purple and pink ball on black surface
15 maja 2025

Cyberświadomość zaczyna się od człowieka

W erze cyfrowej transformacji, w której największą wartość stanowią informacje, wzrasta występowanie cyberzagrożeń. Nacisk na zapewnienie cyberbezpieczeństwa jest w ostatnich latach zdecydowanie większy niż kiedykolwiek wcześniej. 
Jednak pomimo zaawansowanych technologii, to świadomość i codzienne zachowania ludzi mają kluczowy wpływ na skuteczność systemu bezpieczeństwa - cyberświadomość staje się fundamentem każdej skutecznej strategii ochrony firmy.

Zamiast zaczynać od firewalla, aktualizacji systemu czy polityki haseł, zacznijmy od tego, co naprawdę ma znaczenie – od Ciebie

Technologia jest ważna, ale nawet najdroższy system może nie zadziałać, jeśli użytkownik przypadkiem kliknie
w złośliwy link, przekaże dane logowania podszywającemu się pod administratora oszustowi lub nieświadomie zainstaluje podejrzane oprogramowanie.

Twoje decyzje, odruchy, nawyki – to właśnie one tworzą albo osłabiają bezpieczeństwo organizacji.

To Ty decydujesz o tym, czy:

• sprawdzasz, kto naprawdę prosi Cię o dane dostępowe,

• blokujesz swój komputer, gdy wychodzisz na chwilę z biura,

• zgłaszasz podejrzaną wiadomość, zanim stanie się incydentem,

• weryfikujesz pendrive przyniesiony przez nieznajomego,

• zastanawiasz się dwa razy, zanim udostępnisz dokument firmowy na zewnątrz.

I właśnie dlatego cyberświadomość zaczyna się od Ciebie, bo jak każdy użytkownik systemu informatycznego
masz tę moc – która albo zamyka drzwi przed zagrożeniem, albo je uchyla.

Dlaczego cyberświadomość to styl życia a nie lista zasad?

Cyberświadomość (ang. cybersecurity awareness) to coś więcej niż tylko wiedza o zagrożeniach. To podstawa, kultura, codzienne wybory i nawyki, które wspólnie budują bezpieczne środowisko pracy. Styl życia oparty na uważności i zrozumieniu konsekwencji – zarówno online, jak i offline.
Jako element szerszego systemu zarządzania cyberryzykiem, obejmuje ludzi, procesy i technologie. 
Szukając sposobów na skuteczne podnoszenie świadomości, zaobserwowałam, że ludzie chcą być bezpieczni.
Trzeba im tylko dobrze to pokazać. Stosowanie interesujących narzędzi i odpowiednia komunikacja może przynieść dobre efekty.

Gdy projektuję programy edukacyjne, piszę quizy, prowadzę warsztaty i tworzę gry RPG o cyberatakach, edukuję poprzez historię a nie poprzez zakazy, bo to od dawna się już nie sprawdza - dziś liczy się współpraca i zaufanie. Często używam historii, przykładów – prawdziwych, bliskich, takich, które mogłyby przydarzyć się każdemu z nas.
Dopiero potem pokazuję mechanizmy: jak działa phishing? Dlaczego analiza zagrożeń to nie tylko coroczne potwierdzenie „bez zmian”? Co zrobić z podejrzanym mailem?

Jak quiz może być rozmową
a nie egzaminem?

Quizy to jedno z moich ulubionych narzędzi edukacyjnych – ale nie dlatego, że pozwalają „sprawdzić” wiedzę uczestników. Lubię je, ponieważ są świetnym pretekstem do rozmowy. W moim podejściu quiz nie jest testem, który trzeba zaliczyć bezbłędnie, ale zaproszeniem do wspólnego myślenia, dzielenia się wątpliwościami
i budowania lepszego zrozumienia.

Na przykład: gdy podczas warsztatu zadaję pytanie Które hasło jest najmocniejsze?, nie oczekuję jedynie szybkiej odpowiedzi A, B lub C. Czekam na reakcję, argumenty, wymianę poglądów. Uczestnicy zaczynają się zastanawiać, dyskutować między sobą, kwestionować intuicje – i to właśnie w tej interakcji kryje się największa wartość.

Czasem ktoś odpowiada błędnie – i bardzo dobrze! Bo w bezpiecznym środowisku, gdzie błąd nie wiąże się 
z oceną ani krytyką, pomyłka staje się okazją do nauki. To właśnie wtedy, gdy coś nas zaskoczy albo wytrąci 
z rutyny, uczymy się najskuteczniej. Quiz przestaje być wtedy narzędziem weryfikacji, a staje się początkiem ciekawszej, głębszej rozmowy.

Jak ćwiczyć decyzje
z CyberRPG?

