fb
IT Systems 7-8/2018 HRM/HCM - Řízení lidských zdrojů IT Security 18. 9. 2018 10:58

Lze vzdělávat uživatele metodami z dob Marie Terezie?

PwCTechnologie v posledních několika desítkách let pokročily raketovým tempem. S tím souvisí i potřeba vzdělávání uživatelů tak, aby byli schopni nová zařízení efektivně a bezpečně používat, a nezpůsobovali incidenty ohrožující infrastrukturu a byznys svých zaměstnavatelů.

Zkušenosti ze školení, která jsem osobně v minulosti absolvoval, však napovídají, že zatímco samotné cíle a obsah školení pokročily mílovým tempem, vyučovací metody se od konce osmnáctého století změnily jen velmi nepatrně. A jelikož lepší než tisíc dojmů jsou vždy konkrétní, hmatatelná a relevantní data, provedli jsme s kolegy výzkum mezi bezpečnostními a IT manažery českých organizací.

Asi není příliš překvapivé, že různé formy e-learningů, neinteraktivních přednášek a prostého biflování zcela dominovaly pelotonu účastníků. Jen zhruba čtvrtina českých firem používá ke školení svých uživatelů praktické „hands-on“ kampaně. Interaktivní formy učení, tedy např. video obsah, kvízy či různé další metody gamifikace, používá k edukaci uživatelů méně než desetina firem.

Ignorace celospolečenského trendu

Pohled na takzvanou generaci Y přitom ukazuje, že tento přístup ke vzdělávání je dlouhodobě neudržitelný. Pravděpodobnost, že se řadě společností v blízkém horizontu vymstí, roste s každým dnem. HR i IT oddělení totiž i nadále odmítají akceptovat tíživou realitu, která se již léta promítá v mnoha příbuzných odvětvích.

Kupříkladu zájem o jakékoliv delší analytické texty v médiích (a v širším kontextu o jakékoliv texty obecně) padá strmě dolů. Sám jsem byl přímým účastníkem až neuvěřitelné situace, kdy mě editor jednoho z předních českých masmédií požádal, zda bych se ve svém připravovaném textu na odbornější téma z oblasti osobních financí mohl vyhnout jakýmkoliv (byť sebevíc jednoduchým) souvětím. Čtenáři jim prý nerozumí, mají díky nim tendenci se nudit či urazit, a článek tak jako tak zavřou.

Mediální domy hromadně zavírají své redakce a budují internetové televize, ve velkém tvoří video obsah, interaktivní portály, podcasty, případně pak krátké texty o struktuře „10 důvodů proč…“, které jsou to poslední, na co jsou uživatelé ochotni kliknout. Doplním i příklad z byznysu: Společnost, která od nás poptávala komplexní směrnici informační bezpečnosti, která pojme veškerá myslitelná i nemyslitelná rizika, nakonec zcela otočila a poprosila nás o přípravu letáčku o velikosti A5, v němž bude deset obrázků a pár slov textu. Důvodem byly (zcela pochopitelné) obavy personalistů, že delšímu textu nebudou uživatelé věnovat dostatek pozornosti.

Pesimistický výhled do dalších let

Generace Y přitom bude do deseti let tvořit majoritu veškerých pracujících a na přijímací pohovory dorazí první uchazeči z následující generace Z, pro kterou je typické, že její příslušníci uměli zacházet s tabletem ještě dříve, než dokázali říci svou první souvislou větu.

„Vážení studenti, dovolujeme si vás upozornit, že na školním portálu se právě objevila nová verze publikace pojednávající o historii českých zemí v husitském období, kterou jste povinni nastudovat bez zbytečného prodlení. S přátelským pozdravem, vaše sborovna.“

V dnešní době zcela absurdní výjev, a přesto je to téměř doslovná analogie toho, jak si i přes kontext nastíněný výše řada personalistů vykládá požadavky stanovené zákoníkem práce, týkající se právě školení. Existuje však řada prověřených způsobů, jak to dělat lépe (pokud tedy chcete, aby se vaši zaměstnanci skutečně něco naučili a dozvěděli), a právě o nich budou pojednávat následující odstavce.

O krok lépe než ostatní

Asi nejjednodušším předstupněm tzv. zážitkového vzdělávání, o němž bude řeč za chvíli, je investice do kvalitních prezenčních kurzů. To zjednodušeně znamená zapojit lektory, kteří mají hlubokou znalost tématu, pedagogické dovednosti a především osobní charisma, díky kterému dokážou posluchače kurzu zaujmout. Studií dokazujících vysokou míru korelace mezi vnímanou sílou osobnosti učitele a výsledky u testů existuje v akademickém prostředí celá řada. Je také dost možné, že sami znáte někoho, kdo svůj pracovní život a zaměření založil na pozitivním vztahu se svým vyučujícím ze střední či vysoké školy. Zejména v menších firmách můžete mít problém najít takového přirozeného leadera a učitele přímo uvnitř organizace, vyplatí se tedy pátrat po pozitivních referencích a nešetřit. Cena jednoho kvalitního půldenního školení v oblasti IT bezpečnosti pravděpodobně nepřesáhne náklady na šetření běžného incidentu z oblasti kybernetické bezpečnosti, způsobeného nedostatečně proškoleným uživatelem. A nejde samozřejmě jen o jedno školení, výše uvedený princip platí na investice do bezpečnostního vzdělávání obecně.

