Press "Enter" to skip to content

Learning Design 3: Zajištění vzdělávacího obsahu a formy

Published 06/12/2024 by Oxford

Pracuji na dalším rozvoji workshopu o bezpečném vývoji softwaru, který jsem původně vytvořil jako strukturovaný vzdělávací program zaměřený na praktickou aplikaci rámce OWASP SAMM (Software Assurance Maturity Model).

Na základě reflexe vyučujících a zpětné vazby od odborné veřejnosti jsem původní koncept přepracoval a zúžil na cílovku státní správu, aby lépe byla budována další struktura.

Jedním z klíčových aspektů tohoto „zúžení“ je podrobnější zpracování person, které umožňuje lépe porozumět konkrétním potřebám cílové skupiny. V původním návrhu sloužily persony jako základní nástroj pro definování vzdělávacích cílů a požadavků na formu kurzu. Na základě získaných dalších podnětů jsem se rozhodl je dále rozpracovat, abych přesněji zachytil motivace, očekávání a profesní kontexty jednotlivých účastníků.
Proč je toto rozšíření důležité?

  1. Lepší přizpůsobení obsahu
  2. Zvýšení relevance kurzu
  3. Zlepšení vzdělávacích výsledků

V následujícím textu proto představím – částečně znovu – tři persony a jejich specifické požadavky na obsah a formu workshopu. Toto snad umožní lépe pochopit, jak přizpůsobit vzdělávací aktivity tak, aby přinesly co největší hodnotu účastníkům.

Persony

Bližší poznání person je nezbytné, protože umožňuje přizpůsobit obsah a formát workshopu konkrétním potřebám a úrovni znalostí účastníků. Pomáhá identifikovat jejich motivace, problémy a očekávání, což zvyšuje relevanci a efektivitu vzdělávacího objektu. Díky tomu se workshop zaměřuje na praktické dovednosti a reálné situace, které jsou pro dané publikum nejdůležitější.

Poznání person slouží jako důležitý kompas při plánování obsahu a struktury workshopu, ale není definitivním řešením. Teprve praxe, zpětná vazba od účastníků a reálná interakce ukážou, zda byla volba správná, a umožní další ladění a optimalizaci. Je to proces iterativního přizpůsobování, který vyžaduje flexibilitu.

👩‍🔧 #Persona: Martin Horák

Martin Horák, 38letý senior vývojář s odborností v backendových systémech, má již bohaté zkušenosti s vývojem složitých softwarových aplikací. Přesto si uvědomuje, že jeho znalosti v oblasti bezpečnostního testování a rámců, jako je OWASP SAMM nebo Microsoft SDL, potřebují posílit. V technologické firmě čelí tlaku na rychlost vývoje, což často vede k přehlížení bezpečnostních aspektů. Má bohatou zkušenost z vývoje pro státní správu. Martin chce na workshopu získat konkrétní návody a praktické příklady, jak integrovat bezpečnost do DevOps procesů, aniž by to zpomalilo vývoj. Jeho cílem je přesvědčit management, že investice do bezpečnosti přinášejí dlouhodobou hodnotu, a zároveň zlepšit své schopnosti při identifikaci a řešení bezpečnostních zranitelností. [poznámka: bývalý kolega z vývoje]

Požadavky Martina na obsah a formu:

