< Zpátky
8. 6. 2025

Jak pomocí HCD přístupu navrhnout kyberbezpečnostní řešení pro českou neziskovou organizaci

V rámci této případové studie jsem v jako výstup předmětu „Kyberbezpečnost, design a lidé“, vedeným na MUNI kolegyní PhDr. Pavlou Vizváry, Ph.D. LL.M.,  navrhl sadu bezpečnostních opatření, která umožní i velmi netechnickému týmu zvládnout klíčová kyberbezpečnostní rizika srozumitelně a bez zbytečné složitosti. Pomocí principů Human-Centered Designu jsem přetavil odbornou problematiku do několika konkrétních, uživatelsky srozumitelných kroků, které si organizace postupně sama implementuje dle svých možností. Výsledné řešení kombinuje praktickou udržitelnost s pozitivním přijetím změny i u zaměstnanců bez předchozích zkušeností v oblasti IT bezpečnosti.

Projekt vznikl v rámci projektu MUNI ARTS Czech Cybersecurity Seminars (CSS) s podporou Google.org

Než se do toho pustíme....

Na úvod case study je potřeba zmínit dva důležité kontexty:

1) ze samotné povahy tématu (kyberbezpečnostní opatření v neziskové organizaci) a tedy relativně citlivých informací (vč. spolupráce pod smlouvou) vyplývá, že jsem byl nucen být – s ohledem na tuto konkrétní organizaci – ve svém následujícím veřejném sdílení přiměřeně obezřetný. Tedy informace, které by mohly organizaci identifikovat, jsem buď upravil, nebo vypustil. Ukázkové materiály jsem barevně upravil, a odstranil loga atd. Bezpečnost především!

2) akademický kurz, v jehož rámci jsem daný projekt realizoval, měl relativně pevně danou strukturu, jak k závěrečné intervenci (resp. aplikaci opatření) dojít, tedy jsem osobně nijak „neexperimentoval“, proto v této case study se soustředím zejména na zajímavé okamžiky z procesu, co mi během práce na projektu fungovalo, a jak jsem projekt nakonec procesně uchopil, což věřím, že by mohlo být pro někoho, kdo řeší nebo bude řešit obdobný problém, dost užitečné. Když to ještě pojmenuji jinak – samotná case study, včetně použitých metod, tak může posloužit jako alternativní „mini-design-proces“. 

Kontext a zadání

Smyslem celého kurzu bylo poměrně unikátně propojit teorii s užitečnou praxí, kdy jsem se v jedné úrovni každý týden potkával na výborně připravených přednáškách, a paralelně jsem pomocí strukturovaného design procesu rovnou tyto poznatky aplikoval v konkrétní organizaci. Zadáním tedy bylo na konci kurzu skutečně realizovat navrhovaná opatření v dané organizaci.

Není cílem této case study popsat obsah samotných přednášek, každopádně témata byla připravená tak, aby jak teoreticky, tak prakticky pokryla maximum možného, aby byl student schopný skutečně danou intervenci připravit co nejlépe (přednášena byla např. témata jako designový proces, etika, change management, ovlivňování chování a behaviorální psychologie, kultura organizací…) Získané poznatky v teoretické části kurzu mi pomohly lépe pochopit, jak vlastně by zaměstnanci mohli vnímat změny a jak změny nakonec co nejvíce efektivně prakticky implementovat. (V tomto patří lektorům můj obdiv, že frekventanti semestrálního kurzu si opravdu odnášejí nejen hmatatelný výsledek v podobě intervence, ale i celkem dobré povědomí, jak vypadá celý proces human centred designu v praxi.)

Organizace, kterou jsem si po dohodě vybral a pro kterou jsem celý návrh připravoval, sídlí v ČR a má přibližně 15–20 zaměstnanců s různou technickou zdatností a hybridním režimem práce (částečně kancelář, částečně terén a home office). Již brzy se ukázalo, že intervence může být konkrétně zde velmi užitečná, neboť v organizaci chyběly samotné základní stavební kameny kyberbezpečnosti, například:

  • žádná centrální správa hesel,
  • neřízený přístup ke sdílení složek na Google Drive,
  • absence zálohování dat,
  • chybějící osvěta a školení,
  • neexistující 2FA ochrana na klíčových účtech (fakturace, eshop).

