungos Kompetencijų Centro, organizuotuose mokymuose dalyviai iš Lietuvos turėjo galimybių susipažinti su kolegomis iš Šveicarijos, Kipro, Estijos, Lenkijos, Rumunijos, Kroatijos, Bulgarijos, Egipto, Nigerijos, Somalio, Ruandos, Montserato bei Bangladešo. Šiems mokymams svarbi ne tik specializuota medžiaga, bet ir dalijimasis žiniomis tarpusavyje. Tai — puiki erdvė skleisti žinią apie atstovaujamą organizaciją, o juk būtent darbuotojai yra geriausi jūsų organizacijos ambasadoriai. Apie įgytus sertifikatus ir išklausytus kursus ne viena įmonė pasidalija savo komunikacijos kanalais vedama darbdavio įvaizdžio tikslų. Tačiau būtent specializuoti kibernetinio saugumo mokymai gali signalizuoti, kad investuojate ne tik į savo darbuotojus, bet ir stiprinate organizacijos kibernetinės erdvės atsparumą.“
Daugiau informacijos apie bendrinius kibernetinio saugumo mokymus visai organizacijai bei specializuotus kursus, galite rasti čia: NRD Cyber Security mokymų kursai. [1] https://newsroom.ibm.com/2019-07-23-IBM-Study-Shows-Data-Breach-Costs-on-the-Rise-Financial-Impact-Felt-for-Years [2] https://www.lawyersmutualnc.com/blog/90-percent-of-cyber-attacks-come-via-emailVERSLO TRIBŪNA
Didžiausios prekybinių ir sandėliavimo patalpų (stock-office) plėtotojos Vilniuje „Darnu Group“ valdomuose „Vilniaus verslo parkuose“ plečiasi verslo bendruomenė –prie jos prisijungė dar septyni nauji verslai.
Smulkaus ir vidutinio verslo atstovai (SVV) savo efektyvumą vertina vidutiniškai – 7 balais iš 10, rodo NT plėtros bendrovės „Darnu Group“ inicijuotas tyrimas. Didžiausiu iššūkiu jie įvardija veiklos procesų planavimą ir valdymą (36 proc.). Reikšminga jų dalis teigia susidurianti ir su kaštų valdymo (30 proc.) bei darbuotojų vadybos problemomis (23 proc.). Ekspertų teigimu, tai kompleksiški klausimai, tačiau net ir patalpos, kuriose veikia verslas, gali turėti stebinančiai didelę įtaką juos sprendžiant.