🧠 📚 🔍 1. Požadavky na obsah (reflektující vzdělávací cíle):
  • Praktická aplikace OWASP SAMM: Martin potřebuje konkrétní příklady a návody, jak implementovat klíčové domény rámce OWASP SAMM (Governance, Design, Implementation, Verification, Operations) do DevOps procesů.
  • Propojení bezpečnosti s rychlostí vývoje: Obsah by měl zahrnovat metody, které minimalizují zpomalení vývojového cyklu při začleňování bezpečnostních opatření.
  • Řešení bezpečnostních zranitelností: Důraz na nástroje a postupy pro rychlou identifikaci a efektivní řešení bezpečnostních problémů.
  • Přesvědčivé argumenty pro management: Martin hledá strategie a data, které by mohl použít k obhajobě investic do bezpečnosti.
  • Praktické dovednosti: Výukový obsah by měl být zaměřen na praktické ukázky a hands-on cvičení.
🖥️ 📑 📊 2. Požadavky na formu:
  • Preferovaný formát: Kombinace fyzické přítomnosti na workshopu (pro networking a sdílení zkušeností s kolegy) s online vzděláváním mu nevadí… Ale chtěl by mít možnosti přístupu k online zdrojům (prohloubení znalostí po workshopu).
  • Hands-on work: Praktická cvičení jsou pro Martina klíčová – například práce s nástroji na zabezpečení softwaru nebo simulace DevOps pipeline s integrovanými bezpečnostními prvky.
  • Intenzita a trvání: Martin ocení krátké, ale intenzivní bloky, které respektují jeho pracovní vytížení.
  • Follow-up podpora: Možnost pokračovat ve vzdělávání formou online materiálů nebo konzultací.
🎯 🧠 🎓 3. Propojení s vzdělávacími cíli:
  • Etická dimenze bezpečnosti: Obsah by měl Martinovi ukázat, jak bezpečnostní opatření zapadají do širšího kontextu etického vývoje softwaru.
  • Seznámení s OWASP SAMM: Detailní představení rámce a jeho přizpůsobení DevOps prostředí, zejména v kontextu firemního tlaku na rychlost vývoje.
  • Praktické dovednosti: Martin potřebuje konkrétní dovednosti aplikované na reálné scénáře, např. integraci bezpečnostních kontrol do CI/CD pipeline.
  • Komunikace se stakeholdery: Důraz na argumentaci vůči managementu a kolegům ohledně přínosů bezpečnostních opatření.
  • Designový a lidský rozměr: Propojení bezpečnostních opatření s uživatelskou přívětivostí a efektivitou vývoje.

👩‍🔧 #Persona: Petr Dvořák

Petr Dvořák, 45letý IT manažer veřejné správy, má bohaté zkušenosti s řízením IT projektů, včetně legislativních požadavků jako GDPR a NIS2. Jeho práce zahrnuje komunikaci mezi vývojáři, právníky a dalšími odděleními, přičemž jeho hlavním cílem je zajistit, aby informační systémy byly nejen funkční, ale také bezpečné. Petr však často bojuje s nedostatkem času a omezenými zdroji na implementaci bezpečnostních opatření. Workshop vnímá jako příležitost prohloubit své znalosti o řízení bezpečnostních rizik a naučit se nové metody, které mu pomohou lépe koordinovat tým a překonat organizační bariéry. Díky své strategické roli hledá praktická řešení, která budou efektivní i v kontextu veřejné správy. [poznámka: z konference]

Požadavky Petra na obsah a formu:

🧠 📚 🔍 1. Požadavky na obsah (reflektující vzdělávací cíle):
  • Řízení bezpečnostních rizik: Petr potřebuje nástroje a metodiky, které mu umožní efektivně identifikovat a hodnotit rizika v IT projektech, zejména v kontextu veřejné správy.
  • Legislativní soulad: Obsah musí zahrnovat praktické aspekty naplňování požadavků GDPR a NIS2, včetně případových studií z veřejné správy.
  • Organizační strategie: Praktické ukázky, jak sladit technická bezpečnostní opatření s celkovou strategií organizace.
  • Překonání bariér: Nástroje a doporučení, jak řešit nedostatek zdrojů, času a případnou skepsi v týmu.
  • Komunikace: Praktická cvičení zaměřená na efektivní komunikaci bezpečnostních potřeb a rizik s různými typy stakeholderů (vývojáři, právníky, vedení).
🖥️ 📑 📊 2. Požadavky na formu:
  • Preferovaný formát: Petr nepreferuje konkrétní formu (fyzick, online, …) své účasti na workshopu, ale za důležité považuje interakce s ostatními účastníky a experty. Online obsah by měl být k dispozici pro prohloubení znalostí po workshopu.
  • Případové studie: Obsah by měl obsahovat reálné příklady z veřejné správy, které jsou relevantní pro jeho pracovní prostředí.
  • Strategická témata: Forma by měla zahrnovat diskusní panely, kde může sdílet a porovnávat strategie s ostatními manažery.
  • Praktické nástroje: Petr ocení jednoduché a okamžitě aplikovatelné nástroje pro řízení rizik a hodnocení efektivity bezpečnostních opatření.
  • Délka a struktura: Workshop by měl být rozdělen do kratších bloků zaměřených na konkrétní témata, což umožní efektivní využití času.
🎯 🧠 🎓 3. Propojení s vzdělávacími cíli:
  • Etická dimenze bezpečnosti: Obsah by měl Petra seznámit s tím, jak začlenit etické principy (např. transparentnost, ochrana soukromí) do organizační strategie.
  • Seznámení s OWASP SAMM: Workshop by měl Petra naučit, jak tento rámec využít při strategickém plánování bezpečnosti IT projektů.
  • Praktické dovednosti: Zaměření na manažerské nástroje a přístupy, které usnadní začlenění bezpečnostních opatření do organizace.
  • Komunikace se stakeholdery: Velký důraz na zlepšení komunikačních dovedností s různými cílovými skupinami, včetně vývojářů, právníků a vedení.
  • Designový a lidský rozměr: Zaměření na to, jak bezpečnostní opatření mohou zlepšit uživatelskou přívětivost informačních systémů.

