Press "Enter" to skip to content

Storytelling – zbraň kyberbezpečnostního testování

Published 29/10/2023 by Oxford

S prvními paprsky ranního slunce, po rituálu s šálkem horké kávy a miskou bezlaktózového jogurtu s ovesnými vločkami, se nořím do nekonečného digitálního pátrání. V této neustálé hře na kočku a myš se setkávám s řadou kybernetických hrozeb, z nichž některé jsou zjevné, zatímco jiné se skrývají v hlubinách systémů. Svět kolem mě se teprve probouzí, ale já už jsem zcela ponořen do hald reportů, které jsou komplexními soubory informací o zranitelnostech, hrozbách, rizicích a dalších bezpečnostních výzvách, jež čekají na mou pečlivou analýzu. Procházím každý detail, rozplétám spletité informace a neúnavně pátrám po dalších slabých místech skrytých v labyrintu informačních systémů

Obsah

Úvod

Avšak často takové zásadní – a vůbec ne levné – reporty končí v trezoru; … v lepším případě v trezoru. Smutně ignorovány klíčovými lidmi, kteří mohou mít vliv na zabezpečení. Zřejmě jim nerozuměli. Nepochopili poslání zpráv od kyberbezpečnostních specialistů, jejichž úkolem je vyhledávat slabá místa v zabezpečení. Přestože reporty obsahovaly nezbytné informace k ochraně jejich systémů. Kyberbezpečnostní specialisté ale možná nerozuměli čtenářům. Zprávy byly napsány jazykem, který pro mnohé zásadní čtenáře byl cizí, vzdálený, téměř nečitelný.

Stál jsem na rozcestí. Na jedné straně svět skvělých technických kyberbezpečnostních expertů, hovořících naším vlastním složitým jazykem kyberbezpečnosti, a na druhé straně manažeři, vedení firem a více či méně ne-techničtí zaměstnanci, jejichž rozhodnutí byla zásadní pro ochranu organizace, ale kteří se ztráceli v překladu odborných termínů.

Jak můžeme mluvit jazykem, který je srozumitelný všem zúčastněným stranám, a zároveň zachovat důležitost a naléhavost našich zjištění?

Odpověď je skryta v umění vyprávění příběhů. O to více jsem si to uvědomil během svého studia Designu informačních služeb na Masarykově univerzitě, když jsme zrovna hovořili o storytellingu. Byl to ten moment, kdy jsem pochopil sílu, kterou příběhy mají v komunikaci komplexních myšlenek. Rozhodl jsem se přejít od suchých, technických zpráv k vyprávění příběhů, které zasáhnou srdce i mysl čtenářů. Samozřejmě přiměřeně. Začal jsem tvořit scénáře, které nebyly jen sbírkou fakt, ale příběhy s charaktery, konflikty a řešeními.

Příběhy, které vyvolávají emoce a staví čtenáře, posluchače, pozorovatele do středu dění, aby cítili naléhavost a pochopili důležitost jednání. Snažím se použít techniky, které jsem se naučil, a přizpůsobit je světu kyberbezpečnosti, vytvářejíc příběhy, které jsou relevantní, srozumitelné, a přitom dostatečně detailní, aby podaly pravdivý obraz o rizicích a následcích nečinnosti. Přes tento nový přístup bych mohl vytvářet silnější most mezi bezpečnostně-technickými týmy a zbytkem organizace.

Tímto způsobem se pokouším nejen zjednodušit komplexní informace, ale také vytvořit prostor pro empatii a porozumění. Tento přístup má jistě potenciál měnit způsob, jakým organizace vnímají kyberbezpečnost – nezaměřovat se pouze na technickou stránku, ale také na lidský dopad a rizika. A co je také důležité, příběhy otevírají dveře k diskusím, otázkám a, konečně, k informovaným rozhodnutím, která mohou vést k silnější a bezpečnější digitální budoucnosti pro všechny zúčastněné.

Storytelling

Storytelling, neboli vyprávění příběhů, je umění a technika sdělování informací, která má hluboké kořeny ve folkloristice a je základním stavebním kamenem kultur po celém světě. Toto dávné umění se využívá v mnoha různých oblastech, od literatury a filmu po marketing a vzdělávání, a má nezastupitelnou roli v zachování kulturních tradic, hodnot a dědictví.

