Co więcej, nawet jeśli szkolenia się odbywają, ich program często nie nadąża za rozwijającą się technologią. Przykładowo, tylko 28 proc. pracowników uczestniczyło w szkoleniach z zakresu cyberzagrożeń wynikających z wykorzystywania narzędzi AI w codziennej pracy.
– W obszarze cyberbezpieczeństwa nadal zbyt często funkcjonuje przekonanie, że wystarczy zainwestować wyłącznie w „dobry zamek”, czyli odpowiednie zabezpieczenia techniczne. Nieświadomość i brak wyszkolenia pracowników to poważna luka, która osłabia skuteczność nawet najlepiej zaprojektowanych systemów bezpieczeństwa – mówi Justyna Puchała, dyrektor DAGMA Szkolenia IT.
W środowisku szkoleniowym od lat krąży cytat ukazujący podejście wielu firm do kwestii wyszkolenia zespołu. „Nie będę szkolić pracowników, bo to tylko koszty. Ja ich przeszkolę, a oni odejdą” – zakłada wielu przedsiębiorców.
– Co jednak, jeśli się ich nie przeszkoli, a oni zostaną? – pyta Justyna Puchała. – Dobrze zaprojektowane programy edukacyjne, dostosowane do specyfiki firmy i angażujące pracowników, to obecnie jeden z najbardziej opłacalnych elementów strategii bezpieczeństwa dla biznesu każdej wielkości.
Duże firmy lepiej przygotowane
Warto zauważyć, że duże firmy i małe przedsiębiorstwa znacząco różnią się w zakresie spełniania wymagań cyberbezpieczeństwa. Te pierwsze są znacznie lepiej wyposażone technologicznie, a ich pracownicy bardziej przygotowani do pracy w zgodzie z wymaganiami ochrony zasobów IT. Na ich tle małe i średnie firmy często pozostają w tyle, co czyni je bardziej podatnymi na ataki z cyberprzestrzeni.
Dobrze zaprojektowane programy edukacyjne, dostosowane do specyfiki firmy i angażujące pracowników, to obecnie jeden z najbardziej opłacalnych elementów strategii bezpieczeństwa dla biznesu każdej wielkości.
W firmach zatrudniających do 50 pracowników tylko 41 proc. kadry przeszło przynajmniej jedno szkolenie z cyberbezpieczeństwa, podczas gdy – dla porównania – w dużych firmach, zatrudniających od 500 do tysiąca pracowników, odsetek ten wynosi 73 proc.
– Nasza wieloletnia praktyka szkoleniowa pokazuje, że podejście firm do edukacji w zakresie bezpieczeństwa cyfrowego jest bardzo zróżnicowane: od świadomych, długofalowych inwestycji występujących na ogół w dużych organizacjach po minimalne i często formalne zabezpieczeniach w małych podmiotach. Tymczasem regularne szkolenia, prowadzone przez doświadczonych specjalistów, budują w organizacji nie tylko wiedzę, ale też nawyki, które w sytuacji zagrożenia stają się kluczowe – tłumaczy Justyna Puchała, DAGMA Szkolenia IT.
Nie każde szkolenie to skuteczne szkolenie
Warto nie tylko edukować pracowników, ale także weryfikować skuteczność szkoleń. Zgodnie z raportem ESET i DAGMA Bezpieczeństwo IT, główną metodą oceny wiedzy pracowników po szkoleniu z cyberbezpieczeństwa są testy online z obowiązkiem uzyskania minimalnego wyniku. Firmy rzadko sięgają po bardziej praktyczne i angażujące formy weryfikacji.
Tylko co czwarty pracownik polskich firm weryfikował swoją wiedzę przez rozmowę z osobą odpowiedzialną za cyberbezpieczeństwo. Podobnie rzadko stawia się w firmach na bardziej praktyczne metody oceny przećwiczonych umiejętności – zaledwie 18 proc. pracowników demonstrowało swoje przygotowanie do stawienia czoła fikcyjnym cyberatakom, a 24 proc. przechodziło weryfikację swoich umiejętności w symulacjach realnych zagrożeń.
Zaledwie taki odsetek kadry w firmach zatrudniających do 50 pracowników przeszedł przynajmniej jedno szkolenie z cyberbezpieczeństwa.
Zazwyczaj to w dużych, dobrze zorganizowanych firmach weryfikacja wiedzy i umiejętności w zakresie cyberbezpieczeństwa jest przeprowadzana w formie kombinacji praktycznych testów, np. symulacji kampanii phishingowej, połączonej z pogłębioną analizą wyników szkolenia i monitorowaniem działań przeszkolonych pracowników, np. przez częstotliwość zgłaszania przez nich incydentów.
Różnice w sposobie szkolenia są jednym z elementów ogólnej odporności cyfrowej organizacji. Wśród firm zatrudniających mniej niż 50 pracowników rzadko można spotkać takie, które wdrożyły kompleksową politykę cyberbezpieczeństwa. Jest to pochodna niedostatków budżetowych, braku dedykowanego personelu IT i błędnego przekonania, że są zbyt małe, by stać się celem ataków. W efekcie cybernetyczni przestępcy postrzegają je jako „łatwy cel” i coraz częściej atakują.
– Warto systematycznie szkolić pracowników, bo dobrze przygotowany zespół potrafi nie tylko rozpoznać zagrożenia i zareagować na czas, ale także ograniczyć ryzyko strat finansowych, reputacyjnych i prawnych – zachęca Justyna Puchała.
Partnerem publikacji jest ESET i DAGMA Bezpieczeństwo IT