przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Jak powinno wyglądać szkolenie pracowników w zakresie cyberbezpieczeństwa?

Jak powinno wyglądać szkolenie pracowników w zakresie cyberbezpieczeństwa?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Szkolenie pracowników w zakresie cyberbezpieczeństwa staje się kluczowe wobec wszechobecnych zagrożeń w sieci. Nie należy pomijać ludzkiego aspektu bezpieczeństwa organizacji, który powinien uzupełniać odpowiednie rozwiązania techniczne. Trzeba pamiętać o konieczności dostosowania materiałów szkoleniowych do konkretnego stanowiska oraz poziomu kompetencji cyfrowych pracownika, aby przekazywana wiedza mogła być skutecznie wykorzystana w praktyce. Warto też zaznaczyć, że w przypadku niektórych jednostek sektora finansów publicznych dostęp do szkoleń nie wymaga nakładów finansowych.

Rozsądne szkolenia

Szkolenia z zakresu cyberbezpieczeństwa powinny być dostosowane do odbiorcy. W obrębie jednej organizacji mogą występować różne potrzeby, nawet w odniesieniu do tych samych zagrożeń.

Przykład 1.

Przedsiębiorstwo postanowiło zorganizować szkolenie pracowników w zakresie obrony przed atakami. W przypadku działu księgowości program powinien uwzględniać m.in. podstawowe rozpoznawanie prób phishingu, weryfikowanie zmian numeru konta kontrahentów i ochronę danych osobowych. Z kolei w dziale IT tematyka powinna koncentrować się na bardziej technicznych aspektach, takich jak monitoring sieci, wdrażanie dwuetapowego uwierzytelniania czy testowaniu odtwarzania kopii zapasowych.

Szkoląc pracowników w zakresie cyberbezpieczeństwa, należy zadbać o to, aby oprócz przekazywania niezbędnej wiedzy położyć nacisk na rzeczywiste zwiększenie poziomu cyberbezpieczeństwa organizacji. Szkolenie powinno umożliwić zadawanie pytań ekspertom, którzy udzielą odpowiedzi w sposób dostosowany do poziomu wiedzy odbiorcy.

Bezpłatne szkolenia dla administracji publicznej

Departament Cyberbezpieczeństwa Ministerstwa Cyfryzacji organizuje bezpłatne szkolenia dla podmiotów należących do krajowego systemu cyberbezpieczeństwa (KSC). Program obejmuje trzy kategorie, których wybór powinien zależeć od roli pracownika w danej organizacji.

Zgodnie z obowiązującą Ustawą z 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa w skład KSC wchodzą wybrane jednostki sektora finansów publicznych, w tym organy władzy publicznej, jednostki samorządu terytorialnego oraz jednostki budżetowe. Mogą one skorzystać z wyżej wspomnianych webinarów.

Szkolenie jako proces

Jednorazowe przeprowadzenie szkolenia na dany temat może nie przynieść oczekiwanych rezultatów. W 2023 roku Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opublikowała przewodnik dotyczący świadomości w zakresie cyberbezpieczeństwa (ang. cybersecurity awareness).

ENISA wyróżniła osiem kroków, które umożliwiają zaplanowanie i przeprowadzenie programu szkoleń:

  • określenie celu,
  • zabezpieczenie środków finansowych,
  • zapewnienie zasobów kadrowych (HR),
  • podzielenie pracowników na grupy docelowe,
  • wybór odpowiednich narzędzi,
  • przygotowanie harmonogramu,
  • wdrożenie programu,
  • ocena programu.

W opracowaniu podkreślono m.in. znaczenie dopasowania treści do konkretnej grupy oraz wykorzystanie interaktywnych technik nauki, takich jak:

  • grywalizacja,
  • nagrania wideo,
  • quizy.

RODO a szkolenia z cyberbezpieczeństwa

Prawidłowe przetwarzanie danych osobowych wymaga stosowania odpowiednich środków technicznych i organizacyjnych w ramach zapewnienia cyberbezpieczeństwa. Środki te zapewniają poufność, integralność, dostępność oraz odporność systemów i usług przetwarzania. Wymóg ten wynika z art. 32 pkt. 1 lit. b) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO).

RODO nie nakłada na administratora obowiązku wdrożenia programu szkoleniowego w obszarze wyłącznie cyberbezpieczeństwa. Przepisy odnoszą się do zwiększania kompetencji personelu w zakresie ochrony danych osobowych. W artykule 39 RODO wymieniono zadania inspektora ochrony danych, do których należą m.in.:

  • informowanie o obowiązkach wynikających z rozporządzenia,
  • prowadzenie działań zwiększających świadomość w zakresie ochrony danych osobowych,
  • szkolenie personelu biorącego udział w operacjach przetwarzania.

Szkolenia w MŚP

Małe i średnie przedsiębiorstwa często nie dysponują znacznymi środkami finansowymi na podniesienie poziomu cyberbezpieczeństwa. W 2021 roku Agencja Unii Europejskiej ds. Cyberbezpieczeństwa opublikowała przewodnik dla MŚP Cybersecurity guide for SMEs – 12 steps to securing your business, składający się z 12 kroków. ENISA zaznacza, że szkolenia powinny być regularne, dostosowane do potrzeb organizacji oraz odnosić się do rzeczywistych sytuacji z praktyki. Wyróżniono również szczególną rolę szkoleń dla osób odpowiedzialnych za zarządzanie cyberbezpieczeństwem.

We wspomnianym przewodniku zalecono m.in. prowadzenie ewidencji obecności na szkoleniach, aby upewnić się, że wszyscy pracownicy wzięli w nich udział. Wskazano również to, że osoby pracujące w działach IT mogą nie posiadać wystarczającej wiedzy z zakresu cyberbezpieczeństwa. ENISA jednoznacznie oddzieliła kompetencje z zakresu informatyki od kompetencji w obszarze cyberbezpieczeństwa. 