Cyberświadomość to gra zespołowa a nie wykład. Najskuteczniejsza edukacja cyberbezpieczeństwa opiera się na angażowaniu ludzi, na dialogu i doświadczeniu.
Dlatego buduję również scenariusze RPG – sytuacje kryzysowe, w których zespół musi działać. Symulowanie konkretnych zdarzeń pozwala graczowi wcielić się w rolę CISO, podczas gry dla liderów bezpieczeństwa.
Wrażenia zostają w pamięci na długo a gra pomaga zrozumieć jak trudno jest balansować pomiędzy oczekiwaniami Zarządu a operacjami.

Scenariusze obejmują zdarzenia typu:

  1. Otrzymujesz maila „Twoje dane zostały zaszyfrowane. Jeśli chcesz je odzyskać, zapłać 10 BTC w ciągu 48 godzin.
    W przeciwnym razie dane zostaną usunięte.”    Czy macie aktualną kopię zapasową i plan awaryjny? Kto podejmuje decyzję o zapłacie okupu i jakie są konsekwencje tej decyzji?

  2. Hakerzy włamali się do bazy klientów i żądają okupu. Jednocześnie trwa atak DDos. - Jakie są priorytety działania przy jednoczesnym incydencie technicznym i kryzysie wizerunkowym? Kto koordynuje działania między zespołami IT, PR i prawnym?

  3. Pracownik przypadkowo wysłał poufny raport finansowy do zewnętrznego odbiorcy. Informacja zaczyna krążyć w mediach społecznościowych. - Jak szybko wykrywacie i reagujecie na nieautoryzowane ujawnienie danych? Czy wiecie, jak ograniczyć szkody i poinformować interesariuszy zgodnie z przepisami?
  4. Na skrzynkę Prezesa przychodzi e-mail z fakturą do zapłaty – wygląda autentycznie, ale zawiera spreparowane dane konta. Przelew został już zrealizowany. - Czy w firmie istnieje proces weryfikacji przelewów i zgłaszania podejrzanych transakcji? Jakie działania podejmiecie, by ograniczyć straty i zapobiec podobnym incydentom w przyszłości?

 

Gry symulacyjne cyber rozwijają refleks, pokazują rolę współpracy, pozwalają uczestnikom poczuć realne napięcie związane z zarządzaniem incydentem i uświadamiają, że każdy ma wpływ na bezpieczeństwo.

Czy to działa?

Tak – bo ludzie potrafią zrozumieć, tylko często nikt im nie tłumaczy, dlaczego coś jest ważne. Język codzienności lepiej do nas trafia, niż techniczny żargon a zaangażowanie jest naturalnym wyborem 
a nie narzuconą zasadą.

I właśnie podczas takich symulacji – kiedy uczestnicy wcielają się w role, podejmują decyzje i widzą ich konsekwencje – pojawia się ten moment refleksji, gdy ktoś mówi:

 Dopiero wcielając się w rolę CISO poczułem, co to znaczy podejmować decyzje pod presją realnego kryzysu.
Zrozumiałem, że skuteczne zarządzanie incydentem to nie tylko technologia, ale przede wszystkim komunikacja, priorytetyzacja i odpowiedzialność wobec całej organizacji.”

…to wiem, że to działa.

Moje dobre praktyki
w budowaniu cyberświadomości:

• Zawsze tłumaczę, nigdy nie oceniam.
• Historie i przykłady działają lepiej niż reguły.
• Gamifikacja angażuje – nawet sceptyków.
• Nie ma „głupich pytań” – są tylko niewyjaśnione tematy.
• Cyberbezpieczeństwo to nie zadanie IT – to wspólna sprawa.

Podsumowanie

Budowanie cyberświadomości to nie sprint, ale proces, który wymaga czasu, ciągłości i zaangażowania.
Zaczynajmy od rozmowy, od tworzenia przestrzeni, w której edukacja nie jest przymusem, tylko zaproszeniem do wspólnego działania. Wszystkie te działania wspierają rozwój kultury bezpieczeństwa w firmie, w której każdy pracownik czuje się odpowiedzialny.

Z CyberShieldON możesz rozwijać swój program cyberedukacji – regularnie odwiedzaj cybershieldon.pl.
Znajdziesz tu eksperckie treści tworzone z myślą o świadomych użytkownikach i organizacjach, które tak jak my traktują cyberbezpieczeństwo poważnie.

Katarzyna Piasecka  

Ekspertka cyberbezpieczeństwa | Liderka zespołów i strategii |CSO |Autorka CyberShieldON

 

Ten blog ma charakter prywatny. Zamieszczane treści wyrażają osobiste poglądy autorów i nie są powiązane z żadną firmą ani instytucją.

© 2025 Wszelkie prawa zastrzeżone.

 

Strona www stworzona w kreatorze WebWave.