Przegląd regulacji pozwoli również uwypuklić zagadnienia związane z obowiązkami firmy w zakresie współpracy z innymi podmiotami w krajowym i europejskim systemie bezpieczeństwa.
Taki przegląd podkreśli również istotny trend poszerzania odpowiedzialności organizacji za cykl życia produktów i usług z komponentami cyfrowymi oraz konieczność brania pod uwagę cyberbezpieczeństwa łańcucha dostaw. Ma to stworzyć podstawę pod włączenie w programy edukacyjne koncepcji cybersecurity-by-design i cybersecurity-by-default. Dlatego wszystkie programy edukacyjne powinny zawierać odniesienia do ram kompetencji w zakresie cyberbezpieczeństwa. Ramy umożliwiają wykorzystanie perspektywy procesowej, organizacyjnej i technicznej do poszerzenia katalogu kompetencji w zakresie cyberbezpieczeństwa potrzebnych obecnie i w przyszłości. Wskazują one również inne uzupełniające kompetencje ważne z perspektywy biznesowej, w tym umiejętności komunikacji i współpracy. Proponują też wspólny język opisu dziedziny cyberbezpieczeństwa i ułatwiają integrację pozyskanej wiedzy i umiejętności z praktyką zawodową. Ze względu na dużą liczbę funkcjonujących w obszarze cyberbezpieczeństwa ram kwalifikacji, ich dobór do programu edukacyjnego jest kwestią indywidualną i zależną od profilu, zakresu i długości programu edukacyjnego.
Przygotowując programy kursów dla specjalistów cyberbezpieczeństwa, należy skupić się na realizacji celu związanego z uzyskaniem kompetencji potrzebnych do praktycznej realizacji wąsko zdefiniowanego zakresu działań. Przydatne jest więc spojrzenie na organizację kursu z perspektywy przygotowania jego uczestników do pracy w wybranej roli zawodowej. Dlatego trzeba zrównoważyć zakres edukacji ogólnej, tworzącej podstawy pod wymogi planowanej przez uczestnika roli, z konkretnymi kompetencjami praktycznymi wymaganymi przy jej pełnieniu. Dobrym punktem wyjścia do przygotowania kursów jest zatem analiza takich ram kompetencji jak European Cybersecurity Skills Framework lub UK Cyber Career Framework.
Jeżeli chodzi o kursy nastawione na budowę ogólnych kompetencji, szczególnie przydatne jest wykorzystanie podejścia prezentowanego w ramie brytyjskiej, która dobrze definiuje rolę Cyber Security Generalist. Obejmuje ona podstawy cyberbezpieczeństwa i podstawowe wymagania wobec kilku fundamentalnych ról. Takie podejście jest szczególnie przydatne dla kursów edukujących specjalistów cyberbezpieczeństwa dla małych i średnich organizacji, gdzie często sprawami cyberbezpieczeństwa zajmuje się jedna osoba lub bardzo mały zespół. Warto też zastanowić się nad integracją kompetencji cyberbezpieczeństwa z podstawowymi kompetencjami IT z obszaru utrzymania systemów i infrastruktury informatycznej.
Gdy kursy mają mieć bardziej specjalistyczny charakter, dobrze jest włączyć w ich zakres wymagania dla innych konkretnie zdefiniowanych ról w powyższych ramach (ECSF i UK CCF). Jako punkt odniesienia dla ogólnego zakresu wiedzy warto dla kursów wybrać ramę NIST z racji jej powszechnego stosowania i wielu lat funkcjonowania na rynku. Warto też skorzystać z opracowania ENISY. Jest to „Przewodnik po bezpieczeństwie cybernetycznym dla MŚP”, który został przetłumaczony na język polski albo brytyjski Cyber Security Small Business Guide, radzą eksperci w raporcie „Cyberbezpieczeństwo. Analiza systemów kompetencji i wymagań. Rekomendacje w sprawie programów edukacyjnych dla środowiska specjalistów cyberbezpieczeństwa”.
Publikacja dotyczy projektu „Utworzenie i funkcjonowanie Sektorowej Rady ds. Kompetencji Telekomunikacja i Cyberbezpieczeństwo” współfinansowanego ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Program Operacyjny Wiedza Edukacja Rozwój. Sektorowa Rada ds. Kompetencji Telekomunikacja i Cyberbezpieczeństwo prowadzona jest przez partnerstwo Polskie Towarzystwo Informatyczne oraz Polską Izbę Informatyki i Telekomunikacji w ramach projektu współfinansowanego ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Program Operacyjny Wiedza Edukacja Rozwój.
