Menedżer IT w firmie liczącej 200 pracowników ma średnio 47 otwartych zgłoszeń – serwery do aktualizacji, użytkownicy z zablokowanymi kontami, migracja do chmury w trakcie itd. Trudno oczekiwać, że ta sama osoba będzie w stanie dodatkowo planować kampanie phishingowe, konfigurować platformę szkoleniową i co miesiąc składać raport dla zarządu.
Na papierze wygląda to prosto. Kupujesz licencję platformy do szkoleń z cyberbezpieczeństwa, otrzymujesz dostęp do konsoli i zaczynasz szkolić pracowników. W praktyce kończy się zawsze tak samo – platforma leży, nikt się nią nie zajmuje, a zarząd nie wie, że wydał pieniądze na narzędzie, które nigdy nie zostało uruchomione.
Zakup platformy to nie to samo co działający program
Na polskim rynku działa kilku dystrybutorów, którzy oferują licencje platform security awareness. Model jest prosty: kupujesz roczną licencję, dostajesz login i hasło, a dalej radzisz sobie sam. To tak, jakbyś kupił abonament na siłownię bez trenera. Niby masz dostęp, ale wyniki zależą od tego, czy faktycznie tam pójdziesz i będziesz wiedział, co robić.
Problem polega na tym, że platforma to tylko narzędzie, a nie gotowy i skonfigurowany program szkoleniowy. Niezbędny jest ktoś, kto go zaprojektuje, uruchomi, poprowadzi i będzie mierzył wyniki. Samo narzędzie nic nie zrobi.
Dlaczego samodzielna obsługa nie działa
Wyobraź sobie, że właśnie kupiłeś platformę. Masz dostęp do konsoli. Co teraz?
- Konfiguracja platformy. Trzeba ustawić polityki, podzielić pracowników na grupy, skonfigurować język (nie każda platforma domyślnie działa po polsku), podpiąć domenę mailową, ustawić białą listę, żeby e-maile testowe nie trafiały do spamu. Kto to zrobi? Czy Twój dział IT ma na to czas?
- Planowanie kampanii phishingowych. Wysłanie jednego e-maila testowego raz na kwartał nie wystarczy. Skuteczny program wymaga regularnych symulacji z różnymi scenariuszami – fałszywe faktury, wiadomości od kuriera, resetowanie haseł, komunikaty od prezesa. Kto to zaprojektuje? Kto wymyśli harmonogram, żeby pracownicy szybko nie przyzwyczaili się do jednego schematu?
- Analiza wyników i raportowanie. Po każdej kampanii ktoś musi przeanalizować dane: ile osób kliknęło, kto się przeszkolił, jak wyglądają trendy w porównaniu z poprzednim miesiącem. Zarząd oczekuje raportu, a potencjalny audytor oczekuje dokumentacji. Kto to przygotuje?
- Aktualizacja materiałów szkoleniowych. Metody ataków zmieniają się co kilka tygodni. Phishing oparty na sztucznej inteligencji, wiadomości głosowe podszywające się pod inne osoby z użyciem sztucznej inteligencji, phishing z użyciem kodów QR – kto będzie śledził te trendy i aktualizował materiały szkoleniowe, żeby pracownicy uczyli się rozpoznawać aktualne zagrożenia, a nie te sprzed dwóch lat?
- Obsługa pytań pracowników. Pracownicy mają pytania. Dlaczego dostali dziwnego e-maila. Czy mają kliknąć link od działu HR. Czy ten załącznik jest bezpieczny. Kto odpowiada na te pytania?
To nie jest lista rzeczy do zrobienia jednorazowo. To jest praca, która trwa cały rok, co miesiąc, co tydzień. I wymaga kogoś, kto się na tym zna i ma na to czas. W firmach z sektorów objętych dyrektywą NIS2 – szpitale, branża energetyczna, transport, infrastruktura cyfrowa – ten ktoś po prostu nie istnieje. Dział IT ma inne priorytety.
Efekt jest przewidywalny
Firmy kupują platformę z dobrymi intencjami. Potem mija miesiąc, dwa, trzy. Nikt nie konfiguruje narzędzia, bo brakuje czasu. Nikt nie planuje kampanii, bo nie wiadomo jak. Nikt nie raportuje zarządowi, bo nie ma czego raportować. Platforma stoi nieużywana, licencja się odnawia, pieniądze idą w błoto.