👩‍🔧 #Persona: Ondřej Kučera

Ondřej Kučera, 20letý student třetího ročníku informatiky, zároveň 2 roky zaměstnán jako bezpečnostní specialista, je na „začátku“ své kariéry a nadšený z možností, které kybernetická bezpečnost nabízí. Jako stážista v malé technologické firmě (v nemalé míře vytvářející SW také pro veřejný sektor) má určité praktické zkušenosti, ale chybí mu hlubší propojení s reálnými bezpečnostními rámci. Workshop vnímá jako ideální příležitost k získání znalostí, které by mohl využít nejen při stáži, ale i v budoucí diplomové práci zaměřené na kybernetickou bezpečnost. Ondřej hledá networking a inspiraci, která by mu pomohla lépe se orientovat v oboru a připravit se na budoucí pracovní trh. [poznámka: účastník jednoho z mých dřívějších kurzů]

Požadavky Ondřeje na obsah a formu:

🧠 📚 🔍 1. Požadavky na obsah (reflektující vzdělávací cíle):
  • Hlubší propojení s bezpečnostními rámci: Ondřej potřebuje detailní představení rámců jako OWASP SAMM, BSIMM nebo NIST SSDF a jejich praktické aplikace v reálných projektech.
  • Inspirace pro diplomovou práci: Obsah by měl zahrnovat příklady implementací bezpečnostních opatření, které by Ondřej mohl dále analyzovat a rozvíjet ve své akademické práci.
  • Znalosti pro profesní růst: Praktická témata zahrnující identifikaci bezpečnostních rizik, tvorbu bezpečnostních politik a jejich začlenění do vývoje softwaru.
  • Networking a inspirace: Příležitost navázat kontakty s odborníky z praxe i dalšími účastníky, kteří by mohli být jeho mentory nebo partnery při budoucí spolupráci.
🖥️ 📑 📊 2. Požadavky na formu:
  • Preferovaný formát: Ondřej preferuje kombinaci fyzického workshopu (pro networking a interakci) a online výuk či alespoň online zdrojů (pro samostatné prohlubování znalostí). Byl by rád, kdyby si mohl vybrat „podle momentální nálady“.
  • Praktické ukázky: Hands-on work a cvičení zaměřená na simulace reálných scénářů, například odhalování a řešení bezpečnostních zranitelností.
  • Případové studie: Představení konkrétních případů z firemní praxe, zejména z menších technologických firem podobných jeho současnému zaměstnavateli.
  • Mentorský přístup: Ondřej by ocenil možnost konzultace s lektory nebo odborníky, kteří by ho mohli nasměrovat při jeho profesním a akademickém rozvoji.
🎯 🧠 🎓 3. Propojení s vzdělávacími cíli:
  • Etická dimenze bezpečnosti: Ondřej by měl získat povědomí o tom, jak bezpečnostní rámce zahrnují etické principy, a naučit se je aplikovat do praxe.
  • Seznámení s OWASP SAMM: Workshop by měl nabídnout ucelený přehled o tomto rámci a jeho propojení s jinými metodikami.
  • Praktické dovednosti: Důraz na konkrétní dovednosti, jako je definování bezpečnostních požadavků, tvorba testovacích scénářů nebo návrh bezpečnostních opatření.
  • Komunikace se stakeholdery: Ondřej potřebuje základní dovednosti, jak komunikovat s manažery nebo vývojáři o bezpečnostních opatřeních, aby mohl efektivně spolupracovat v týmu.
  • Designový a lidský rozměr: Obsah by měl ukazovat, jak bezpečnostní opatření ovlivňují uživatele a jak je implementovat tak, aby byla efektivní a zároveň přívětivá.

