Cyberbezpieczeństwo i higiena pracy w środowisku zawodowym – usługa szkoleniowa

1)Dzień 1 — Fundamenty cyberbezpieczeństwa i świadomość ryzyk w pracy

10 godzin dydaktycznych | 6:00–14:00

6:00–7:30 – Otwarcie szkolenia i wprowadzenie do cyberbezpieczeństwa

Cel, zakres i zasady pracy podczas szkolenia. Omówienie programu 4-dniowego, zasad pracy stacjonarnej lub on-line, reguł zadawania pytań, kontraktu grupowego oraz poufności przykładów z praktyki uczestników. Wprowadzenie do cyberbezpieczeństwa w ujęciu praktycznym: czym ono jest z perspektywy codziennej pracy i dlaczego dotyczy każdej osoby korzystającej z komputera, poczty i systemów.

7:30–7:45 – Przerwa

7:45–9:15 – Filary bezpieczeństwa informacji i konsekwencje incydentów

Poufność, integralność i dostępność informacji w praktyce. Przekładanie pojęć na codzienne sytuacje: dokumenty, poczta, systemy, rozmowy telefoniczne, praca zdalna. Konsekwencje incydentów dla organizacji, klientów, procesów wewnętrznych oraz osób realizujących zadania administracyjne i organizacyjne.

9:15–10:45 – Zasoby i zagrożenia w codziennej pracy

Identyfikacja zasobów: dane osobowe, dokumenty, loginy, hasła, dostęp do systemów, urządzenia służbowe, korespondencja, wiedza organizacyjna. Omówienie najczęstszych zagrożeń: phishing, smishing, vishing, fałszywe faktury, „pilne płatności”, podszywanie się pod przełożonych lub kontrahentów. Praca na przykładach i krótkich case studies.

10:45–11:00 – Przerwa

11:00–12:30 – Pojęcia cyberbezpieczeństwa dla nieinformatyków

Wyjaśnienie podstawowych terminów: malware, ransomware, exploit, podatność, incydent, naruszenie, konto użytkownika, uprawnienia, wyciek danych. Łączenie definicji z realnymi sytuacjami z codziennej praktyki. Miniquiz utrwalający i wspólne porządkowanie pojęć.

12:30–14:00 – „Moje ryzyka w pracy” – warsztat praktyczny

Indywidualna i zespołowa mapa ryzyk związanych z wykonywanymi obowiązkami. Analiza ryzyk w obszarach: poczta elektroniczna, dokumenty, systemy, kontakt z klientem, praca zdalna, przekazywanie danych. Opracowanie listy kluczowych ryzyk dla osób realizujących zadania administracyjne, organizacyjne i informacyjne.

Dzień 2 — Bezpieczny dostęp do systemów i higiena pracy na komputerze

10 godzin dydaktycznych | 6:00–14:00

6:00–7:30 – Hasła, loginy i uprawnienia

Rola loginów, haseł i kont użytkowników w organizacji. Najczęstsze błędy: słabe hasła, powtarzanie tych samych haseł, zapisywanie na kartkach, przekazywanie danych dostępowych innym osobom. Znaczenie uprawnień i zasady korzystania z kont zgodnie z zakresem obowiązków. Omówienie organizacyjnych zasad bezpieczeństwa związanych z dostępem.

7:30–7:45 – Przerwa

7:45–9:15 – Silne hasła w praktyce – ćwiczenia

Zasady tworzenia mocnych, używalnych haseł. Proste metody tworzenia bezpiecznych haseł, np. hasło-zdanie, metoda własnego wzorca, tworzenie unikalnych haseł dla różnych systemów. Omówienie najczęstszych ataków na hasła i ćwiczenia na neutralnych przykładach.

9:15–10:45 – Uwierzytelnianie wieloskładnikowe (MFA/2FA) w praktyce

Na czym polega MFA, jak przebiega logowanie krok po kroku, jakie są najczęstsze błędy użytkowników. Omówienie ryzyka bezrefleksyjnego potwierdzania logowań, podawania kodów osobom trzecim, zatwierdzania prób logowania, których użytkownik nie inicjował. Analiza sytuacji „potwierdzam czy zgłaszam?”.

10:45–11:00 – Przerwa

11:00–12:30 – Ochrona urządzenia: antywirus, aktualizacje, podstawowa higiena cyfrowa

Rola narzędzi antywirusowych i antymalware. Znaczenie aktualizacji systemu operacyjnego, przeglądarki i programów użytkowych. Podstawowe sprawdzenie, czy urządzenie działa prawidłowo z perspektywy użytkownika. Co można zrobić samodzielnie, czego nie należy robić bez konsultacji z IT i kiedy niezwłocznie zgłosić problem.