Vyprávění příběhů má schopnost přenášet složité myšlenky a koncepty prostřednictvím angažovaných, srozumitelných a pamětihodných příběhů, které rezonují na emocionální úrovni. Příběhy, od pradávných mýtů po současné lidové pověsti, pomáhají formovat kulturní identitu a poskytují mocný prostředek pro předávání moudrosti, varování, historických poznatků a společenských hodnot napříč generacemi.

Skrze storytelling se lidé nejen učí o své historii a tradicích, ale také nalézají smysl a orientaci v komplexním světě, čímž se posiluje společenská soudržnost a porozumění mezi jednotlivými členy komunity. Storytelling má schopnost přenášet složité myšlenky a koncepty prostřednictvím angažovaných, srozumitelných a pamětihodných příběhů, které rezonují na emocionální úrovni a pomáhají posluchačům, čtenářům, pozorovatelům lépe pochopit a zapamatovat si klíčové informace.

V oblasti kyberbezpečnosti, zejména v kyberbezpečnostním testování, může být storytelling nesmírně užitečný, protože:

  • Zjednodušuje složitost: Kyberbezpečnost může být extrémně technická a složitá pro lidi bez příslušného vzdělání, odborných znalostí nebo zaměření. Storytelling pomáhá překládat tento technický žargon do jazyka, který je srozumitelný pro všechny zainteresované strany, ať už se jedná o vedení firmy, zákazníky nebo ne-technické zaměstnance.
  • Zvýrazňuje důsledky: Příběhy o skutečných nebo hypotetických útocích mohou ilustrovat, jaké by mohly být důsledky ignorování bezpečnostních hrozeb nebo nedostatků. Když lidé slyší o dopadech, které se mohou dotknout jejich práce nebo osobního života, je pravděpodobnější, že budou jednat preventivně.
  • Vytváří spojení: Emocionální spojení, které storytelling vytváří, může zvýšit zájem a angažovanost zaměstnanců vůči bezpečnostním politikám a postupům. Příběh, který vyvolává emoce, může posílit zapamatování si a porozumění bezpečnostním otázkám.
  • Vzdělávání a osvěta: Prostřednictvím příběhů mohou odborníci na kyberbezpečnost sdílet příklady nejlepších postupů, studie případů, scénáře útoků a úspěšné obranné strategie, což pomáhá vzdělávat týmy a zvyšovat celkové povědomí o kyberbezpečnosti v organizaci.
  • Atd.

Storytellingu v kyberbebezpečnostním testování

V kyberbezpečnostním testování může storytelling hrát klíčovou roli, zejména při komunikaci výsledků a doporučení zainteresovaným stranám. Výsledky zranitelnostních, penetračních, bezpečnostně konfiguračních či jiných testů jsou často plné technických detailů, které mohou být pro neodborníky nesrozumitelné. Použitím storytellingu mohou odborníci na kyberbezpečnostní testování:

  • Vytvořit srozumitelný kontext: Příběhy mohou pomoci lidem pochopit, jak se teoretické hrozby a zranitelnosti týkají jejich každodenního života nebo práce, přenášejíc technické informace do kontextu, který je relevantní pro jejich osobní nebo profesionální situaci.
  • Motivovat k akci: Dobře vyprávěný příběh může vyvolat přiměřeně silnou emocionální reakci. Racionální příběhy o útocích, které mohou vést k významným ztrátám nebo škodám, mohou čtenáře motivovat k tomu, aby brali bezpečnostní opatření vážně a jednali rychleji při jejich zavádění.
  • Zlepšit zapamatovatelnost: Lidé si informace sdělené prostřednictvím příběhů pamatují lépe než suchá fakta nebo statistiky. To může zvýšit dlouhodobé uchování klíčových bezpečnostních informací mezi zaměstnanci a vedoucími pracovníky.
  • Budovat důvěru a porozumění: Storytelling může také pomoci budovat důvěru mezi týmy kyberbezpečnosti a ostatními zaměstnanci nebo vedením. Když lidé rozumí rizikům a důvodům, proč jsou určitá opatření nezbytná, je pravděpodobnější, že budou s bezpečnostními týmy spolupracovat a podporovat jejich iniciativy.
  • Atd.