Według danych branżowych, wskaźnik podatności na phishing w organizacjach bez regularnych szkoleń wynosi 30-35%. To oznacza, że co trzeci pracownik kliknie złośliwy link. Jednorazowe szkolenie raz w roku zmniejsza ten wskaźnik na kilka tygodni, po czym wraca on do punktu wyjścia. Jeżeli materiał nie jest regularnie powtarzany, poziom zachowanej wiedzy spada o 90% już po 30 dniach.
Jak działa model zarządzany
W modelu zarządzanym Twoja firma nie musi obsługiwać platformy samodzielnie. Proces wygląda tak:
- Tydzień 1-2: Konfigurujemy platformę z uwzględnieniem wymagań Twojej firmy. Ustawiamy polityki, grupy pracowników, język, białą listę oraz integrację z pocztą. Ty dostarczasz listę pracowników z adresami email – resztę robimy my.
- Miesiąc 1: Przeprowadzamy kampanię startową – bazowy test phishingowy, który pokazuje rzeczywisty poziom podatności w Twojej organizacji. Każdy pracownik przechodzi pierwsze mikro szkolenie.
- Co miesiąc: Prowadzimy regularne kampanie phishingowe z różnymi scenariuszami dopasowanymi do Twojej branży. Planujemy szkolenia na podstawie wyników. Przygotowujemy raport dla zarządu – gotowy do okazania audytorowi.
Typowy efekt po 6 miesiącach: wskaźnik podatności spada z 30-35% do 5-8%. To mierzalny wynik, który Twój zarząd zobaczy w raporcie.
Cały program uruchamiamy w 14 dni od podpisania umowy. Zaangażowanie Twojego działu IT ogranicza się do udostępnienia listy pracowników.
Porównanie dwóch modeli
| Zakup licencji | Usługa zarządzana | |
|---|---|---|
| Konfiguracja platformy | Samodzielnie | Dostawca usługi |
| Planowanie kampanii phishingowych | Samodzielnie | Dostawca usługi |
| Prowadzenie szkoleń | Samodzielnie | Dostawca usługi |
| Raport dla zarządu | Samodzielnie | Gotowy co miesiąc |
| Czas do uruchomienia | Tygodnie lub miesiące | 14 dni |
| Zaangażowanie Twojego IT | Duże i ciągłe | Minimalne |
| Śledzenie nowych zagrożeń | Samodzielnie | Dostawca usługi |
| Dokumentacja pod audyt NIS2 | Samodzielnie | Gotowa |
Dlaczego to ma znaczenie już teraz
Dyrektywa NIS2, a dokładniej ustęp 6 artykułu 21, bezpośrednio wymaga od organizacji objętych regulacją prowadzenia regularnych szkoleń z cyberbezpieczeństwa. Polska implementacja dyrektywy spodziewana jest w pierwszej połowie 2026 r. Kary za niespełnienie wymogów NIS2 sięgają 10 milionów euro lub 2% globalnego obrotu. Co więcej, ustęp 2 artykułu 20 wprowadza osobistą odpowiedzialność zarządu.
Wdrożenie skutecznego programu szkoleń z cyberbezpieczeństwa trwa minimum 3-6 miesięcy, zanim pokażesz pierwsze wyniki. Jeśli zaczniesz, gdy regulacja wejdzie w życie, będziesz spóźniony o 6 miesięcy.
Nie mamy na celu straszenia. Po prostu program szkoleń to nie jest coś, co włączysz w jeden dzień. Wymaga regularności, mierzalnych wyników i dokumentacji. Kupno licencji bez obsługi tego nie zapewni.
Następny krok
Jeśli chcesz sprawdzić, jak w praktyce wygląda zarządzany program szkoleń z cyberbezpieczeństwa, umów się z nami na 15-minutową rozmowę. Pokażemy, co dokładnie robimy, jak wyglądają raporty i ile czasu faktycznie może zaoszczędzić Twój dział IT.
Nie musisz nic wiedzieć o szkoleniach z cyberbezpieczeństwa. My to uruchomimy, poprowadzimy i zaraportujemy. Ty dostaniesz wynik i dokumentację zgodną z wymogami NIS2.