K tomu se přidaly další limity, které z projektu dále činily opravdu zajímavou výzvu: omezené rozpočtové možnosti, časové vytížení lidí (včetně tématem pověřené ambasadorky) a jejich přirozený odstup od „IT“ témat. Věřím, že pro mnohé zaměstnance bylo téma kyberbezpečnosti velmi vzdálené, až do úrovně „to se mě netýká“, nebo „to mě nezajímá“, a proto jsem se části prvotní „komunikace“ věnoval do hloubky. Designová výzva byla následující: „Jak bychom mohli vytvořit jednoduchý systém kyberbezpečnosti, aby zaměstnanci této neziskové organizace přijali bezpečné chování jako přirozenou součást své každodenní práce?“

Další kontext, který jsem musel v řešení zohlednit, bylo skutečně samotné časové vytížení zaměstnanců a ambasadora – nepředpokládal jsem, že bych intervenci nějak naplánoval a tak se i přesně provedla. Proto bylo potřeba řešení připravit modulárně a flexibilně, aby si organizace vybrala, na co má v daném čase reálné možnosti a co jí nejvíce „pálí“.

Po rozhovorech se zástupkyní organizace a studiem webové / online prezentace jsem si identifikoval dvě hlavní proto-persony:

  1. Lucie – koordinátorka komunitních projektů, humanitně orientovaná, digitálně relativně běžně zdatná, potřebuje praktické návody a vizuální opory.
  2. Petr – správce dílny, technicky a manuálně zručný, ale ne digitálně, preferuje osobní vysvětlení a analogie ze své praxe.

Tyto proto-persony mi posloužily k zásadnímu poznání – uvědomil jsem si, že mají jednu věc společnou: potřebují nejen znát smysl změn, ale musí jim dávat smysl i v jejich pracovním kontextu. Musí jim co nejlépe rozumět. A tak jsem se rozhodl použít ve svých „cyber“ výstupech zcela srozumitelná a velmi netechnická přirovnání k tomu, co sami z organizace dobře znají – komunitní spolupráce v městě a přírodě, ochrana životního prostředí, škůdci vs. úroda, růst a pěstování, recyklace… všechna tato témata byla pak vhodně dle příležitosti „naroubována“ do výsledné komunikace.  

Vzhledem k tomu, že jsem vnímal i značná omezené časových možnosti samotné ambasadorky, připravil jsem některé návody a materiály do takového detailu, aby šly organizací okamžitě či s drobnou úpravou použít.

Pro celkovou strategii intervencí jsem si pomohl klasickým Lean Canvasem.

Proces a použité designové metody

Celý proces návrhu jsem připravil kombinací metod v níže uvedeném pořadí. Vycházel jsem přitom z terénního deníku ve Word, kam jsem si poznatky a výstupy rovnou zapisoval a zároveň byl vždy konzultovaný s mentorem programu:

  • Úvodní nastavení mindsetu a brainwriting – kategorizovaný heslovitý seznam prvotních nápadů a opatření pro danou organizaci (smysl: dostat se do samotné domény, zatím pouze „od stolu“)
  • MoSCoW analýza (můj vlastní návrh doporučených opatření podle priorit 1-3, zatím také stále „od stolu“),
  • Strukturovaný rozhovor se zástupkyní organizace (hluboká analýza bezpečnostních rizik a potřeb organizace v hodinovém rozhovoru, sběr insightů se zaměřením na překonání mentálních bariér zaměstnanců,
  • Rámování problému a definice designové výzvy na základě rozhovoru
  • Příprava tzv. Lean Canvasu pro návrh struktury řešení
  • Příprava celého řešení intervence (v podobě návrhu postupu a komunikace, jednoduchých návodů pro ambadadorku změny, jednoduchých A4 návodů pro uživatele, vč. copywritingu přizpůsobeného jazyku organizace

Celkem jsem navrhl a více rozpracoval 6 konkrétních intervencí, které byly naplánovány na 9 týdnů, s důrazem hlavně na malá, ale postupná a dále udržitelná zlepšení. Míra rozpracovanosti intervencí byla různá: v úrovni prvotní komunikace jsem připravil podklady až do úrovně návrhu emailů, zároveň například návrh interního školení by samo o sobě vyžadovalo práci nad rámec mé kapacity, tedy jsem navrhl rámcovou osnovu.

Ukázka prvních nápadů z mé MosCow analýzy.
Návrh akčního plánu pro všechny intervence.

Souhrn výsledného řešení (outputs)

  1. Plán prvotní komunikace na zaměstnance, vč. emailů, letáků a časování
  2. Návrh zavedení správce hesel i s jednoduchým návodem, návrhem pilotního testu a plánu plného nasazení.
  3. Návrh na řízení přístupů na Google Drive – jak udělat nejdříve audit, struktury přístupových práv, manuál „co sdílet, co ne“. apod.
  4. Návrh zálohování do cloudu (Google Vault) – jak udělat pravidelnou automatickou zálohu všech dokumentů, vč. testu obnovy.
  5. Návrh zavedení 2FA – individuální nastavení s klíčovými uživateli
  6. Návrh evidence fyzických zařízení – jednoduchý Google Sheet s inventarizací MacBooků a vstupních čipů.
  7. Rámcový návrh na přípravu interní školení.

