Press "Enter" to skip to content

Learning Design 2: Návrh vzdělávacího objektu

Published 22/11/2024 by Oxford

Tento článek vznikl na základě analýzy (podkladů) publikované v článku Chystám workshop o bezpečném vývoji softwaru. Zaměřuje se na konkrétní kroky, které vedou k návrhu vzdělávacího objektu. Plánovaný workshop se zabývá bezpečným vývojem softwaru a klade důraz na praktické využití především rámce OWASP SAMM (Open Worldwide Applicatoin Security Project – Software Assurance Maturity Model). Kromě něj budou okrajově zmíněny také další metodiky, jako jsou BSIMM, Microsoft SDL nebo NIST SSDF, aby účastníci získali komplexní přehled o různých přístupech k zabezpečení softwarového vývoje.

Vizualizace hlavního zaměření workshopu – struktura rámce OWASP SAMM

Vzdělávací cíle: Co účastníci získají?

Cílem workshopuCílem workshopu je naučit účastníky efektivně integrovat bezpečnostní opatření do všech fází vývoje softwaru. Tento přístup odstraňuje častý problém, kdy je bezpečnost vnímána jako dodatečná záležitost, a nahrazuje jej strategií, která staví bezpečnost jako klíčový prvek každého kroku vývojového procesu. Důraz je kladen nejen na technické aspekty, ale také na organizační a lidský rozměr bezpečnosti, což odpovídá potřebám veřejné správy identifikovaným v analýze.

Hlavní vzdělávací cíle:

⚖️ 🌐 Etická dimenze bezpečnosti:
Účastníci pochopí, jak začlenit etické principy do návrhu bezpečnostních systémů, včetně transparentnosti, ochrany soukromí a inkluzivního designu.

📈 🛡️ Seznámení s rámcem OWASP SAMM:
Účastníci pochopí strukturu a účel klíčových domén Governance, Design, Implementation, Verification a Operations a naučí se, jak je implementovat ve veřejné správě.

⚙️🎯 Praktické dovednosti:
Účastníci se naučí používat rámec OWASP SAMM v reálných scénářích, propojit jej s dalšími metodikami (např. BSIMM, Microsoft SDL nebo NIST SSDF) a aplikovat získané znalosti na specifické potřeby státní správy.

💬🤝 Komunikace se stakeholdery:
Workshop rozvine schopnost efektivně komunikovat se zainteresovanými stranami (např. manažery, vývojáři, právníky) a integrovat bezpečnostní principy do organizační kultury veřejných institucí.

🎨👤 Designový a lidský rozměr bezpečnosti:
Účastníci si osvojí dovednosti pro navrhování bezpečnostních opatření, která zohledňují lidské faktory, jako je použitelnost, inkluze a ochrana citlivých dat uživatelů.

Tyto cíle vycházejí z analýzy potřeb publikované v článku Chystám workshop o bezpečném vývoji softwaru. Reagují na identifikované mezery v přístupu k bezpečnému vývoji softwaru, a to zejména v prostředí veřejné správy. Přestože byl již proveden orientační výzkum metodou person a rozhovorů, cíle budou průběžně přehodnocovány na základě zpětné vazby a iterativního procesu tvorby workshopu.

Výběr metod pro návrh vzdělávacího objektu

K návrhu workshopu bude využita kombinace metod, které zajistí hluboké porozumění potřebám a motivacím cílových skupin. Tento přístup zahrnuje iterativní proces sběru dat a jejich vyhodnocení, aby obsah workshopu odpovídal specifickým výzvám státní správy a byl prakticky využitelný.

