SAE — Budování bezpečnostního povědomí
SAE — Budování bezpečnostního povědomí
Program definovaný doporučeními NIST řady SP 800, sloužící k budování a zvyšování bezpečnostního povědomí uživatelů ICT. Základní součást kybernetické hygieny.
Čtyři úrovně SAE
| Úroveň | Příznak | Cíl | Metody | Časový rámec |
|---|---|---|---|---|
| Awareness (povědomí) | „Co" | Rozpoznávání | Média, videa, plakáty | Krátkodobý |
| Training (výcvik) | „Jak" | Dovednosti | Přednášky, případovky, cvičení | Střednědobý |
| Education (vzdělávání) | „Proč" | Porozumění | Semináře, diskuze, výzkum | Dlouhodobý |
| Professional Development | — | Profesní rozvoj | Certifikace, konference | Průběžný |
SAE plán (11 kroků)
- Role a odpovědnosti v programu
- Stanovení cílů pro každou fázi
- Rozdělení uživatelů (analýza)
- Vytvoření školících materiálů dle skupin
- Určení cíle pro každou skupinu
- Témata pro každou relaci/kurz
- Metody nasazení (metodiky)
- Dokumentace a zpětná vazba
- Vyhodnocení a aktualizace materiálů
- Četnost opakování
- Kalkulace
Modely řízení
- Centralizovaný — veškerá odpovědnost na CIO/CISO
- Částečně decentralizovaný — politiky centrálně, implementace distribuovaně
- Plně decentralizovaný — pouze politika centrálně, vše ostatní delegováno
Doporučená témata dle nZKB (vyhl. 409/2025 Sb.)
25 témat včetně: bezpečné použití přenosných médií, cloud, hlášení incidentů, BYOD, aktuální hrozby, firewall, malware, hesla, MFA, sociální inženýrství, VPN, šifrování, zálohování aj.
Propojení s dalšími tématy
- ISMS — SAE jako součást provozní bezpečnosti
- Kybernetická bezpečnost — povědomí jako obrana č. 1
- Řízení rizik — snižování rizika lidského faktoru