12:30–14:00 – Bezpieczne korzystanie z przeglądarki i codzienne nawyki użytkownika

Tryb prywatny/incognito i jego ograniczenia. Zapamiętywanie haseł w przeglądarce, autologowanie, ciasteczka, rozszerzenia, pobieranie plików i otwieranie linków. Dobre praktyki korzystania z przeglądarki w biurze, w domu oraz podczas pracy na współdzielonym urządzeniu.

Dzień 3 — Bezpieczna praca z danymi, dokumentami i urządzeniami

10 godzin dydaktycznych | 6:00–14:00

6:00–7:30 – Szyfrowanie dokumentów i bezpieczne wysyłanie plików

Szyfrowanie w ujęciu użytkowym: po co jest stosowane i kiedy warto je stosować. Zabezpieczanie dokumentów, archiwów i plików hasłem. Zasady bezpiecznego wysyłania dokumentów: osobny kanał przekazania hasła, weryfikacja adresata, minimalizacja zakresu danych, unikanie pochopnego przekazywania załączników. Wypracowanie prostej procedury bezpiecznej wysyłki.

7:30–7:45 – Przerwa

7:45–9:15 – Kopie zapasowe i bezpieczne przechowywanie danych

Czym jest backup i dlaczego ma znaczenie także z perspektywy codziennej pracy. Podstawowe modele przechowywania danych w organizacji: dyski sieciowe, zasoby współdzielone, chmura firmowa. Rola użytkownika: gdzie zapisywać pliki, czego unikać, jakie praktyki zwiększają bezpieczeństwo i ciągłość pracy. Case study: ransomware, brak kopii i konsekwencje organizacyjne.

9:15–10:45 – VPN i bezpieczna praca zdalna

VPN z perspektywy użytkownika końcowego. Kiedy jest konieczny, jakie ryzyka ogranicza i czego nie rozwiązuje. Praca z domu, podróży, hotelu i publicznego Wi-Fi. Zasady bezpiecznego łączenia się z zasobami organizacji. Ćwiczenie decyzyjne: „łączę się teraz czy czekam i zgłaszam?”.

10:45–11:00 – Przerwa

11:00–12:30 – Objawy incydentu: jak rozpoznać, że „coś jest nie tak”

Typowe symptomy problemów na komputerze, koncie lub w skrzynce pocztowej: spowolnienia, podejrzane komunikaty, nietypowe okna, nieautoryzowane logowania, dziwne wiadomości, nietypowe zachowanie systemu lub aplikacji. Co robić, a czego nie robić, aby nie pogorszyć sytuacji. Analiza krótkich scenariuszy incydentowych.

12:30–14:00 – Jak zgłaszać incydenty w praktyce

Definicja incydentu z punktu widzenia użytkownika systemów i narzędzi informatycznych. Ścieżka zgłoszenia: IT, przełożony, IOD, wyznaczone procedury wewnętrzne. Jakie informacje powinny znaleźć się w zgłoszeniu i jak je uporządkować. Ćwiczenie praktyczne na przykładowym formularzu zgłoszeniowym oraz trening krótkiego opisu incydentu.

Dzień 4 — Ochrona danych, socjotechnika, phishing i walidacja

10 godzin dydaktycznych | 6:00–14:00

6:00–7:30 – RODO z perspektywy osoby realizującej zadania administracyjne i organizacyjne

Podstawowe pojęcia: administrator, osoba, której dane dotyczą, przetwarzanie, naruszenie ochrony danych, upoważnienie, minimalizacja danych, zasada „need to know”. Omówienie obowiązków w codziennej pracy z dokumentami, wiadomościami i systemami. Przykłady naruszeń w realiach organizacyjnych.

7:30–7:45 – Przerwa

7:45–9:15 – Typowe błędy w ochronie danych i praca z dokumentami w praktyce

Analiza typowych błędów: wysyłka do złego adresata, pozostawione wydruki, przesyłanie dokumentów na prywatne konto, niekontrolowane kopiowanie danych, niewłaściwe udostępnianie plików. Zasady archiwizacji, udostępniania i niszczenia dokumentów papierowych oraz elektronicznych. Opracowanie listy najczęstszych błędów oraz sposobów ich unikania.

9:15–10:45 – Inżynieria społeczna, phishing i manipulacja w środowisku pracy

Czym jest socjotechnika i dlaczego działa. Mechanizmy psychologiczne wykorzystywane przez sprawców: autorytet, presja czasu, lęk, ciekawość, chęć pomocy, rutyna. Typowe scenariusze: telefon „z banku”, „od prezesa”, „z IT”, prośba o pilną płatność, reset hasła, doprecyzowanie danych. Praktyczne rozpoznawanie sygnałów ostrzegawczych.

10:45–11:00 – Przerwa

11:00–12:30 – Deepfake, generatywna AI i nowoczesne formy oszustw

Przykłady fałszywych treści generowanych z użyciem AI: wiadomości e-mail, zdjęcia, dokumenty, głos, wideo. Omówienie, jak AI zwiększa skalę i wiarygodność oszustw oraz jak przekłada się to na bezpieczeństwo codziennej pracy. Prosty trening rozpoznawania sygnałów ostrzegawczych i zasad weryfikacji.