Metoda person

Pro workshop byly vytvořeny tři hlavní persony, které reflektují klíčové skupiny účastníků:

  • Vývojáři softwaru:
    Profesionálové pracující na informačních systémech pro veřejnou správu. Tito účastníci se zaměřují na integraci bezpečnostních standardů do vývojového procesu, a to ve všech fázích – od návrhu až po údržbu. Persona vývojáře bude reflektovat rozdílné úrovně znalostí, od začínajících programátorů až po zkušené vývojáře, kteří hledají nové přístupy k zajištění bezpečnosti.
  • IT manažeři:
    Vedoucí pracovníci zodpovědní za strategii a implementaci bezpečnostních opatření. Workshop poskytne IT manažerům přehled o klíčových legislativních požadavcích (např. GDPR, NIS2) a osvědčených postupech při řízení kybernetické bezpečnosti. Persona IT manažera zdůrazní výzvy, jako je sladění technických opatření s organizační strategií nebo řízení zdrojů.
  • Bezpečnostní specialisté:
    Odborníci na kybernetickou bezpečnost, kteří hledají způsoby, jak propojit své znalosti s vývojovým procesem. Workshop jim pomůže přizpůsobit bezpečnostní opatření specifickým požadavkům státní správy, což zahrnuje jak technické aspekty, tak organizační a procesní rámce. Persona bezpečnostního specialisty se zaměří na jejich technickou odbornost a potřebu efektivní spolupráce s vývojovými a manažerskými týmy.

Každá persona bude obsahovat:

  • Motivace: Jaké jsou klíčové důvody účasti na workshopu?
  • Výchozí znalosti: Jaké zkušenosti a dovednosti mají účastníci v oblasti kybernetické bezpečnosti?
  • Bariéry: Jaké překážky mohou omezit jejich účast nebo implementaci získaných znalostí?
  • Další:
    • Role a odpovědnosti: Jaké konkrétní úkoly a povinnosti má persona v rámci své pracovní pozice
    • Očekávání: Co od workshopu očekávají a jaké konkrétní výstupy považují za užitečné?
    • Cíle: Jaký výsledek by pro ně znamenal úspěšný workshop (např. získání certifikace, zlepšení konkrétních dovedností)?
    • Kontext práce: Jaké prostředí a podmínky ovlivňují jejich práci (např. legislativní požadavky, technické zázemí, týmová spolupráce)?
    • Osobní preference: Jak preferují získávání nových znalostí (např. praktické ukázky, diskuse, simulace)?

Persony

Dále uvedené persony jsou dobře vytvořené a dostatečně reprezentují klíčové cílové skupiny workshopu. Každá z nich zdůrazňuje jiný úhel pohledu a specifické potřeby, což je ideální pro návrh obsahu workshopu a jeho přizpůsobení konkrétním účastníkům. Martin Horák přináší perspektivu zkušeného vývojáře, který hledá praktická řešení a způsob, jak propojit bezpečnost s rychlými DevOps procesy. Petr Dvořák ztělesňuje manažerský přístup, s důrazem na strategii, legislativu a efektivní koordinaci týmů. Ondřej Kučera zastupuje začínající odborníky, kteří chtějí získat přístup k pokročilým konceptům a hledají příležitosti pro profesní růst.

Každá z těchto person jasně definuje konkrétní problémy, motivace a očekávání, což je zásadní pro vytvoření cíleného a hodnotného obsahu workshopu. Detailní popis jejich motivací a překážek umožňuje přímo reflektovat jejich potřeby a připravit tak obsah, který bude nejen relevantní, ale také prakticky využitelný. Informace o těchto personách budu dále doplňovat a zpřesňovat na základě dalšího seznámení s nimi, aby jejich charakteristiky co nejlépe odpovídaly skutečným potřebám a očekáváním účastníků workshopu.

Informace o personách jsou „anonymizovány“.

👩‍🔧🔍 #Persona : Martin Horák, 38letý senior vývojář s odborností v backendových systémech, má již bohaté zkušenosti s vývojem složitých softwarových aplikací. Přesto si uvědomuje, že jeho znalosti v oblasti bezpečnostního testování a rámců, jako je OWASP SAMM nebo Microsoft SDL, potřebují posílit. Ve své technologické firmě čelí tlaku na rychlost vývoje, což často vede k přehlížení bezpečnostních aspektů. Martin chce na workshopu získat konkrétní návody a praktické příklady, jak integrovat bezpečnost do DevOps procesů, aniž by to zpomalilo vývoj. Jeho cílem je přesvědčit management, že investice do bezpečnosti přinášejí dlouhodobou hodnotu, a zároveň zlepšit své schopnosti při identifikaci a řešení bezpečnostních zranitelností. [poznámka: bývalý kolega z vývoje]