Požadavky na obsah

Je důležité znát požadavky na obsah vzdělávacího objektu i požadavky person, protože tyto informace zajišťují, že vzdělávací objekt bude relevantní, praktický a efektivní. Požadavky na obsah určují, jaké informace a dovednosti musí být pokryty, aby cíl vzdělávání byl splněn. Požadavky person pak pomáhají přizpůsobit obsah konkrétním potřebám, úrovni znalostí a preferovanému způsobu učení cílové skupiny. Společně tvoří základ pro vytvoření hodnotného a cíleného vzdělávacího zážitku.

Téma je žádáno dobou: Bezpečný vývoj softwaru je ve veřejné správě často podceňovaným tématem, přestože jeho důležitost dramaticky roste. Aktuální doba, zejména s příchodem směrnice NIS2, klade zvýšené požadavky na kybernetickou bezpečnost, což zahrnuje i bezpečnostní aspekty softwarového vývoje. Diskuse mezi profesionály a kroky v rámci projektů Národního plánu obnovy jasně ukazují na potřebu cílené edukace a osvěty v této oblasti. Workshop zaměřený na bezpečný vývoj SW tak nejen reaguje na aktuální trendy, ale také pomáhá zaplnit dlouhodobě opomíjenou mezeru, která může mít kritický dopad na bezpečnost systémů veřejné správy.

Praktická aplikace bezpečnostních rámců:

  • Konkrétní příklady a návody na implementaci OWASP SAMM v různých prostředích, včetně DevOps.
  • Nástroje a metodiky pro řízení rizik a sladění bezpečnostních opatření s organizační strategií.
  • Detailní přehled o OWASP SAMM, BSIMM a NIST SSDF včetně jejich aplikace v praxi.

Propojení bezpečnosti s rychlostí vývoje:

  • Metody minimalizující zpomalení vývojového cyklu při integraci bezpečnostních opatření.

Řízení bezpečnostních rizik:

  • Strategie a nástroje pro rychlou identifikaci a řešení bezpečnostních problémů.
  • Praktické techniky identifikace a hodnocení rizik v IT projektech.
  • Tvorba bezpečnostních politik a jejich začlenění do vývoje softwaru.

Řešení bezpečnostních zranitelností:

  • Postupy a nástroje na identifikaci a opravu zranitelností.
  • Hands-on cvičení zaměřená na odhalování a řešení zranitelností.

Legislativní soulad:

  • Praktické aspekty GDPR a NIS2 s důrazem na jejich aplikaci v prostředí veřejné správy.

Inspirace pro akademický/profesní růst:

  • Příklady implementací vhodné pro diplomovou práci a témata k profesnímu rozvoji.

Networking a komunikace:

  • Strategie pro obhajobu investic do bezpečnosti vůči managementu.
  • Cvičení zaměřená na komunikaci rizik mezi stakeholdery.
  • Příležitosti k navázání kontaktů s odborníky a kolegy.

Požadavky na formu

Preferovaný formát:

  • Kombinace fyzické účasti na workshopu a online zdrojů pro následné vzdělávání.

Praktická cvičení a ukázky:

  • Hands-on work a simulace DevOps pipeline s bezpečnostními prvky.
  • Praktické nástroje pro řízení rizik.
  • Simulace reálných scénářů, například řešení bezpečnostních zranitelností.

Případové studie:

  • Reálné příklady, jak bezpečnostní opatření ovlivňují rychlost vývoje.
  • Příklady z veřejné správy reflektující pracovní prostředí.
  • Scénáře z menších technologických firem.

Strategická témata:

  • Možnost zapojení managementu do bezpečnostního plánování.
  • Diskusní panely zaměřené na sdílení strategií mezi manažery.
  • Možnost konzultace vlastních témat s odborníky.