Využitím umění vyprávění příběhů odborníci na kyberbezpečnost mohou lépe komunikovat hodnotu své práce, zvýšit povědomí a pochopení kyberbezpečnostních hrozeb, a tak efektivněji motivovat ke změnám v chování a podnikových politikách. Uživateli storytellingu v kyberbezpečnosti mohou být různé skupiny lidí v organizaci, a dokonce i mimo ni, v závislosti na kontextu a cílech komunikace:

  • Vedení společnosti: Pro členy vedení je storytelling způsob, jak pochopit rizika a dopady kyberbezpečnostních hrozeb na business operace bez nutnosti detailního technického zasvěcení. To jim může pomoci při rozhodování o alokaci zdrojů a strategickém plánování.
  • Zaměstnanci: Pro běžné zaměstnance, kteří nemusí mít technické znalosti, může být storytelling nástrojem pro vzdělávání a zvyšování povědomí o kyberbezpečnostních praktikách a politikách. Může jim také pomoci lépe pochopit, proč jsou určitá bezpečnostní opatření nezbytná.
  • Zákazníci a partneři: V případech, kdy je důležitá transparentnost a budování důvěry, může být storytelling použit k ujištění zákazníků a obchodních partnerů o závazku společnosti vůči kyberbezpečnosti a ochraně jejich dat.
  • Investoři a akcionáři: Tato skupina má zájem na finančním zdraví a stabilitě společnosti, takže pochopení, jak společnost řeší kyberbezpečnostní hrozby, může být klíčové pro jejich investiční rozhodnutí.
  • Atd.

Storytelling jako nástroj mentoringu

Storytelling může být velmi cenným nástrojem při mentoringu juniornějších kolegů v oblasti kyberbezpečnosti. Je to efektivní způsob, jak sdílet znalosti, zkušenosti a kultivovat kritické myšlení:

  • Zjednodušení složitých konceptů: Mnoho aspektů kyberbezpečnosti může být pro začátečníky obtížně pochopitelných. Vyprávění příběhů může pomoci objasnit a zjednodušit tyto koncepty tím, že je začlení do kontextu a příkladů ze skutečného světa.
  • Zkušenostní učení: Příběhy o skutečných incidentech, úspěších a neúspěších v oblasti kyberbezpečnosti mohou poskytovat cenné lekce a pomáhají nováčkům se učit z příkladů.
  • Zvýšení zájmu: Příběhy jsou často zapamatovatelnější a zajímavější než tzv. „tradiční“ metody výuky. Mohou pomoci udržet pozornost mentee, zvýšit jejich zájem a podpořit aktivní účast.
  • Podpora kritického myšlení: Diskuse o scénářích a potenciálních výsledcích založených na příbězích může povzbudit juniory, aby se aktivně zapojili do řešení problémů, analýzy a strategického plánování.
  • Budování vztahu a důvěry: Společné sdílení příběhů může pomoci posílit vztah mezi mentorem a mentee, vytvářet důvěru a otevřenost, což je klíčové pro účinný mentoring.
  • Atd.

Při používání storytellingu jako nástroje pro vzdělávání je důležité, aby byly příběhy relevantní, autentické a přiměřeně detailní, aby podporovaly hluboké pochopení a zároveň byly přístupné pro ty, kteří se teprve o kyberbezpečnosti učí.

Zásadní principy storytellingu v oblasti kyberbezpečnostního testování

Storytelling v oblasti kyberbezpečnosti by se měl řídit několika zásadními principy, aby byl efektivní a srozumitelný pro všechny zúčastněné strany:

  • Jasnost a srozumitelnost: Vyhněte se příliš technickému žargonu. Vysvětlete situaci tak, aby ji mohli pochopit i lidé bez technického pozadí. Přesto technické detaily v části pro technicky zdatnější nezapomeňte.
  • Relevantnost: Ukažte, jak mohou být slabá místa přímo nebo nepřímo ovlivněna, a jaké mohou mít důsledky pro business cíle, operace nebo reputaci organizace.
  • Scénáře útoků: Použijte skutečné nebo hypotetické příklady toho, jak by útočník mohl využít identifikované zranitelnosti, aby bylo snadnější pochopit rizika.
  • Urgence: Vysvětlete, proč je důležité se zabývat těmito problémy ihned, a jaké mohou být důsledky odkladu.
  • Řešení a doporučení: Neomezujte se pouze na popis problémů, ale nabídněte konkrétní kroky k jejich řešení nebo zmírnění rizik.
  • Emoce a empatie: Použijte vyprávění, které rezonuje na emocionální úrovni, aby se posluchači mohli vcítit do situace a pochopit vážnost problému.
  • Přiměřenost: Zůstaňte věrní skutečnostem. Přehánění nebo zkreslování situace může vést k nedůvěře a panice.
  • Atd.

Dodržováním těchto principů lze storytelling efektivně využít k zajištění, že důležitost kyberbezpečnosti je pochopena napříč jeho různými uživateli.

Složitost i jednoduchost storytellingu

Vytvoření efektivního storytellingu v kyberbezpečnosti může být náročné, a to z několika důvodů:

  • Technická složitost: Jedním z hlavních problémů je zjednodušení složitých technických detailů tak, aby byly srozumitelné i pro neodborníky. Vyžaduje to hluboké porozumění jak kyberbezpečnosti, tak schopnost překládat tato témata do běžného jazyka.
  • Správná míra detailů: Najít rovnováhu mezi tím, co je důležité sdělit, a technickými detaily, které mohou být pro některé posluchače matoucí, může být výzvou. Cílem je zůstat věrný technickým faktům, aniž byste obětovali porozumění příběhu.
  • Začlenění emocí bez dramatizace: Při snaze vytvořit naléhavost a emocionální spojení je důležité nepřehánět nebezpečí nebo možné scénáře. Musíte být upřímní a přesní, abyste nevyvolali paniku nebo cynismus.
  • Aktualizace a relevance: Kyberbezpečnostní prostředí se neustále vyvíjí, takže vyprávějící musí být vždy v obraze o nejnovějších hrozbách a trendech, aby mohl příběh učinit relevantním a uvěřitelným.
  • Angažovanost a motivace: Výzvou je také udržet publikum zapojené a motivované k akci, aniž byste je přetížili technickými detaily nebo vyvolali pocit, že situace je beznadějná.
  • Atd.

I přes tyto výzvy může být storytelling mimořádně účinným nástrojem pro zvýšení povědomí o kyberbezpečnosti, mobilizaci týmů a podporu kultury bezpečnosti v celé organizaci. Vyžaduje to však praxi, trpělivost a schopnost pochopit různé perspektivy.

Storytelling jako časově náročný luxus?

V kontextu kyberbezpečnostního testování je rychlost klíčová, a vyprávění příběhů se může zdát jako časově náročný luxus. Nicméně, efektivní storytelling může být proveden rychle a efektivně, pokud je správně uplatněn. Zde je několik tipů, jak toho dosáhnout:

