Cyberzagrożenia i cyberpułapki – ZFPR.PL

Szkolenie ZFPR

Cyberzagrożenia i cyberpułapki. ABC komunikacji

Wykładowcy:
Najbliższe terminy:
Opis kursu:

100 mln funtów – taką grzywnę zapłaci jedna z największych sieci hoteli na świecie za wyciek danych swoich klientów. To oczywiście przykład ekstremalny, ale kary za nadużycia związane z wykorzystaniem danych osobowych mogą być nałożone na niemalże każdą organizację, a ich nieświadomym inicjatorem może być praktycznie każdy pracownik. Przy czym to tylko jeden z wielu przykładów coraz bardziej powszechnych cyberpułapek oraz cyberzagrożeń, z którymi mierzą się firmy i instytucje z różnych branż. Aby jeszcze lepiej unaocznić ten problem, wystarczy przejrzeć swoją skrzynkę poczty elektronicznej, by znaleźć tam przykłady… phishingu („Paczka nr … czeka na Ciebie”). Nawet jeśli temat cyberbezpieczeństwa „szczęśliwie” Cię omijał, to rzeczywistość jest taka, że dziś specjaliści ds. PR razem z zespołem IT odpowiadają za powodzenie wewnętrznych programów edukacyjnych nastawionych na poprawę bezpieczeństwa informatycznego firmy. Ponadto, większa świadomość społeczna (związana m.in. z wdrożeniem RODO), a także realny wpływ cyberzagrożeń i cyberprzestępstw na finanse przedsiębiorstw, sprawiają, że temat cyberbezpieczeństwa powinien wejść do codziennej praktyki ludzi zawodowo zajmujących się wizerunkiem i reputacją. Niniejszy kurs jest wstępem do tematyki komunikacji związanej z cyberzagrożeniami i cyberpułapkami, dając podstawową wiedzę oraz umiejętności, jak odnaleźć się w świecie wirtualnych incydentów mających swoje konsekwencje w „realu”, gdzie można pogłębiać tę wiedzę i z czym już za chwilę (o ile nie już) przyjdzie się mierzyć specjalistom PR w codziennej pracy.

Liczba godzin:

4 x 45 min

Poziom kursu:

podstawowy/średnio zaawansowany

Cena dla członków ZFPR:

700 zł + VAT

Cena dla pozostałych podmiotów:

850 zł + VAT

Wymagania wstępne:

Pomocna w lepszym zrozumieniu tematu będzie podstawowa wiedza i doświadczenie w zakresie komunikacji kryzysowej i wewnętrznej, jakkolwiek kurs nie zakłada wymogu takiej wiedzy. Przekazywane treści uwzględniają bowiem minimalny poziom / brak wiedzy uczestników w tym zakresie.

Wiedza:

Uczestnik kursu:
• zna podstawowe zagadnienia związane z cyberbezpieczeństwem;
• zna najczęściej występujące rodzaje cyberzagrożeń, które mogą dotyczyć pracowników oraz wpływać na wizerunek firmy;
• wie, jakie są kluczowe wyzwania związane z projektowaniem komunikacji wewnętrznej dotyczącej edukacji w zakresie cyberbezpieczeństwa;
• wie, z jakimi ryzykami i konsekwencjami wiążą się z reguły sytuacje kryzysowe wywołane przez cyberincydenty zarówno kryminalne (np. kradzież danych), jak i powodowane przez samych pracowników (np. związane z RODO);
• w podstawowym zakresie orientuje się, jakie akty prawne regulują kwestie związane z cyberbezpieczeństwem;
• wie, jakie instytucje i organizacje są być ważnymi interesariuszami firmy w sytuacji cyberkryzysu.

Umiejętności:

Uczestnik kursu potrafi:
• zidentyfikować podstawowe obszary cyberzagrożeń i cyberpułapek w swojej firmie;
• zaprojektować proste kampanie edukacyjne dotyczące cyberbepieczeństwa skierowane do pracowników firmy i uwzględniające różne grupy interesariuszy w organizacji (np. IT, zarząd);
• przygotować firmę do pierwszej reakcji w przypadku wystąpienia cyberincydentu;
• zarządzić komunikacją zewnętrzną i wewnętrzną w przypadku cyberkryzysu.

Zawodowe kompetencje interpersonalne:

Uczestnik kursu:
• dzięki podstawowej wiedzy na temat cyberbezpieczeństwa łatwiej nawiąże współpracę z działem IT¬¬¬, w którego kompetencjach z reguły leżą kwestie dotyczące zapewnienia firmie możliwie najwyższego poziomu bezpieczeństwa informatycznego;
• skuteczniej dotrze z przekazem do różnych grup pracowników w organizacji, których wiedza, percepcja i otwartość na tematy cyberbezpieczeństwa są bardzo zróżnicowane;
• dzięki zebraniu argumentów przemawiających za inwestycją (przynajmniej czasu) w edukację w zakresie cyberbezpieczeństwa ma większe szanse na przekonanie pracowników (w tym zarząd) i klientów do stosowania dobrych praktyk, a tym samym podniesienie poziomu bezpieczeństwa swojej firmy.