Délka a struktura:

  • Krátké, intenzivní bloky reflektující pracovní vytížení.
  • Strukturované bloky zaměřené na konkrétní témata.
  • Kombinace teoretických a praktických částí.

Mentorský přístup a follow-up:

  • Možnost online konzultací a materiálů po workshopu.
  • Nástroje pro zpětnou kontrolu bezpečnostních procesů po implementaci.
  • Konzultace s lektory o akademických a profesních cílech.

Propojení s vzdělávacími cíli

Etická dimenze bezpečnosti:

  • Jak zapojit bezpečnostní opatření do etického vývoje softwaru.
  • Jak integrovat etické principy do organizační strategie.
  • Pochopení a aplikace etických principů do praxe.

Seznámení s OWASP SAMM:

  • Aplikace OWASP SAMM v kontextu DevOps a rychlého vývoje.
  • Použití OWASP SAMM při strategickém plánování bezpečnosti.
  • Ucelený přehled rámce a jeho propojení s dalšími metodikami.

Praktické dovednosti:

  • Integrace bezpečnostních kontrol do CI/CD pipeline.
  • Nástroje a přístupy pro manažerské řízení bezpečnosti.
  • Definice bezpečnostních požadavků, tvorba testovacích scénářů.

Komunikace se stakeholdery:

  • Argumentace managementu a kolegům o přínosech bezpečnosti.
  • Zlepšení komunikace mezi vývojáři, právníky a vedením.
  • Základní dovednosti pro komunikaci v týmu.

Designový a lidský rozměr:

  • Jak bezpečnostní opatření ovlivňují uživatelskou přívětivost.
  • Vliv bezpečnostních opatření na uživatelskou zkušenost.
  • Jak implementovat opatření efektivně a přívětivě.

Realizace vybraných požadavků

Při plánování kurzu je zásadní vyvažovat mezi požadavky na obsah a reálnými možnostmi jeho realizace. Mohu se zaměřit na klíčové oblasti, které mají největší dopad a zároveň odpovídají mým časovým, personálním a finančním možnostem. Zohlednění rámce mých kapacit umožňuje vytvořit kurz, který je nejen praktický a přínosný, ale i proveditelný. Postupné rozšiřování obsahu může následně reagovat na další požadavky nebo zpětnou vazbu účastníků. Flexibilita a zaměření na priority jsou v tomto ohledu klíčem k úspěchu.

Požadavky na obsah

Pro vzdělávací obsah je nutné plně využít existující materiály OWASP SAMM, které poskytují praktický a kompletní rámec pro všechny fáze vývoje softwaru. Tento základní rámec by měl být rozšířen o zákonné roviny, zejména GDPR, NIS2, ZoKB a VoKB, přičemž příslušné materiály jsou již dostupné a připravené k použití. Do praktických modulů je nezbytné zahrnout simulaci CI/CD pipeline s integrovanými bezpečnostními kontrolami za použití nástrojů jako OWASP ZAP nebo dalších open-source alternativ. Dále je vhodné ukázat možné systémy pro sledování zranitelností (vulnerability tracking) a doplnit výuku odkazy na relevantní komunitní zdroje, materiály a případně mentoringové programy.

Požadavky na formu

Pro strukturu vzdělávacího programu by byla vhodná platforma Moodle, která umožňuje snadnou organizaci obsahu, integraci interaktivních prvků a řízení komunikace s účastníky. Konstrukce kurzu by měla následovat model short online kurzů University of Oxford, který kombinuje samostatné studium s interaktivními prvky a podporou od lektorů.

Proč workshop?

Workshop je ideální formou vzdělávání pro téma bezpečného vývoje softwaru, protože kombinuje intenzivní praktickou výuku s okamžitou aplikací získaných dovedností. Tento přístup umožňuje účastníkům nejen porozumět teoretickým konceptům, ale také si je osvojit v reálných scénářích, které jsou přizpůsobeny jejich profesním potřebám. Proč jsem tedy zvolil workshop jako hlavní formu vzdělávacího objektu?

