Budowanie kultury cyberbezpieczeństwa — jak angażować ludzi i mierzyć efekty?

Zachęcamy do wysłuchania nagrania z naszego webinaru z serii „Priorytety w cyberbezpieczeństwie”. Spotkanie poprowadziła Maria Kostacińska z Trecom, a gościem był Tomasz Matuła – ekspert rynku ICT i cyberbezpieczeństwa.

Świadomość cyberzagrożeń staje się dziś kluczowym elementem strategii każdej organizacji. Nawet najlepsze narzędzia techniczne – firewalle, EDR-y czy SOCi – nie spełnią swojej roli, jeśli pracownicy nie będą rozumieli, jakie ryzyka wiążą się z codzienną pracą w cyfrowym środowisku. Dlatego coraz większą wagę przykłada się do programów budowania świadomości bezpieczeństwa (Security Awareness), które angażują ludzi, uczą rozpoznawania zagrożeń i kształtują kulturę odpowiedzialności.

W trakcie dyskusji omawiamy m.in.:

• rolę ambasadorów i liderów zmiany w organizacji,
• jak skutecznie angażować pracowników w tematy bezpieczeństwa,
• jakie narzędzia i metody najlepiej sprawdzają się w programach Security Awareness,
• oraz jak mierzyć efektywność działań i przekładać je na realną odporność organizacji.

To praktyczny przewodnik, który pokazuje, że cyberodporność nie zaczyna się od technologii, ale od ludzi.

Ambasadorzy programu

Nie tylko zarząd i kierownictwo powinni świecić przykładem. Warto wybrać ambasadorów programu – ludzi w różnych częściach organizacji, którzy staną się liderami nowego podejścia i kultury.

Ambasadorzy pokazują swoim zespołom, że sami stosują nowe wartości i praktyki w codziennej pracy. Muszą być dostępni dla pracowników, gotowi odpowiadać na pytania i wspierać innych.

Ambasadorzy nie tylko z IT

Ambasadorzy nie powinni pochodzić wyłącznie z działu IT. Najlepiej, jeśli znajdą się w różnych obszarach firmy – w marketingu, sprzedaży, księgowości czy logistyce.

Kluczem jest, by były to osoby szanowane i lubiane, które naturalnie przyciągają innych. Jednocześnie w samym IT również warto mieć ambasadora – ten dział bywa często najbardziej oporny wobec zmian.

Ciągła edukacja

Edukacja pracowników nie może być jednorazową akcją. Potrzebne są systematyczne działania – filmy, kampanie, szkolenia – które utrwalają wiedzę i nawyki.

Aby ta edukacja miała sens, trzeba określić KPI (wskaźniki sukcesu), np.:

• procent zgłoszeń podejrzanych maili,
• liczba kliknięć w złośliwe załączniki,
• inne specyficzne wskaźniki dla danej organizacji.

Najważniejsze, by każdy pracownik wiedział, jaką rolę odgrywa w bezpieczeństwie firmy.

System nagród i motywacja

Budując kulturę bezpieczeństwa, warto nagradzać pozytywne zachowania. Mogą to być:

• podziękowania,
• drobne gadżety,
• karta lunchowa,
• bilety na wydarzenie,
• spotkanie z prezesem.

To prosty, ale skuteczny sposób na wzmacnianie zaangażowania.

Cierpliwość i konsekwencja

Zmiana kultury organizacyjnej to proces długoterminowy, wymagający cierpliwości i konsekwencji. Liderzy muszą stale monitorować postępy i wspierać utrwalanie nowych wartości.

Jak mierzyć postęp (KPI)?

Tradycyjne wskaźniki, jak ukończenie kursów e-learningowych, są mało miarodajne. Warto sięgać po bardziej realne dane, np.:

• liczba zgłoszeń podejrzanych wiadomości e-mail,
• procent realnych ataków phishingowych wykrytych przez pracowników,
• zmniejszanie liczby udanych ataków w czasie.

Cyberbezpieczeństwo także w życiu prywatnym

Silnym motywatorem jest fakt, że wiedza zdobyta w pracy przydaje się także w życiu prywatnym. Pracownicy mogą chronić siebie i bliskich przed oszustwami, phishingiem czy deepfake’ami. Często stają się „ambasadorami” bezpieczeństwa również poza firmą – w rodzinie i wśród znajomych.