Tento obrázek nemá vyplněný atribut alt; název souboru je learningdesign_navrh_4.jpg.
Vizualizace Persony 4

👩‍🔧🔍 #Persona: Petr Dvořák, 45letý IT manažer veřejné správy, má bohaté zkušenosti s řízením IT projektů, včetně legislativních požadavků jako GDPR a NIS2. Jeho práce zahrnuje komunikaci mezi vývojáři, právníky a dalšími odděleními, přičemž jeho hlavním cílem je zajistit, aby informační systémy byly nejen funkční, ale také bezpečné. Petr však často bojuje s nedostatkem času a omezenými zdroji na implementaci bezpečnostních opatření. Workshop vnímá jako příležitost prohloubit své znalosti o řízení bezpečnostních rizik a naučit se nové metody, které mu pomohou lépe koordinovat tým a překonat organizační bariéry. Díky své strategické roli hledá praktická řešení, která budou efektivní i v kontextu veřejné správy. [poznámka: z konference]

Vizualizace Persony

👩‍🔧🔍 #Persona: Ondřej Kučera, 20letý student třetího ročníku informatiky, zároveň 2 roky zaměstnán jako bezpečnostní specialista, je na „začátku“ své kariéry a nadšený z možností, které kybernetická bezpečnost nabízí. Jako stážista v malé technologické firmě má určité praktické zkušenosti, ale chybí mu hlubší propojení s reálnými bezpečnostními rámci. Workshop vnímá jako ideální příležitost k získání znalostí, které by mohl využít nejen při stáži, ale i v budoucí diplomové práci zaměřené na kybernetickou bezpečnost. Ondřej hledá networking a inspiraci, která by mu pomohla lépe se orientovat v oboru a připravit se na budoucí pracovní trh. [poznámka: účastník jednoho z mých dřívějších kurzů]

Vizualizace Persony

Participativní design pro zlepšování kvality workshopu na základě zjišťování dosažení vzdělávacích cílů pomocí Kirkpatrickova modelu hodnocení

Participativní design představuje dynamický přístup, který zajišťuje průběžné zlepšování kvality workshopu o bezpečném vývoji softwaru. V tomto přístupu hrají klíčovou roli zpětná vazba a data získaná pomocí Kirkpatrickova modelu hodnocení, který umožňuje systematicky analyzovat, zda byly vzdělávací cíle splněny, a odhalit oblasti pro další zlepšení.

Kirkpatrickův model hodnotí efektivitu vzdělávacích aktivit na čtyřech úrovních: reakce, učení, chování a výsledky. Informace získané na každé úrovni se stávají vstupy pro proces participativního designu, jehož cílem je přizpůsobit obsah workshopu skutečným potřebám účastníků a zvýšit jeho praktický přínos. Tento cyklický přístup umožňuje kontinuální zdokonalování obsahu a metod výuky.

Role Kirkpatrickova modelu v participativním designu

Každá úroveň Kirkpatrickova modelu přispívá konkrétními daty do participativního designu:

  1. Reakce (Úroveň 1): Zpětná vazba od účastníků na kvalitu obsahu, přístup lektorů a relevanci výuky slouží jako základ pro úpravy stylu prezentace a struktury workshopu.
  2. Učení (Úroveň 2): Výsledky testů, závěrečných projektů a praktických úkolů poskytují přehled o tom, jak účastníci pochopili klíčové koncepty a osvojili si dovednosti.
  3. Chování (Úroveň 3): Data o aplikaci nově nabytých znalostí v praxi (například prostřednictvím follow-up dotazníků nebo rozhovorů) ukazují, kde je třeba poskytnout větší podporu nebo další školení.
  4. Výsledky (Úroveň 4): Analýza dlouhodobého dopadu workshopu na organizace a cílové skupiny identifikuje, zda workshop splňuje strategické cíle, jako je zlepšení bezpečnostních postupů nebo splnění legislativních požadavků.