12:30–13:15 – Podsumowanie

13:15 - 14:00 - Walidacja: test teoretyczny z wynikiem generowanym automatycznie

Test wiedzy obejmujący treści szkolenia, realizowany np. w Formularzach Google, z automatycznie generowanym wynikiem. Rekomendowany próg zaliczenia: 80%.

1) Godziny i forma

Szkolenie odbywa się w godzinach dydaktycznych (1 godz. = 45 minut), łącznie 40 godzin dydaktycznych. Usługa realizowana jest zdalnie, w czasie rzeczywistym, na platformie Google Meet. Przerwy (dwie po 15 minut w każdym dniu) nie są wliczane do czasu szkolenia. Grupa: 1–15 osób.

2) Metoda prowadzenia

Zajęcia prowadzone są metodami interaktywnymi i aktywizującymi: krótkie wprowadzenia trenera, studia przypadków, ćwiczenia indywidualne, quizy on-line, dyskusje moderowane, praca na checklistach i prostych procedurach.

3) Grupa docelowa.

• osoby wykonujące zadania administracyjne, organizacyjne i informacyjne
• osoby korzystające w codziennej pracy z komputera, poczty elektronicznej, dokumentów i systemów teleinformatycznych
• personel biurowy i administracyjny odpowiedzialny za przetwarzanie informacji, dokumentów oraz danych
• osoby mające dostęp do danych osobowych, dokumentacji wewnętrznej oraz zasobów organizacji
• osoby realizujące obowiązki służbowe w środowisku stacjonarnym, zdalnym lub hybrydowym
• osoby, które w swojej pracy korzystają z kont użytkownika, loginów, haseł oraz narzędzi cyfrowych
• kadra organizacyjna i administracyjna narażona na ryzyka związane z phishingiem, socjotechniką i błędami w ochronie informacji
• osoby, które powinny umieć rozpoznawać zagrożenia cyberbezpieczeństwa oraz prawidłowo reagować na incydenty

4) Cel edukacyjny. Szkolenie "Cyberbezpieczeństwo i higiena pracy w środowisku zawodowym – usługa szkoleniowa" przygotowuje do świadomego i zgodnego z zasadami bezpieczeństwa korzystania z systemów, danych, dokumentów i narzędzi cyfrowych oraz do prawidłowego identyfikowania i zgłaszania incydentów poprzez przekazanie wiedzy merytorycznej oraz wykorzystanie metod praktycznych, w szczególności ćwiczeń i case studies.

Prezentacja w formacie PDF oraz checklisty w formacie PDF.

• Podstawowa obsługa komputera i poczty elektronicznej.
• Brak wymogu specjalistycznej wiedzy IT – szkolenie jest projektowane dla „zwykłego użytkownika”, ale w kontekście jego obowiązków zawodowych.
• Ukończony 18 rok życia

1. Uczestnik szkolenia otrzyma zaświadczenie o ukończeniu szkolenia dopiero po pozytywnym wyniku walidacji. Warunkiem otrzymania zaświadczenia o ukończeniu szkolenia jest pozytywny wynik walidacji oraz frekwencja na minimalnym poziomie 80%.
2. Ocena efektów uczenia się prowadzona jest za pośrednictwem standaryzowanego testu dostępnego online, którego wynik generowany jest automatycznie przez system, bez udziału człowieka. Mechanizm walidacji działa niezależnie od procesu szkoleniowego (nie jest obsługiwany przez trenera ani zespół prowadzący), co zapewnia rozdzielność obu procesów. Test ma z góry określone progi zaliczeniowe, a wyniki wraz z metadanymi (data/godzina, czas trwania, identyfikator uczestnika) są archiwizowane w systemie, a informacja o rezultacie udostępniana jest uczestnikowi niezwłocznie. Tym samym warunek rozdzielności procesów szkolenia i walidacji pozostaje zachowany. Test składa się z dwudziestu pytań jednokrotnego wyboru (cztery warianty odpowiedzi).

1. Platforma komunikacyjna – Google Meet.

2. Wymagania sprzętowe:

• komputer z aktualnym systemem (Windows 10 lub nowszy / macOS 12 lub nowszy / aktualna dystrybucja Linux),
• aktualna przeglądarka (Chrome/Edge/Firefox/Safari – co najmniej dwie ostatnie wersje),
• stabilne łącze internetowe o przepustowości min. 10 Mb/s (pobieranie) i 2 Mb/s (wysyłanie),
• sprawna kamera komputerowa i mikrofon,
• sprawne słuchawki/ głośniki.

1. Okres ważności linku: od godziny zegarowej przed godziną rozpoczęcia szkolenia w dniu pierwszym do godziny zegarowej po zakończeniu szkolenia w dniu ostatnim.