Treści programowe:

Szkolenie składa się z kilku bloków tematycznych:
• Definicji zagrożenia, stanowiącej wprowadzenia do tematyki cyberzagrożeń i cyberbezpieczeństwa, w tym:
• przeglądu aktualnych badań, których wyniki są istotne z punktu widzenia komunikacji zewnętrznej oraz wewnętrznej;
• charakterystyki najczęstszych cyberzagrożeń i cyberpułapek dotyczących pracowników i wpływających na wizerunek firmy;
• zarysu regulacji prawnych dotyczących cyberbezpieczeństwa.
• Komunikacji wewnętrznej, bez której praktycznie niemożliwe jest przygotowanie organizacji do radzenia sobie z cyberzagrożeniami i cyberpułapkami, gdzie kluczową rolę odgrywają:
• znajomość podstawowych narzędzi i rozwiązań, które w założeniu podnoszą bezpieczeństwo, ale bez zaangażowania pracowników są często nieefektywne;
• pokonanie wewnętrznych barier związanych z promocją cyberbezpieczeństwa;
• wypracowanie dobrych relacji z działem IT, zarządem, kluczowymi menedżerami;
• zmapowanie poziomu gotowości na zmiany związane z wdrażaniem rozwiązań podnoszących bezpieczeństwo informatyczne firmy wśród różnych grup zawodowych, wiekowych czy kulturowych
• Komunikacji zewnętrznej, na którą firma ma duży wpływ w przypadku cyberkryzysów, czego często nie można powiedzieć o samym przebiegu zdarzeń (np. po kradzieży danych), w tym:
• charakterystyce cyberkryzysów;
• podstawowych działaniach w reakcji na zdarzenia kryzysowe;
• roli prewencyjnej edukacji otoczenia (np. klientów).
• Analizy case studies dotyczących komunikacji kryzysowej oraz prewencyjnej, będącej przeglądem najlepszych rynkowych praktyk.
Szkolenie kończy weryfikacja zdobytej wiedzy w praktyce poprzez przygotowanie założeń do projektu edukacyjnego lub kryzysowego dotyczącego wybranych aspektów cyberbezpieczeństwa (np. phishingu, wykorzystywania firmowych zasobów do prywatnych celów).

Sposób prowadzenia zajęć:

Zajęcia będą prowadzone w formie wykładu (ok. 50%), analizy case studies (ok. 25%) oraz ćwiczeń warsztatowych (ok. 25%). Przy każdej z form zakładana jest dyskusja.

Materiały do zapoznania się przed zajęciami:

Nie ma konieczności przygotowywania się do zajęć.
Dla chętnych:
• Zapoznanie się z pozycjami w zakresie polecanej literatury.
• Analiza sytuacji związanych z cyberbezpieczeństwem, w których uczestnik kursu brał udział lub był świadkiem w swojej firmie lub organizacji, w której pracował / pracuje (co się wydarzyło, jakie podjęto kroki, jakie były tego konsekwencje).

Interakcje z innymi modułami szkoleniowymi:

Kursy i szkolenia z zakresu komunikacji kryzysowej, digital PR czy komunikacji wewnętrznej, np.
• LSPR: „Zarządzanie sytuacjami kryzysowymi”, prowadzący Adam Łaszyn
• LSPR: „Zaangażowanie pracowników i komunikacja wewnętrzna”, prowadzący Paweł Soproniuk

Sposób sprawdzenia efektów edukacyjnych – zaliczenia zajęć:

Zaliczenie kursu będzie polegało na zaprojektowaniu kampanii edukacyjnej związanej z przygotowaniem organizacji, w których pracują uczestnicy kursu, pod kątem wybranego aspektu cyberbezpieczeństwa, np. ochrony danych osobowych, zasady clean desk policy, polityki bezpieczeństwa związanej z wykorzystaniem urządzeń typu pendrive, phishingiem. Rozwiązanie będzie musiało uwzględniać m.in. różne grupy zawodowe i wiekowe w organizacji, ograniczenia wewnętrzne itp.

Literatura:

Pozycje obowiązkowe:
• Materiały przygotowane w ramach kampanii mBanku „Uważni w sieci”
• Case studies (do wyboru 1-2) opisywane przez portal niebezpiecznik.pl (np. jeden ze starszych przykładów: zobacz)
• Case studies (do wyboru 1-2) opisywane przez portal sekurak.pl
Pozycje uzupełniające, np.:
• Narodowy Program Ochrony Infrastruktury Krytycznej. Załącznik 1: Standardy służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej – dobre praktyki i rekomendacje, przygotowany przez RCB, 2015 (zobacz)
•„The Global Risks Report 2019” przygotowany przez World Economic Forum [publikacja w języku angielskim] (weforum.org)
• Badanie Stanu Bezpieczeństwa Informacji w Polsce (publikacje cykliczne), przygotowane przez PwC (np.: Raport „Cyber-ruletka po polsku”)

Rekomendowana dalsza ścieżka kształcenia:

Uzupełnienie wiedzy w zakresie komunikacji kryzysowej oraz komunikacji wewnętrznej, a także w zakresie obszarów niezwiązanych bezpośrednio z PR i komunikacją, czyli cyberbezpieczeństwa oraz ochrony danych (m.in. danych osobowych i dyrektywą RODO).

Wykorzystywane case studies / scenariusze:

W czasie zajęć omawiane będę najgłośniejsze przypadki cyberkryzysów opisywanych szeroko przez media, w większości dotyczące przypadków spoza rynku polskiego, m.in.: wyciek danych z sieci hoteli Grupy Marriott, Yahoo czy Ubera. Zostaną także przytoczone polskie case studies, np. kradzieży danych z GetHero. W czasie zajęć szczegółowo zaprezentowane będą też wzorcowe przykłady (best practice) związane z komunikacją w kontekście cyberbezpieczeństwa zarówno wewnątrz, jak i na zewnątrz organizacji na przykładzie działań mBanku, HP, Sage czy wybranych projektów z całego świata.