Jak przeprowadzić szkolenie w zakresie cyberbezpieczeństwa w urzędzie? Na co należy zwrócić uwagę? Podajemy na wybranym przykładzie szkolenia, które odbyło się w ubiegłym tygodniu 14 marca 2023 r. w Gminie Wierzchowo, powiat drawski, woj. zachodniopomorskie.
Klasyczny harmonogram szkolenia w zakresie cyberbezpieczeństwa
I BLOK: 9:30 – 10:45. |
- Główne założenia i wymagania prawne cyberbezpieczeństwa w pracy urzędnika
- Polityka bezpieczeństwa w organizacji. Definicja
- Definicja incydentu bezpieczeństwa i zasady postępowania z incydentem w urzędzie
- Integralność, poufność, dostępność. Definicje
- Istotne obszary bezpieczeństwa z punktu widzenia pracowników urzędu z uwzględnieniem:
- Prawidłowe korzystanie z komputera
PRZERWA 15 min.
II BLOK: 11:00 – 12:15. |
- Rodzaje ataków. Przyczyny, źródła, cel i mechanizmy ataków.
- Czym jest socjotechnika i jak się przed nią bronić?
- Przykłady incydentów bezpieczeństwa informacji. Największe wycieki danych z ostatnich lat . Omówienie przykładów.
- DYSKUSJA. Pytania i odpowiedzi.
PRZERWA 15 min.
III BLOK: 12:30 – 14:00. Ćwiczenia na komputerach |
- Rozpoznawanie złośliwego oprogramowania i phishingu.
- Rozpoznawanie fałszywych informacji.
- Jak bezpiecznie komunikować się w Internecie?
- Użytkowanie menadżera haseł, szyfrowanie danych.
- W jaki sposób zabezpieczyć własne dane?
- Omówienie i prezentacja oprogramowania do obrony przed złośliwym oprogramowaniem.
Co powinni się dowiedzieć pracownicy na szkoleniu w zakresie bezpieczeństwa informacji? Pytania
- Do kogo zgłosić naruszenie wewnątrz urzędu?
- Czy można zgłosić samemu naruszenie? Gdzie i jakie?
- Jaka jest lista obecnie potencjalnych zagrożeń i ćwiczenia jak ich uniknąć?
- Czy jest i jaka jest Polityka Bezpieczeństwa w urzędzie?
- Kto jest Administratorem Systemu Informatycznego i czy został zgłoszony do CSIRT NASK? Jaka jest jego rola, upoważnienia, obowiązki?
- Czym jest integralność, poufność, dostępność? Dlaczego too jest ważna?
- Jakie są istotne obszary bezpieczeństwa pracy urzędnika?
- Najważniejsze zasady do przestrzegania
- Czy wiesz czym jest socjotechnika? Dlaczego jest taka duża skala wyłudzeń i co grozi pracownikowi urzędu?
- Które z incydentów prowadzą do katastrofy wizerunkowej, które do finansowej?
- Czy dobrze chronimy dane od sygnalisty?
- Dlaczego ważne są ćwiczenia w zakresie rozpoznania zagrożeń?
Szkolenia spotykają się z coraz większym zainteresowaniem ze strony jednostek samorządowych. Jedną z przyczyn takiego stanu jest masowy atak na sprzęt IT oraz względnie duży poziom prób wyłudzeń informacji. Nie zawsze łatwo postawić kryterium ochrony danych a służebność w informowaniu petentów.
Już dzisiaj należy przyjąć takie kryterium, że działania podnoszącego świadomość powinny być wykonywane cyklicznie (przynajmniej raz w roku), zgodnie z KRI. Ponadto uwzględnienie w przeglądzie rocznym audytu na terenie urzędu pozwoli na zweryfikowanie stanu świadomości i postępowanie pracowników. Kolejnym krokiem będzie zapewnienie ciągłości działania o czym będzie mowa w jednym z kolejnych artykułów.