Veškeré materiály byly vytvořeny tak, aby odpovídaly způsobu práce a kultuře organizace – od tónu komunikace po jejich délku a vizuální zpracování.

Ukázka připraveného kroku 1 – komunikace o změnách pro ambasadora.
Ukázka z "desatera" – část plakátu pro použití přímo na místě v organizaci.

Dopady a poučení z intervence

Jak již bylo zmíněno, v mém řešení jsem se soustředil na maximální modulárnost aplikace intervencí dle možností organizace a také na to, aby moje řešení šla ihned použít a aplikovat. Prvotní zpětná vazba ambasadorky z organizace při předání materiálů potvrdila, že jsme celkově šli správnou cestou a byla velmi oceněna jak praktičnost a návodnost výstupů, tak i „netechnický“ způsob komunikace a přiložených návodů. (Dokonce bylo ambasadorkou zmíněno, že jeden z navržených dokumentů bude „ještě ten den použit“.)

Zároveň dlužno dodat, že vzhledem k tomu, že mnou navržených intervencí bylo několik a načasovaných na několik měsíců, vyhodnotit přínosy celé intervence bude možné spíše až s odstupem – navíc, co se reálně použije a co ne, záleží nyní na organizaci samotné. Můj návrh řešení byla „nabídka“, jak situaci řešit včetně plánu implementace, ale na skutečnou realizaci v organizaci nemám vliv. Budu doufat, že využití bude v maximální možné míře a na výsledky se s odstupem budu ještě doptávat. 

Co bych případně příště udělal trochu jinak, by byla ještě větší (sice potřebná, ale tím dále zvyšující již tak časově náročnou práci) iterativnost a konzultace s organizací – mé řešení je sice komplexní, ale během mé tvorby vorby řešení zvolila organizace např. v případě jedné intervence (One Drive auditu) externího dodavatele, takže se můj návrh postupu konkrétně v této oblasti spíše nevyužije).

Ukázka jednoho ze čtyř připravených návodů A4 na tisk přímo v kanceláři.

Principy, které se mi osvědčily – využijte je i vy!

  • Pokud používáte v komunikaci s vašimi uživateli analogie a metafory – mluvte „jejich“ jazykem, kterému budou rozumět, protože to buduje důvěru. Věřím, že pro tyto zaměstnance může analogie typu „jak můžete zahradu odplevelit?“  samotné cybersecurity téma přiblížit víc, než sice přesnější, ale vzdálená „IT hantýrka“.
  • Zapojte uživatele skrze bezpečná témata – místo zastrašování (hackeři, pokuty, katastrofy) doporučuji spíše mluvit o pohodlí, klidu a podpoře. I samotné materiály jsou připraveny spíše hravější formou.
  • Minimum, ale srozumitelně – materiály jsou v rozsahu vždy jediné A4, přehledné, opřené o reálné situace, s minimem balastu navíc. Lidé nemají chuť číst dlouhé manuály, myslete na to a buďte maximálně úsporní.
  • Role ambasadora („světlonoš tématu“) – jeden člověk, který téma bezpečnosti vlastní, je srozumitelný a pro všechny ostatní je mentálně dostupný, je pro úspěch důležitý.
  • EAST framework, s kterým jsem se seznámil v rámci kurzu, mohu doporučit jako rámec každému, kdo se snaží ovlivnit změnu chování. Poskytuje strukturovaný přístup založený na čtyřech zásadách: Snadný, Atraktivní, Sociální a Včasný. Věřím, že vědomým uplatněním těchto principů lze skutečně zvýšit pravděpodobnost výskytu žádoucího chování – já z něj při řešení vycházel. 
Nakonec jsem organizaci odevzdal přehledně celé MIRO se všemi materiály k editaci.

Závěrem...

Z mého pohledu šlo celkově o velmi hodnotnou zkušenost. Kyberbezpečnost vnímám teď celkově mnohem méně jako technické téma a více jako komunikační a kulturní změnu – chce to sice čas, pochopení podmínek a péči, ale výsledek, věřím, bude stát za to. Naopak, bez „změnu mindsetu“ moc nevěřím na úspěšné zavedení samotné změny.

< Starší příspěvky
Novější příspěvky >
Všechny příspěvky