  • Předpřipravené šablony: Mít soubor předem připravených šablon pro různé typy nálezů může výrazně urychlit proces. Tyto šablony by mohly zahrnovat strukturované body, jako je „Co se stalo“, „Proč je to důležité“, „Potenciální dopad“ a „Doporučené kroky“. Tester by tak mohl jednoduše vyplnit relevantní detaily bez nutnosti vytvářet každý příběh od začátku.
  • Vizuální pomůcky: Infografiky, diagramy, snímky obrazovky a jiné vizuální pomůcky mohou rychle a efektivně sdělit složité informace. Vizuální prvky mohou být snadno pochopeny a často umožňují rychlejší přenos informací než dlouhé odstavce textu.
  • Stručnost je klíčová: Efektivní storytelling neznamená dlouhý příběh. Výzva je být stručný a jasný. Používání jednoduchého jazyka a zaměření se na klíčové body může pomoci udržet informace přístupné a snadno stravitelné, což urychluje celý proces.
  • Vzdělávání a školení: Investování do krátkých školicích sezeních nebo workshopů pro kyberbezpečnostní testery, aby se naučili základy efektivního storytellingu, může z dlouhodobého hlediska ušetřit čas. Znalost toho, jak rychle sestavit příběh kolem kyberbezpečnostního nálezu, může proces urychlit.
  • Aktivní používání checklistů: Checklisty nebo kontrolní seznamy pro různé scénáře mohou pomoci testerům ujistit se, že zahrnuli všechny potřebné informace v co nejstručnějším a nejeffektivnějším formátu. Tyto checklisty slouží jako rychlý referenční materiál, který zajišťuje, že všechny klíčové body a nezbytné detaily jsou zahrnuty v závěrečném reportu, aniž by bylo cokoli opomenuto. V podstatě je aktivní používání checklistů metodou, která zefektivňuje proces psaní reportů, minimalizuje chyby nebo opomenutí a zároveň šetří čas testerů, protože mají jasný plán nebo strukturu, kterou musí při své reportáži sledovat.
  • Bezpečné využití AI, jako je ChatGPT: To může výrazně přispět k efektivitě a jednoduchosti procesu storytellingu v kyberbezpečnosti, zejména při popisu slabých míst informačního systému. Přestože AI může v procesu hodně pomoci, je pro kyberbezpečnostní profesionály důležité mít základní porozumění principům storytellingu. Tato znalost jim umožní efektivněji využívat nástroje AI, lépe hodnotit a upravovat generovaný obsah a zajistit, že konečný příběh bude mít požadovaný dopad.
  • Atd.

Integrací těchto strategií do praxe kyberbezpečnostního testování mohou specialisté na kyberbezpečnostní testování rychle sdělit důležité informace, aniž by obětovali důležitost nebo kontext, který storytelling poskytuje.

Závěrem

Storytelling v oblasti kyberbezpečnostního testování hraje klíčovou roli v překlenování propasti mezi technickými nuancemi kyberbezpečnosti a praktickým porozuměním, které je nezbytné pro rozhodování a reakce v organizaci. Tato strategie komunikace, spočívající ve vyprávění příběhů, přináší lidský rozměr do často neosobního a složitého světa kyberbezpečnosti, zjednodušuje komplexní koncepty a umožňuje lepší pochopení rizik a strategií ochrany.

Důležitost storytellingu je zřejmá v jeho schopnosti zvýšit uvědomění, vzdělání a zapojení všech úrovní pracovníků v organizaci. Příběhy, které rezonují na emocionální úrovni, mohou posílit porozumění bezpečnostním otázkám, reálné příklady a scénáře mohou ilustrovat potenciální dopady kybernetických hrozeb. To vše napomáhá vytvářet silnější bezpečnostní kulturu a zvyšovat pravděpodobnost proaktivních opatření proti hrozbám.

Co se týče efektivity, storytelling může dramaticky zlepšit rychlost a kvalitu reakce na bezpečnostní incidenty tím, že poskytuje jasný kontext a pochopení situace, což umožňuje rychlejší rozhodování. Výzvou je však najít rovnováhu mezi technickou přesností a srozumitelností, a to zejména v situacích, kdy je třeba rychle komunikovat s neodborným publikem.

Přestože tvorba efektivního storytellingu může být samo o sobě náročná vzhledem k technickým detailům a neustále se vyvíjejícímu prostředí kyberbezpečnosti, moderní technologie, jako je umělá inteligence, otevírají nové možnosti. Nástroje založené na AI mohou usnadnit proces tím, že poskytnou šablony, generují návrhy obsahu, a dokonce se učí a přizpůsobují na základě zpětné vazby, což šetří čas a zdroje odborníků na kyberbezpečnost. To ovšem vyžaduje, aby ti, kdo tyto nástroje používají, měli základní znalosti principů storytellingu, aby mohli účinně řídit proces a zajišťovat jeho relevanci a přesvědčivost. Storytelling v kyberbezpečnostním testování není jen nástrojem pro prezentaci, ale strategickým aktivem, které podporuje prevenci, reakci a celkovou rezilienci organizace vůči kybernetickým hrozbám. Jde o investici do lepšího pochopení, spolupráce a posílení obrany v digitálním prostoru.

Published in Kyberbezpečnost