Fáze participativního designu v kontextu Kirkpatrickova modelu

Aby bylo možné efektivně propojit participativní design s Kirkpatrickovým modelem hodnocení, je nezbytné strukturovat proces tvorby a zlepšování obsahu workshopu do jasně definovaných fází. Tyto fáze umožňují průběžné zapojení účastníků i dalších zainteresovaných stran, přičemž data získaná z jednotlivých úrovní Kirkpatrickova modelu slouží jako klíčové vstupy pro iterativní zdokonalování workshopu. Tento přístup podporuje nejen neustálou optimalizaci vzdělávacího obsahu, ale také zajišťuje, že výsledný workshop reflektuje reálné potřeby a zkušenosti cílových skupin. V následujících fázích jsou popsány konkrétní kroky participativního designu a jejich propojení s jednotlivými úrovněmi hodnocení.

  1. 🧠 Idea Gathering (Sbírání nápadů): Plánujeme shromažďovat prvotní podněty od stakeholderů prostřednictvím rozhovorů, dotazníků nebo workshopů.
  2. 👥 Stakeholder Input (Vstupy stakeholderů): Podněty od různých cílových skupin budou analyzovány a organizovány pro efektivní tvorbu obsahu.
  3. ✍️ Content Drafting (Návrh obsahu): Na základě získaných podnětů bude vytvořen prvotní návrh vzdělávacího objektu.
  4. 🔄 Feedback Loop (Zpětná vazba): Stakeholdeři budou zapojeni do hodnocení návrhu obsahu, přičemž se budou shromažďovat připomínky a doporučení.
  5. 🛠️ Content Refinement (Úprava obsahu): Zpětná vazba bude implementována do finální verze obsahu, aby co nejlépe odpovídal potřebám účastníků.
  6. 🚀 Implementation (Realizace): Po finalizaci bude obsah nasazen do praxe, s možností dalších iterací na základě zkušeností z implementace.

Tento proces zajistí, že návrh workshopu bude průběžně přizpůsobován skutečným potřebám cílových skupin a poskytne účastníkům hodnotný a prakticky využitelný obsah.

Vizualizace participativního designu

Přínosy propojení Kirkpatrickova modelu a participativního designu

Integrace Kirkpatrickova modelu do participativního designu umožňuje:

  • Cílenou adaptaci obsahu: Obsah je přizpůsobován na základě konkrétních dat o potřebách účastníků a efektivitě workshopu.
  • Zlepšení praktické relevance: Návrh vychází z reálné aplikace naučených dovedností v pracovním prostředí, což zvyšuje užitečnost workshopu.
  • Zajištění dlouhodobého dopadu: Data z úrovně Výsledky ověřují, zda workshop skutečně přispívá k bezpečnějším postupům ve vývoji softwaru a plnění strategických cílů organizací.
  • Iterativní zdokonalování: Cyklický proces umožňuje rychle reagovat na nové výzvy a potřeby cílových skupin.

Tento přístup zajišťuje, že workshop zůstane aktuální, relevantní a efektivní, přičemž se systematicky zvyšuje jeho kvalita na základě měřitelných dat.

Vzdělávací metody a hodnocení

Workshop bude kombinovat několik vzdělávacích metod, aby účastníci získali jak teoretické znalosti, tak praktické zkušenosti, přičemž bude reflektovat informace získané z Kirkpatrickova modelu hodnocení. Tyto poznatky budou průběžně zapracovávány v rámci participativního designu pro zlepšování kvality workshopu. Zároveň budou přizpůsobeny specifickým potřebám cílových skupin a zohlední různé úrovně odborných znalostí účastníků.