W celu zmniejszenia prawdopodobieństwa wystąpienia incydentu agencja zaleca wprowadzenie formalnego procesu szkoleń, a także w razie potrzeby współpracę z podmiotem zewnętrznym, aby określić poziom dojrzałości organizacji i opracować plan dostosowany do posiadanych kompetencji.

Kluczowe kompetencje

Szkolenie pracowników w zakresie cyberbezpieczeństwa powinno koncentrować się przede wszystkim na świadomości zagrożeń oraz reagowaniu na nie w zależności od pełnionej roli w organizacji. Nie można zapominać, że wdrożenie nowych zasad lub rozwiązań bez rzetelnego omówienia ich zasadności może zniechęcić pracowników do korzystania z danego środowiska. Jednocześnie warto pamiętać, że realną wartością szkolenia nie jest podpisanie dokumentu potwierdzającego zapoznanie się z określoną tematyką, ale nabyta wiedza.

Przykład 2.

Organizacja wdrożyła dwuetapowe uwierzytelnianie. Niektórzy pracownicy mogą je postrzegać jako dodatkowe utrudnienie, które negatywnie wpływa na ich komfort pracy. Aby zaznajomić użytkowników z praktycznymi aspektami korzystania z drugiego składnika logowania (np. kodami jednorazowymi z aplikacji), warto przeprowadzić praktyczne szkolenie, które odpowie na ich pytania oraz pokaże potencjalne zagrożenia związane z wyciekiem danych logowania.

Warto zadbać, aby wiedza zdobywana na szkoleniach mogła być wykorzystywana w praktyce, na przykład przy informowaniu o incydentach. Dobrze jest także omówić ataki phishingowe, co ilustruje kampania wymierzona w samorządy z końca października bieżącego roku, w której cyberprzestępcy podszywali się pod jednego z wiceministrów cyfryzacji. 

Wśród kluczowych kompetencji, które powinno obejmować szkolenie z zakresu cyberbezpieczeństwa, wyróżnia się m.in.:

  • rozpoznawanie różnic pomiędzy rozszerzeniami plików, ze szczególnym naciskiem na ostrożność wobec plików wykonywalnych i pochodzących z niezaufanych źródeł,
  • znajomość roli dwuetapowego uwierzytelniania,
  • regularną aktualizację oprogramowania,
  • wykorzystywanie unikatowych haseł przy wsparciu menedżera haseł,
  • podstawy rozpoznawania e-maili phishingowych, m.in. na postawie domeny,
  • odpowiedzialne korzystanie z fizycznych nośników danych i rozwiązań chmurowych, w tym z uwzględnieniem ochrony danych osobowych.

Warto również omówić konieczność potwierdzania ważnych zmian za pośrednictwem innego kanału komunikacji, co ma szczególne znaczenie w przypadku osób odpowiedzialnych za wykonywanie przelewów.

Przykład 3.

Na skrzynkę e-mailową działu księgowości wysłano wiadomość informującą o zmianie numeru konta na fakturze do opłacenia. W treści zawarto prośbę o niezwłoczne uregulowanie płatności. W takim przypadku warto upewnić się za pośrednictwem innego kanału komunikacji (np. telefonicznie), że zmiana numeru konta kontrahenta faktycznie miała miejsce. Taka weryfikacja pozwala uniknąć strat finansowych wskutek ataku BEC (ang. business e-mail compromise), czyli przejęcia skrzynki mailowej przez cyberprzestępców.

Szkolenie pracowników w zakresie cyberbezpieczeństwa - podsumowanie

Celem szkolenia powinno być uzupełnienie stosowanych środków technicznych, przy czym oba procesy powinny odbywać się równolegle. Niezależnie od liczby i treści szkoleń istotne jest, aby pracownik był zarówno świadomy zagrożeń w cyberprzestrzeni, jak i czuł wsparcie zarządu bądź kierownictwa. Obecna sytuacja międzynarodowa jednoznacznie pokazuje, że cyberbezpieczeństwo staje się kluczowym ogniwem funkcjonowania przedsiębiorstw oraz jednostek samorządu terytorialnego.

W procesie szkoleń nie warto pomijać osób odpowiedzialnych za cyberbezpieczeństwo w organizacji. Poziom przekazywanej wiedzy powinien być dostosowany do ich kompetencji oraz wykonywanych zadań.

Polecamy:

Jak sprawdzić NIP, czyli Numer Identyfikacji Podatkowej?

Cyberbezpieczeństwo w mediach społecznościowych – ...
Grudzień 2025
23
Wtorek
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • VAT 7
  • VAT UE (elektroniczna)
  • Remanent końcowy
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  2. Dyrektywa NIS 2 – jakie obowiązki czekają małe i średnie firmy?
  3. Cyberbezpieczeństwo w organizacji - jak cyberprzestępcy włamują się do firm i JST?
  4. Komunikatory a RODO w pracy – jak korzystać z nich bezpiecznie?
  5. Audyt bezpieczeństwa – praktyczne podejście do zarządzania ryzykiem
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Cyberbezpieczeństwo w mediach społecznościowych – jak chronić firmę?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Mobile Trends Conference 2026 – Najważniejsze wydarzenie technologiczne nadchodzącego roku
Specjaliści SEO i marketerzy spotkają się w Katowicach - nadchodzi 5. edycja CTRL+GROW!
Smart City Forum – miasta przyszłości w epoce danych, bezpieczeństwa i cyfrowej odporności
XIV Ogólnopolska Konferencja Naukowa „Rachunkowość i Finanse. Teoria i Praktyka”
Kongres For Social Media 2025 Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów