Většina organizací si uvědomuje, že lidé hrají v kybernetickém riziku hlavní roli. Mnohem méně jich však vytvořilo program školení o bezpečnosti, který by skutečně změnil chování.

Bezpečnostní rizika spojená s lidským faktorem jsou málokdy jedním dramatickým incidentem. Realisticky se objevují v běžných okamžicích: zaměstnanec klikne na přesvědčivý phishingový e-mail, opakovaně používá heslo napříč pracovními nástroji, sdílí přihlašovací údaje v chatu nebo ignoruje požadavek na dvoufázové ověření (2FA), protože jej vnímá spíše jako vyrušení než jako ochranný krok.

V průběhu času tato každodenní rozhodnutí určují míru ohrožení organizace. Ve Spojeném království širší obraz hrozeb znemožňuje považovat tuto záležitost za drobný problém. Zpráva britské vlády Cyber Security Breaches Survey 2025 zjistila, že polovina podniků utrpěla v předchozích 12 měsících kybernetický bezpečnostní incident nebo únik informací a phishing zůstal nejčastějším typem kybernetické kriminality mezi postiženými podniky.

Pro vedoucí personalistiky, CISO, provozní ředitele, IT manažery a bezpečnostní týmy je školení o bezpečnosti mnohem víc než jen cvičení pro zajištění shody s předpisy. Je to způsob, jakým firmy snižují rizika, kterým lze předcházet. Problémem je, že mnoho programů je stále postaveno pouze na dokončení cvičení, nikoli na skutečné změně chování. Členové týmu jednou ročně zhlédnou video, zaškrtnou políčko a vrátí se ke stejným návykům, které riziko původně vyvolaly.

Účinnější přístup chápe osvětu jako součást firemní kultury. Je v průběhu času posilována, utvářena podle role, podpořena použitelnými zásadami a nástroji, které usnadňují dodržování bezpečných postupů.

Vysvětlíme vám, jak ve skutečnosti vypadá efektivní program pro zvyšování povědomí o bezpečnosti, proč v něm tolik organizací chybuje a jak vytvořit takový, který zlepší každodenní chování, namísto pouhého dokumentování, že školení proběhlo.

Proč školení o bezpečnosti ve většině organizací selhává

Školení o bezpečnosti často selhává, protože je s ním nakládáno jako s jednorázovou událostí namísto systému. V mnoha organizacích se program skládá z každoročního modulu shody, krátkého kvízu a téměř ničeho jiného. Od zaměstnanců se očekává, že jednou ročně vstřebají obecné rady a pak je budou důsledně aplikovat ve stovkách reálných pracovních postupů, nástrojů a rozhodnutí. To k trvalé změně chování prostě nestačí.

Problém není v tom, že by osvětovému školení chyběla hodnota. Problém je v tom, že mnoho programů je zastaralých nebo příliš odtržených od toho, jak lidé skutečně pracují. Spoléhají na abstraktní připomínky, zatímco skutečná rizika se objevují v doručené poště, na sdílených discích, při resetování hesla, u naléhavých požadavků od nadřízených a při každodenních rozhodnutích o přístupu. Pokud školení nenapodobuje to, co lidé skutečně každý den vidí nebo dělají, je nepravděpodobné, že si ho zapamatují nebo jej použijí.

Vzdělávací programy by měly zahrnovat úvodní a opakovací školení pro všechny zaměstnance o ochraně údajů a správě informací, zatímco zvyšování povědomí by mělo využívat pravidelné komunikační metody, aby správa informací, ochrana údajů a informační bezpečnost zůstaly v průběhu času viditelné. To ukazuje na model kontinuální činnosti spíše než na jediný každoroční zásah.

Dalším důvodem selhání programů je to, že se příliš úzce zaměřují na to, co by zaměstnanci neměli dělat, a ignorují příčinu špatných návyků. Říkat zaměstnancům, aby nepoužívali stejná hesla, teoreticky pomáhá, ale nepomůže to, pokud jim firma neposkytla bezpečný a praktický způsob, jak přihlašovací údaje vytvářet, ukládat a sdílet. Říkat jim, jak rozpoznat phishing, je užitečné, ale méně účinné, pokud je hlášení podezřelých zpráv nejasné nebo těžkopádné.

Jak vypadá skutečný program zvyšování povědomí o bezpečnosti

Skutečný program zvyšování povědomí o bezpečnosti není něco, co zaměstnanci jednou absolvují a zapomenou. Jedná se o průběžný soubor návyků, očekávání a bezpečnostních opatření, který lidem pomáhá v průběhu času činit lepší bezpečnostní rozhodnutí.

To začíná kontinuitou. Používejte školicí zdroje navržené tak, aby doplňovaly stávající zásady a postupy. Měly by pokrývat praktické oblasti, jako jsou silná hesla, osvědčené postupy BYOD, phishing a hlášení incidentů. Tato kombinace je užitečná, protože účinná osvěta nekončí u jednoho tématu. Měla by odrážet celý soubor rutinních úkonů, které utvářejí bezpečnost na skutečných pracovištích.

Kontinuita sama o sobě však nestačí. Program musí také odrážet skutečné rozdíly v tom, jak se různé týmy setkávají s rizikem.

Efektivní program musí být také specifický pro danou roli. Člen finančního týmu vyřizující žádosti o platby nečelí stejnému každodennímu riziku jako marketingový manažer sdílející sociální účty nebo vedoucí personálního oddělení spravující záznamy o zaměstnancích. Obecné rady mají své místo, ale lépe fungují, pokud na ně navazuje školení týkající se systémů, dat a vzorců útoků, které jsou pro každou skupinu nejrelevantnější.

Další složkou je praxe. Zaměstnanci si nezískají lepší úsudek pouze čtením pravidel. Zlepšují se opakovaným vystavováním realistickým scénářům: phishingovým simulacím, cvičením v hlášení incidentů, revizím přístupu a krátkým připomínkám vázaným na skutečné nástroje nebo pracovní postupy. Simulované útoky jsou obzvláště užitečné, protože testují, zda program ovlivňuje chování v klíčových momentech, a nikoli pouze v prostředí kvízu.

Stejně důležité jsou jasné bezpečnostní zásady a zásady pro hesla. Zaměstnanci potřebují vědět, jak by se měly přihlašovací údaje vytvářet, ukládat, sdílet a odebírat, když už nejsou potřeba, jak by se měly hlásit podezřelé zprávy, kdy je vyžadováno 2FA a co dělat, pokud si myslí, že udělali chybu.

Skutečný program nakonec chápe bezpečnost jako společnou normu na pracovišti, nikoli jako specializovanou starost IT oddělení. To znamená, že ji manažeři posilují, lídři jdou příkladem a týmy o ní mluví jako o součásti každodenního fungování organizace. Budování takové kultury vyžaduje víc než jen dokument se zásadami, ale je to jeden z nejsilnějších způsobů, jak v průběhu času omezit opakované lidské chyby.

Průvodce Protonu o kultuře kybernetické bezpečnosti na pracovišti pro malé firmy je v tomto ohledu užitečný, protože pojímá osvětu nikoli jako kampaň založenou na strachu, ale jako součást každodenního fungování firmy.

Proč patří phishing a zneužívání přihlašovacích údajů do centra programu

Pokud se program na zvyšování povědomí o bezpečnosti snaží obsáhnout vše stejně, může ztratit zaměření. Většině organizací lépe poslouží, když začnou s riziky, u kterých je největší pravděpodobnost, že způsobí skutečné škody.

Phishing patří na přední místa tohoto seznamu. Zpráva britské vlády Cyber Security Breaches Survey 2025(nové okno) zjistila, že phishing zůstává nejrozšířenějším typem vektoru útoků u firem, které se setkaly s kybernetickou kriminalitou, a postihuje 93 % těchto podniků. To odráží širší realitu v britských firmách, kde phishing zůstává jednou z nejčastějších metod útoku.

Phishing zřídkakdy končí samotnou zprávou. V mnoha organizacích začíná skutečná škoda až ve chvíli, kdy jsou odcizené přihlašovací údaje použity k přístupu k účtům, ke zneužití opakovaného používání hesel, k proniknutí do jiných systémů nebo k využití sdílených přihlašovacích údajů, které nebyly nikdy přísně kontrolovány.

Firmy musí používat vícevrstvý přístup. Pro útočníky musí být obtížnější oslovit uživatele a pro uživatele musí být snazší identifikovat a nahlásit podezřelé phishingové zprávy. Tím se organizace chrání před následky nezjištěných phishingových e-mailů a pomáhá jim to rychle reagovat na incidenty.

Silný program na zvyšování povědomí o bezpečnosti by měl odrážet stejnou logiku. Zaměstnanci musí být schopni rozpoznat podezřelé chování, ale potřebují také okolní kontrolní mechanismy, které sníží dopad jedné chyby.

Právě zde se hygiena přihlašovacích údajů stává klíčovou. Školení personálu k tomu, aby se vyhýbal slabým nebo opakovaně používaným heslům, je užitečné, ale stává se mnohem účinnějším, pokud je podpořeno nástroji, které snižují závislost na paměti a usnadňují používání bezpečných přihlašovacích údajů v praxi. Tímto širším preventivním přístupem se zabýváme také v našem průvodci prevencí úniků informací pro firmy, který zdůrazňuje roli praktických kontrol při snižování zbytečného ohrožení.

Role nástrojů při snižování lidského rizika

Povědomí o bezpečnosti je pouze částí celkového obrazu. Lidé budou mnohem pravděpodobněji dodržovat bezpečnostní postupy, pokud tyto postupy přirozeně zapadají do jejich způsobu práce. Pokud je nejbezpečnější možnost zároveň tou nejjednodušší na používání, je její přijetí mnohem konzistentnější. Pokud se postupy zdají být pomalé, nepohodlné nebo obtížně použitelné, začnou i zaměstnanci s dobrými úmysly hledat zkratky.

Správa hesel je jedním z nejjasnějších příkladů. Organizace často říkají zaměstnancům, aby si vytvářeli silná, jedinečná hesla, používali 2FA a vyhýbali se sdílení. Pokud však zaměstnanci nedostanou praktický způsob, jak to provést, zůstává pokyn jen zbožným přáním. Uchylují se pak k zapamatovatelným, snadným heslům, úložištím v prohlížeči, tabulkám, aplikacím na poznámky nebo komunikačním nástrojům, protože se tyto možnosti v danou chvíli zdají být rychlejší.

Tuto mezeru pomáhá vyplnit firemní správce hesel. Proton Pass for Business je navržen tak, aby usnadnil bezpečné vytváření, ukládání a sdílení hesel napříč týmy a zároveň poskytl organizacím silnější kontrolu nad postupy při nakládání s přihlašovacími údaji. Tyto funkce pomáhají zaměstnancům vytvářet a automaticky vyplňovat silná, jedinečná hesla, používat 2FA napříč účty a chránit uložené přihlašovací údaje pomocí koncového šifrování.

To nenahrazuje školení o bezpečnosti. Posiluje ho tím, že usnadňuje dodržování bezpečného chování. Namísto toho, abyste po personálu žádali zapamatování desítek složitých pravidel pro hesla, poskytnete jim systém, který podporuje chování, které vyžadujete. Díky tomu je snazší udržovat správné bezpečnostní postupy a lépe dosáhnout vymáhání zásad.

Totéž platí pro hlášení incidentů, řízení přístupu a onboarding. V těchto oblastech jsou nástroje často nezbytné k tomu, aby zaměstnanci měli k dispozici jasný proces, který mohou následovat, a aby organizace měla konzistentní dohled a kontrolu. Nástroje nemohou nahradit úsudek, ale mohou zajistit, aby byly bezpečné úkony v každodenní práci snazší, rychlejší a konzistentnější.

Praktický šestikrokový rámec pro spuštění nebo zlepšení vašeho programu na zvyšování povědomí o bezpečnosti

Program na zvyšování povědomí o bezpečnosti funguje nejlépe, když je navržen jako provozní rytmus spíše než jako jednorázová kampaň. Níže uvedený rámec vám může pomoci začít.

Krok 1: Definujte konkrétní chování, které chcete změnit

Začněte rizikem. Identifikujte chování, u kterého je největší pravděpodobnost, že ohrozí vaši organizaci. To může zahrnovat klikání na podezřelé odkazy, opakované používání hesel, neformální sdílení přihlašovacích údajů, nehlášení incidentů, slabé pracovní postupy při odchodu zaměstnanců nebo nesprávné nakládání s osobními údaji, jako jsou informace o zákaznících nebo zaměstnancích.

Krok 2: Stanovte priority pro nejrizikovější scénáře

Ne všechna témata školení potřebují stejnou váhu. Zaměřte se nejprve na scénáře, které jsou nejrelevantnější pro profil hrozeb a provozní model vaší organizace.

Pro mnoho firem to znamená phishing, nakládání s přihlašovacími údaji, řízení přístupu a hlášení incidentů. Cílem v této fázi je zaměřit školení personálu na chování a scénáře, u nichž je největší pravděpodobnost snížení každodenního rizika.

Krok 3: Segmentujte školení podle rolí

Uvědomění si bezpečnosti povede ke změně chování s mnohem větší pravděpodobností tehdy, když zaměstnanci ve školení rozpoznají svou vlastní pracovní realitu. Různé role vytvářejí různé typy ohrožení, ať už jde o nakládání s citlivými záznamy, schvalování vysoce rizikových požadavků, správu privilegovaných přístupů nebo sdílení informací s externími kontakty.

Účinnější program odráží tyto rozdíly, místo aby všem poskytoval stejné abstraktní rady. Čím blíže má školení k rozhodnutím, kterým lidé skutečně čelí, tím snazší je aplikovat ho v praxi.

Krok 4: Vybudujte rytmus posilování návyků

Jednorázové výroční školení ke změně chování nestačí. Využívejte vstupní školení, doškolovací kurzy, krátké připomínky, simulační cvičení a pravidelnou komunikaci, abyste udrželi klíčová sdělení aktivní. Posilování návyků může být nenáročné, ale musí být průběžné.

Krok 5: Podpořte školení zásadami a nástroji

Školení se stává mnohem věrohodnějším, pokud zaměstnanci vidí, jak ho použít v praxi. Zajistěte tedy, aby zásady byly jasné, snadno dohledatelné a napsané jazykem, který zaměstnanci mohou skutečně používat. Poté je podpořte funkcemi, které usnadňují dodržování bezpečného chování v praxi.

Pokud Vaše zásada stanovuje, že personál musí používat silná, unikátní hesla a vyhýbat se neformálnímu sdílení, poskytněte jim zabezpečený správce hesel, který jim to usnadní. Pokud Vaše zásada uvádí, že podezřelé e-maily mají být okamžitě nahlášeny, zajistěte, aby byla cesta hlášení zřejmá a s minimálními překážkami.

Krok 6: Kontrola, měření a zlepšování

Program zvyšování povědomí o bezpečnosti by se měl vyvíjet společně s Vaším podnikáním. Nové nástroje, změny rolí, incidenty a typy útoků vytvářejí nové kritické body.

Pravidelně kontrolujte výsledky, aktualizujte školení na základě incidentů a hrozeb a upravte program, pokud zjistíte opakující se slabá místa. Cílem není program dokončit, ale v průběhu času jej zefektivňovat.

Jak měřit dopad

Jednou z nejčastějších chyb při školení o bezpečnosti je měření toho, co je pohodlné, namísto toho, co je smysluplné. Míra dokončení Vám může napovědět, kdo školení sledoval nebo proklikal modul, ale vypovídá jen velmi málo o tom, zda program ovlivňuje chování ve chvílích, které skutečně představují riziko.

Užitečnějším přístupem je sledovat změny v tom, jak lidé v průběhu času reagují na reálné situace. Výsledky simulací phishingu Vám mohou pomoci pochopit, zda jsou zaměstnanci opatrnější, všímavější a zda s větší pravděpodobností zpochybňují a hlásí podezřelé zprávy.

Incidenty související s přihlašovacími údaji mohou ukázat, zda se rizikové návyky, jako je opakované používání hesel, nezabezpečené sdílení nebo špatné zacházení s účty, stávají méně častými. Dodržování zásad může také odhalit, zda zaměstnanci skutečně uplatňují očekávání stanovená programem, místo aby mu byli pouze vystaveni.

Stejně důležité je sledovat provozní signály. Jak rychle jsou hlášeny podezřelé e-maily nebo neobvyklé požadavky? Je MFA konzistentně aktivována tam, kde by měla být? Jsou přístupová práva během offboardingu okamžitě odvolána? Prokazují týmy s vyšší mírou ohrožení při rozvoji programu silnější úsudek v realistických scénářích?

To jsou často ukazatele, které zobrazují, zda se povědomí stává součástí fungování organizace, namísto toho, aby zůstalo omezeno pouze na školicí prostředí.

Skutečným testem nakonec není to, zda zaměstnanci program dokončili. Je jím to, zda Vaše organizace v důsledku toho zaznamená méně chyb, kterým lze předejít, lepší návyky při hlášení a silnější každodenní bezpečné chování.