1. Praktické zaměření

Jedním z hlavních cílů workshopu je umožnit účastníkům aplikovat bezpečnostní standardy a rámce, jako je OWASP SAMM, přímo do jejich pracovních procesů. Formát workshopu klade důraz na:

  • Hands-on aktivity, jako je simulace CI/CD pipeline s integrovanými bezpečnostními prvky.
  • Řešení konkrétních problémů, například identifikace a odstranění zranitelností nebo sladění bezpečnostních opatření s rychlým vývojem softwaru.
  • Možnost okamžité zpětné vazby od lektorů a kolegů.
  • Atd.

Tento praktický přístup je ideální pro cílové skupiny, jako jsou vývojáři, IT manažeři nebo bezpečnostní specialisté, kteří potřebují výsledky aplikovatelné v jejich každodenní praxi.

2. Interaktivita a sdílení zkušeností

Workshop vytváří prostor pro aktivní zapojení účastníků, kteří se mohou podělit o své zkušenosti, diskutovat o výzvách a hledat řešení společně. Tato interaktivita je zásadní pro:

  • Networking – Umožňuje účastníkům navázat kontakty s kolegy a odborníky z oboru.
  • Lepší porozumění tématu – Diskuse a týmové aktivity přispívají k hlubšímu pochopení problémů a jejich řešení.
  • Individuální přístup – Lektor může přizpůsobit obsah specifickým potřebám jednotlivých účastníků nebo skupin.

3. Řešení potřeb cílových skupin

Workshop umožňuje zaměřit se na konkrétní problémy, které trápí jednotlivé persony:

  • Vývojáři softwaru (např. Martin Horák) se naučí, jak sladit bezpečnostní opatření s rychlostí vývoje a přesvědčit management o jejich přínosech.
  • IT manažeři (např. Petr Dvořák) získají strategické nástroje a metody, jak překonat organizační bariéry a zajistit legislativní soulad.
  • Bezpečnostní specialisté (např. Ondřej Kučera) získají inspiraci a praktické příklady, které mohou aplikovat v akademické i profesní praxi.
  • Především státní/veřejný sektor.

4. Flexibilní formát

Workshop může být snadno přizpůsoben různým potřebám:

  • Kombinace různé online účasti umožňuje účastníkům volit formát, který nejlépe vyhovuje jejich časovým možnostem.
  • Krátké intenzivní bloky respektují pracovní vytížení účastníků.
  • Praktická cvičení a případové studie nabízejí okamžitou hodnotu bez zbytečné teorie.
  • Atd.

5. Podpora dlouhodobého učení

Workshop slouží jako výchozí bod pro dlouhodobé vzdělávání díky:

  • Poskytnutí přístupu k následným materiálům a online zdrojům (např. prostřednictvím Moodle).
  • Možnosti konzultací s odborníky i po skončení workshopu.
  • Nástrojům pro měření pokroku a reflexi, například podle Kirkpatrickova modelu hodnocení.
  • Atd.

Zvolený formát workshopu umožňuje propojit teoretické znalosti s praktickými dovednostmi v prostředí, které podporuje interakci a adaptaci na potřeby účastníků. Právě tato kombinace činí workshop optimálním nástrojem pro vzdělávání v oblasti bezpečného vývoje softwaru, kde je klíčová schopnost reagovat na reálné výzvy a implementovat řešení do praxe.

Základní konstrukce workshopu

Workshop bude rozdělen do pěti modulů, odpovídajících klíčovým doménám OWASP SAMM (Governance, Design, Implementation, Verification, Operations). Každý modul bude zahrnovat:

  • Průvodní texty: Jasné a strukturované materiály vysvětlující hlavní koncepty a cíle modulu. Tyto texty budou doplněny grafy, schématy a příklady, aby byly snadno srozumitelné a relevantní.
  • Stěžejní informační zdroje: Kurátorovaný seznam odkazů na odborné články, oficiální dokumentaci (např. OWASP SAMM), videa a další studijní materiály. Důraz bude kladen na open-source a snadno přístupné zdroje.
  • Zadávání úkolů: Každý modul bude obsahovat praktické úkoly, například simulace CI/CD pipeline, modelování hrozeb, nebo návrh bezpečnostních opatření pro konkrétní scénáře. Úkoly budou navrženy tak, aby účastníci mohli ihned aplikovat naučené dovednosti.
  • Diskusní fórum: Pro každý modul bude otevřeno fórum, kde účastníci mohou klást otázky, sdílet poznatky a diskutovat nad úkoly. Fórum bude moderováno lektory, kteří zajistí odpovědi a usměrnění diskusí.