Metody výuky

  • 👥 Týmové projekty: Účastníci vytvoří komplexní bezpečnostní plán pro modelový projekt, který zohledňuje specifika státní správy, a představí ho ostatním.
  • 📖 Přednášky a diskuse: Úvod do rámce OWASP SAMM s důrazem na jeho aplikaci ve veřejné správě. Diskuse se zaměří na srovnání OWASP SAMM s dalšími metodikami, jako jsou BSIMM nebo NIST SSDF, a na jejich praktické využití.
  • 🛠️ Praktická cvičení: Účastníci budou pracovat na konkrétních úkolech, jako je definování bezpečnostních požadavků, návrh procesů pro bezpečné nasazení softwaru nebo testování bezpečnostních opatření.
  • 🎭 Role-play: Simulace rozhovorů se stakeholdery, například s právníky, uživateli nebo manažery. Cílem je zdokonalit schopnost účastníků identifikovat potřeby a obavy stakeholderů a propojit je s bezpečnostními opatřeními.

Hodnocení vzdělávacích metod v kontextu Kirkpatrickova modelu

Workshop bude hodnotit své vzdělávací metody a dosažení cílů na základě čtyř úrovní Kirkpatrickova modelu. Hodnocení bude propojeno s konkrétními aktivitami workshopu, což zamezí duplicitě a zajistí konzistentní sběr dat pro další analýzu.

🖐️ Úroveň 1: Reakce

Zjišťuje, jak účastníci reagují na obsah a metody workshopu, a hodnotí jejich spokojenost.

  • Hodnocení aktivity: Po každé klíčové aktivitě, jako jsou přednášky, praktická cvičení nebo role-play, účastníci vyplní krátké dotazníky (například formou Likertovy škály) zaměřené na:
    • Relevanci a přínos obsahu.
    • Srozumitelnost a kvalitu lektorského podání.
    • Vnímání praktické hodnoty aktivity pro jejich práci.
  • Propojení s metodami výuky: Dotazníky budou rozděleny podle jednotlivých aktivit, například po simulaci rozhovorů se stakeholdery nebo po týmovém projektu.

🧠 Úroveň 2: Učení

Měří, jaké znalosti a dovednosti účastníci získali během workshopu.

  • Hodnocení aktivity:
    • Praktické testy dovedností: Po dokončení klíčových modulů účastníci vyřeší úkoly, které ověří jejich schopnost aplikovat rámec OWASP SAMM nebo navrhnout bezpečnostní opatření pro specifické scénáře.
    • Závěrečný projekt: Účastníci připraví bezpečnostní plán, který bude posouzen na základě:
      • Kvality aplikace naučených principů.
      • Schopnosti integrovat teoretické koncepty do praktických řešení.
      • Realizovatelnosti a použitelnosti navržených opatření.
  • Propojení s metodami výuky: Tyto aktivity budou přímo navazovat na obsah přednášek a praktických cvičení.

🏃‍♂️ Úroveň 3: Chování

Sleduje, jak účastníci aplikují získané znalosti a dovednosti v praxi po absolvování workshopu.

  • Hodnocení aktivity:
    • Sebehodnocení během workshopu: Účastníci na konci každého dne vyplní krátký dotazník o svém pokroku a oblastech, kde potřebují více podpory.
    • Follow-up dotazníky: Po třech až šesti měsících od ukončení workshopu budou účastníci osloveni s otázkami na aplikaci získaných znalostí v praxi.
    • Pozorování a rozhovory: Organizátoři mohou provést strukturované rozhovory s vedoucími týmů, kde účastníci pracují, aby zjistili, jaké změny se v organizaci po workshopu projevily.
  • Propojení s metodami výuky: Sebehodnocení bude součástí každodenní reflexe, která zároveň umožní lektorům přizpůsobit obsah dalším potřebám účastníků.

🏆 Úroveň 4: Výsledky

Zkoumá dlouhodobý dopad workshopu na úroveň bezpečnosti ve veřejné správě.

  • Hodnocení aktivity:
    • Organizační hodnocení: Vedoucí pracovníci a manažeři budou vyzváni k poskytnutí zpětné vazby na dopad workshopu na jejich tým a organizaci.
    • Analýza procesů: Budou sledovány konkrétní změny v bezpečnostních procesech, například zavedení nových bezpečnostních standardů nebo snížení počtu bezpečnostních incidentů.
  • Propojení s metodami výuky: Analýza dopadu bude zahrnovat hodnocení, jak účastníci využili dovednosti získané během závěrečného projektu a praktických cvičení.