Dalším z principů je tzv. learning by doing, tedy kontinuální vzdělávání uživatelů přímo v průběhu konkrétní pracovní činnosti. K tomuto trendu řada firem došla zcela samovolně díky aktuální společenské atmosféře a obrovským dírám na trhu práce. Zatímco před deseti lety bylo běžné absolventy či další nové zaměstnance dlouhé týdny školit na budoucí pracovní proces, dnes je ve firmách tolik nedodaných zakázek, že cesta od podpisu smlouvy často vede ihned do ostrého provozu. Není to nutně špatně, ale přesto se vyplatí na formálnější metody vzdělávání nezapomenout a vrátit se k nim například v „chudších“ měsících. V případě IT a byznysu se téměř nabízejí kurzy v hluchém období letních prázdnin.

Řešení budoucnosti? Jednoznačně zážitkové vzdělávání

Skutečné zážitkové vzdělávání však stojí na možnosti poskytnout uživatelům prostor pro bezpečné selhání. V některých odvětvích je tento princip aplikován již mnoho desetiletí. Piloti stráví před svou první hodinou v kokpitu stovky hodin na simulátoru. Americká armáda vyvinula svou vlastní počítačovou hru, využívanou při náboru a především výcviku bojových situací, již v roce 2002. Firmy zaměřené na vzdělávání v oblasti první pomoci či bezpečnosti práce nabízejí možnost vyzkoušet si třeba simulovanou autonehodu, včetně různorodých kouřových efektů a vyprošťování raněných figurantů z vozidla. Společenský úzus velí vyvinout obrovské úsilí výcviku v simulovaných prostředích pro povolání, u nichž je chyba obvykle fatální. Proč však v prostředí byznysu nezaměřit pozornost na efektivní školení v situacích, kdy jediná triviální chyba může znamenat enormní finanční náklady, nezvratné poškození reputace nebo zánik společnosti?

IT bezpečnost mezi tyto oblasti jednoznačně patří. Dříve nebo později dojde k dalšímu masivnímu medializovanému úniku osobních údajů, přičemž v době účinnosti GDPR to může vedle odlivu zákazníků a ztráty dobré pověsti znamenat i astronomické sankce ze strany dozorových úřadů. Právě pro oblast kybernetické bezpečnosti a ochrany citlivých dat (ať už osobních, nebo spojených s byznysem) tak vzniká v posledních letech celá řada zážitkových simulátorů.

Armáda jako hnací motor byznysu a akademiků

Asi nejznámějším z nich je CyberGym Europe, které nedaleko za Prahou funguje již téměř dva roky a staví na zkušenostech izraelských bezpečnostních expertů. Nabízí možnost zažít kybernetický útok na vlastní kůži, což je sjednocujícím prvkem všech podobných projektů a zážitkového vzdělávání obecně. Masarykova univerzita ve svém vědeckém parku provozuje KYPO neboli Kybernetický polygon od května 2015. Vzhledem k akademickému charakteru celého projektu představuje KYPO spíše sofistikovanou platformu a výukový prostor, v němž mohou studenti i zájemci z řad širší veřejnosti realizovat kybernetické útoky na virtualizovaných strojích a cvičit adekvátní prostředky ochrany.

Na obranu proti kybernetické válce myslí i armáda:cvičení kybernetické bezpečnosti Cyber Coalition se koná pravidelně od roku 2009 a v loňském roce se jej zúčastnilo více než 700 expertů ze zemí NATO, včetně zástupců Centra CIRC (spadá pod Ministerstvo obrany ČR) a NÚKIBu. Ministerstvo obrany má navíc v plánu do konce roku vycvičit několik desítek svých zaměstnanců právě ve zmiňované tréninkové aréně CyberGym Europe.

Pozadu však nezůstává ani soukromý sektor, konkrétně třeba naše pražská kancelář PwC, která už v roce 2015 licencovala americký výukový nástroj Game of Threats. Ten s pomocí manažerské karetní simulace přibližuje metody i motivaci kybernetických útočníků. Jeho nástupce, CyberArena, je v současnosti ve finální fázi vývoje a nabídne komplexní simulátor kybernetických útoků, jenž lze široce parametrizovat a tedy přizpůsobit pro nácvik obranných situací v jakékoliv firmě.

Zážitkem lze učit (skoro) cokoliv

Příklady uvedené výše jsou z kategorie těch, které se přímo nabízely. Avšak moderními výukovými metodami lze studentům/uživatelům zprostředkovat téměř jakékoliv téma. Chirurgové se učí operovat na VR simulátorech, zpěváci zvládat trému před nakreslenou arénou plnou fanoušků, dopravní podniky měří propustnost křižovatek v počítačových hrách. Tak proč byste s tím nemohli začít i vy?

Ondřej Koch Ondřej Koch
Autor článku je senior konzultant IT bezpečnosti společnosti PwC ČR.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 5 IT Systems 4 IT Systems 3 IT Systems 1-2
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1