Interaktivní setkání

Každý modul bude doplněn o společné 8 hodinové setkání přes Zoom (max. 12 účastníků), které proběhne synchronně online v pevně stanovených termínech. Tato setkání budou sloužit k:

  • Diskuzi o probíraném tématu a objasnění nejasností.
  • Odpovědím na otázky účastníků, včetně otázek nad zadanými úkoly.
  • Demonstraci konkrétních příkladů a nástrojů prostřednictvím živé ukázky nebo sdílení obrazovky.
  • Networking a sdílení zkušeností mezi účastníky.

Setkání budou nahrávána a zpřístupněna pro účastníky, kteří se nebudou moci připojit živě.

Obsah bude rozdělen do pěti modulů odpovídajících klíčovým doménám OWASP SAMM. Každý modul bude kombinovat teoretickou část, praktická cvičení a reflexi:

1. Modul – Governance

  • Obsah se zaměří na oblasti jako Strategy & Metrics, Policy & Compliance a Education & Guidance. Zvláštní důraz bude kladen na související legislativu a propojení s jinými frameworky.
  • Použité nástroje budou vybrány z dostupných open-source řešení, pravděpodobně přímo z nástrojů doporučených v rámci OWASP SAMM.

2. Modul – Design

  • Tento modul pokryje Threat Assessment, Secure Deployment a Defect Management. Bude také zahrnovat lidskou a etickou stránku bezpečnostních opatření.
  • Praktická část bude využívat konkrétní open-source nástroje zaměřené na modelování hrozeb a bezpečné nasazení.

3. Modul – Implementation

  • Oblasti Secure Build, Secure Deployment a Defect Management budou doplněny o ukázky reálných scénářů.
  • Praktická cvičení se zaměří na využití konkrétních open-source nástrojů v reálných podmínkách.

4. Modul – Verification

  • Modul pokryje Architecture Assessment, Requirements-driven testing a Security Testing. Součástí bude také diskuze o legislativě a etických aspektech.
  • Praktická část se zaměří na použití nástrojů pro testování bezpečnosti a hodnocení architektury softwaru.

5. Modul – Operations

Bude obsahovat ukázky nástrojů pro správu incidentů a provozní řízení, přičemž opět budou preferovány dostupné open-source nástroje.

Tento modul zahrne Incident Management, Environment Management a Operational Management, doplněný o příklady z praxe a doporučení.

Propojení se vzdělávacími cíli

Každý modul bude navržen tak, aby explicitně podporoval stanovené vzdělávací cíle. Modul Governance pomůže účastníkům pochopit strategické řízení a legislativní aspekty, modul Design se zaměří na etické otázky a lidské faktory, zatímco Implementation a Verification poskytnou konkrétní dovednosti v zabezpečení softwarového vývoje. Modul Operations naváže praktickou aplikací získaných dovedností na dlouhodobé řízení bezpečnosti. Reflexe a diskuze na konci každého modulu umožní propojit naučené dovednosti s reálnými pracovními procesy a podpořit komunikaci se stakeholdery. Follow-up podpora, jako jsou konzultace, online materiály a komunitní aktivity, zajistí dlouhodobé využití získaných znalostí.

Aktuální příprava workshopu – tvorba obsahu a zajištění techniky

V současné fázi přípravy workshopu „Workshop o bezpečném vývoji softwaru“ se soustředím na několik klíčových činností, které zajistí technické zázemí, obsahovou kvalitu a metodologické hodnocení vzdělávacího procesu. Tyto aktivity jsou zásadní pro vytvoření efektivního vzdělávacího prostředí, které bude plně odpovídat potřebám cílových skupin.

Zajištění vhodné licence pro Zoom

Abych zajistil možnost interaktivní online výuky, pracuji na získání licence pro Zoom, která umožní realizovat synchronní online setkání v rámci jednotlivých modulů. Zoom nabízí širokou škálu nástrojů pro interakci, jako jsou sdílení obrazovky, breakout rooms a ankety, které budou klíčové pro hands-on cvičení a diskuse. Alokace času: 1 hodina.

