Vzdělání je klíčovým pilířem kybernetické a informační bezpečnosti
Říká prezident Českého institutu manažerů informační bezpečnosti a garant a pedagog MBA studijního programu „Management a kybernetická bezpečnost“ na VŠ CEVRO Institut, Aleš Špidla
Jak moc odvážné je tvrzení v názvu článku?
Představa široké veřejnosti o kybernetické a informační bezpečnost je poznamenaná nedůvěrou ve vlastní znalosti bezpečnostních technologií (o kterých to přece celé je) a také představou, že informace není nutno chránit, když jsou všude kolem nás a volně dostupné. A když už jsou tak snadno dostupné tak jsou i pravdivé. Málokdo si uvědomuje, že informace snižuje míru nejistoty při rozhodování. Pro správné rozhodnutí musí být ale informace nezfalšovaná, věrohodná a dostupná jen tomu, kdo k ní přístup mít má v čase, ve kterém ji k rozhodování potřebuje. Tady bych u vysvětlování se vzděláváním začal, vysvětlit proč je zajištění důvěrnosti, integrity (věrohodnosti) a dostupnosti informací pro správné rozhodování klíčové. Dohromady dává zajištění těchto atributů informací jejich bezpečnost. A jelikož se pohybujeme čím dál tím více v kyberprostoru tak už chybí jen slůvko kybernetická. Takže jestliže se rozhodujeme my nebo i stroje na základě informací – například o teplotě a tlaku v jaderném reaktoru nebo o údajích z přístrojů monitorujících zdravotní stav pacienta – potom ke správnému rozhodování vedou jen informace, které byly zabezpečené proti neoprávněnému přístupu (důvěrnost), věrohodné (integrita) a jsou k dispozici právě v okamžiku, kdy je potřebuji. Kdo si to ale uvědomuje? A proto je nesmírně důležité vzdělávání, které musí začít už v útlém věku – tak jako dopravní výchova ve školkách. Pohyb po informační dálnici je stejně – možná i více – nebezpečný jako pohyb po té reálné. V podstatě všichni uživatelé těch úžasných technologií by měli být vzděláni v tom, jak se v kyberprostoru bezpečně chovat. Jaké hygienické návyky si osvojit, abych v kyberprostoru nezahubil druhého, abych nebyl zahuben druhým, a abych radostně nezahubil sám sebe. Velkým problémem je nedostatečné vzdělávání v ovládání aplikací. Na první pohled se zdá, že to s bezpečností moc nesouvisí. A co automobil, jezdit bezpečně také znamená znát možnosti a limity vozidla a umět je bezpečně využít pro bezpečný přesun z bodu A do bodu B. Znalost bezpečnostních předpisů zcela určitě nestačí. A stejně je tomu i v kybernetické a informační bezpečnosti. Neznalost ovládání aplikací vede k jednomu z nejnebezpečnějších chování uživatelů, a sice k folklóru. Uživatel neví jak v aplikaci dál a tak si vymyslí vlastní řešení. A na cestu do pekla je nakročeno. Tady existuje dvěma desetiletími osvědčený koncept ECDL (www.ecdl.cz ), který se zaměřuje na výuku bezpečného ovládání aplikací. Má být výstupem vzdělávání znalost předpisů? Velmi často se to tak dělá. Nový zaměstnanec – uživatel – dostane při vstupním vzdělávání sadu odkazů na zákony a směrnice. Základním cílem ale musí být to, že uživatel ví, co má dělat.
V tak dynamickém oboru jako je kybernetická a informační bezpečnost se bez odborníků žádná instituce neobejde. Jsou ale po absolvování byť i vysoké školy hotovými odborníky a napořád? Řada z nich si to myslí. Jenže kybernetická a informační bezpečnost je nekonečný příběh. Takový odborník se musí učit pořád.
Jenže někdo to také musí řídit. Management institucí je často nejtvrdším oříškem pro průnik základních znalostí o bezpečnosti do jeho myšlení. Bezpečnost stojí peníze, zdržuje, je zbytečná, protože se zatím nic nestalo. Tak na co ji potřebujeme. Informace jsou drahé, a kolik teda váží, měří? Manažer zodpovědný za kybernetickou a informační bezpečnost musí mít základní přehled technologiích, o jejich zabezpečení, o řízení rizik, o ekonomice bezpečnosti, řízení a bezpečnosti lidských zdrojů, vzdělávání a osvětě. Ale také o současných trendech, hrozbách a zranitelnosti. A to všechno musí umět uřídit a ještě si musí u vedení instituce umět říct o peníze a lidi. A nikdy se ve svém snažení nesmí zastavit. Má to prostě těžké.
Ale není to beznadějné a leccos se může naučit během studia v postgraduálním programu MBA Management a kybernetická bezpečnost, který nabízí soukromá vysoká škola CEVRO Institut. Program je určen pro klíčové manažery, bezpečnostní pracovníky a vedoucí pracovníky v ICT v soukromé i veřejné sféře se zaměřením na ochranu podnikové i státní IT infrastruktury a pochopení principů řízení kybernetické bezpečnosti.
Prezident Českého institutu manažerů informační bezpečnosti a garant a pedagog MBA studijního programu „Management a kybernetická bezpečnost“
Infobox o škole:
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