Reflexe: Proč tento workshop?

Workshop vychází z dlouhodobé zkušenosti s problematikou bezpečného vývoje softwaru a z poznatků získaných při návrhu vzdělávacích objektů. Reflektuje aktuální výzvy ve veřejné správě, kde je integrace bezpečnostních opatření do vývojových procesů často opomíjena. Volba rámce OWASP SAMM jako hlavního pilíře vychází z jeho schopnosti pokrýt celý životní cyklus vývoje softwaru, od návrhu po údržbu. Zmínění dalších metodik, jako jsou BSIMM a Microsoft SDL, poskytuje širší kontext, přičemž workshop zdůrazňuje praktickou aplikovatelnost a propojení s reálnými procesy.

Koho má workshop oslovit?

Workshop je zaměřen primárně na profesionály působící ve veřejné správě, včetně vývojářů softwaru, IT manažerů a bezpečnostních specialistů. Cílovou skupinou jsou také pracovníci odpovědní za implementaci bezpečnostních opatření, kteří hledají konkrétní nástroje a metody, jak bezpečnost integrovat do svých procesů. Workshop osloví i jednotlivce na začátku kariéry v kybernetické bezpečnosti, kteří chtějí získat praktické dovednosti a hlubší vhled do moderních bezpečnostních rámců.

Jaký bude přínos?

Workshop přinese účastníkům nejen praktické nástroje a techniky pro bezpečný vývoj softwaru, ale také důležitý kontext legislativních požadavků (např. GDPR, NIS2) a etických principů. Důraz na lidské a procesní aspekty bezpečnosti pomůže účastníkům pochopit, jak navrhovat bezpečnostní opatření, která jsou nejen efektivní, ale i uživatelsky přívětivá. Workshop tak přispěje k rozvoji komplexních dovedností a k podpoře změny v přístupu k bezpečnosti jako integrální součásti životního cyklu softwaru.

Závěr

Workshop představuje inovativní vzdělávací objekt, který kombinuje technické, procesní a lidské aspekty kybernetické bezpečnosti. Propojuje moderní přístupy, jako je OWASP SAMM, s reálnými potřebami cílové skupiny, čímž zajišťuje praktickou využitelnost a dlouhodobý dopad. Díky participativnímu designu, který bude průběžně zohledňovat zpětnou vazbu účastníků a poznatky z hodnocení pomocí Kirkpatrickova modelu, je workshop navržen jako dynamický a flexibilní nástroj pro zlepšování kybernetické bezpečnosti ve veřejné správě.

Zdroje

[1] Úvodní obrázek byl generován pomocí AI Chat GPT DALL-E dne 29. 12. 2024.
[2] Projekt je realizován jako součást předmětu Learning Design (M. Černý, S. Kramosilová) v rámci oboru Design informačních služeb na Filozofické fakultě Masarykovy univerzity, 2024.
[3] OWASP SAMM: https://owaspsamm.org/
[4] OWASP SAMM – projektová stránka: https://owasp.org/www-project-samm/
[5] Výběr frameworku pro bezpečný vývoj SW: https://www.silenceplease.cz/vyber-frameworku-pro-bezpecny-vyvoj-sw/
[6] Design služeb a vývoj bezpečného SW s OWASP SAMM: https://www.silenceplease.cz/design-sluzeb-a-vyvoj-bezpecneho-sw_s_owasp_samm/
[6] Proč by nás měl zajímat OWASP SAMM?: https://www.silenceplease.cz/proc-by-nas-mel-zajimat-owasp-samm/
[8] Hodnotící rozhovor OWASP SAMM česky: https://www.silenceplease.cz/hodnotici-rozhovor-owasp-samm-cesky/
[9] Stručný průvodce OWASP SAMM – tentokrát česky: https://www.silenceplease.cz/strucny-pruvodce-owasp-samm-tentokrat-cesky/

Published in Kyberbezpečnost