Lokální zprovoznění a nastavení Moodle

Dalším krokem je instalace a nastavení platformy Moodle, která bude sloužit jako hlavní nástroj pro asynchronní výuku a správu vzdělávacích materiálů. Po základní instalaci se zaměřím na přizpůsobení Moodle tak, aby odpovídal potřebám kurzu. Mezi klíčové činnosti patří:

  • Nastavení struktury kurzů – Vytvoření modulárního rozdělení obsahu dle klíčových oblastí OWASP SAMM (Governance, Design, Implementation, Verification, Operations).
  • Nastavení uživatelských rolí – Konfigurace přístupových práv pro účastníky, lektory a administrátory.
  • Integrace interaktivních prvků – Aktivace funkcí, jako jsou kvízy, diskusní fóra, a nástroje pro hodnocení úkolů.
  • Design a přehlednost prostředí – Přizpůsobení uživatelského rozhraní tak, aby bylo intuitivní a podporovalo efektivní navigaci mezi materiály.
  • Technická podpora – Testování funkcionalit a zajištění, že všechny nástroje fungují správně pro synchronní i asynchronní učení.

Tato nastavení zajistí, že Moodle bude plně funkční platformou, která umožní účastníkům snadný přístup k materiálům a aktivitám.

Alokace času: 20 hodin.

Překlady materiálů OWASP SAMM

Jednou z klíčových aktivit je překlad veškerých materiálů z OWASP SAMM, které tvoří hlavní obsahovou osu workshopu. Jsem v aktivním kontaktu s autory OWASP SAMM a koordinuji překladové práce tak, aby byly všechny materiály připraveny k použití v lednu 2025. Tyto překlady zahrnují nejen teoretické části rámce, ale také praktické návody a příklady implementace. Alokace času: řádově desítky hodin.

Návrh Kirkpatrickova modelu hodnocení

Pro hodnocení efektivity workshopu navrhuji využití Kirkpatrickova modelu, který zahrnuje čtyři úrovně evaluace:

  1. Reakce účastníků – Zjištění, jak účastníci hodnotí obsah, formu a užitečnost workshopu.
  2. Naučení – Vyhodnocení, jaké znalosti a dovednosti účastníci skutečně získali.
  3. Chování – Analýza, zda a jak účastníci aplikují získané poznatky v praxi.
  4. Dopad – Měření dlouhodobého vlivu workshopu na organizace nebo pracovní procesy účastníků.

Tento model umožní systematicky měřit úspěšnost workshopu a poskytne cennou zpětnou vazbu pro jeho další zlepšování.

Alokace času: 5 hodin.

Příprava dalších podkladů pro Moodle

Po dokončení výše uvedených činností se budu soustředit na tvorbu vzdělávacích textů a interaktivních aktivit pro jednotlivé moduly. Tyto podklady budou zahrnovat:

  • Přehledové texty vysvětlující klíčové koncepty a nástroje.
  • Praktická cvičení a úkoly, které účastníci mohou řešit samostatně nebo v týmech.
  • Interaktivní prvky, jako jsou kvízy a diskusní fóra, které podporují aktivní učení.

Tyto kroky jsou zásadní pro vytvoření uceleného a efektivního vzdělávacího obsahu, který propojí teorii s praxí a zajistí maximální přínos pro všechny účastníky workshopu.

Alokace času: 20 hodin.

Zdroje

[1] Úvodní obrázek byl generován pomocí AI Chat GPT DALL-E dne 29. 12. 2024.
[2] Projekt je realizován jako součást předmětu Learning Design (M. Černý, S. Kramosilová) v rámci oboru Design informačních služeb na Filozofické fakultě Masarykovy univerzity, 2024.
[3] OWASP SAMM: https://owaspsamm.org/
[4] OWASP SAMM – projektová stránka: https://owasp.org/www-project-samm/
[5] Výběr frameworku pro bezpečný vývoj SW: https://www.silenceplease.cz/vyber-frameworku-pro-bezpecny-vyvoj-sw/
[6] Design služeb a vývoj bezpečného SW s OWASP SAMM: https://www.silenceplease.cz/design-sluzeb-a-vyvoj-bezpecneho-sw_s_owasp_samm/
[6] Proč by nás měl zajímat OWASP SAMM?: https://www.silenceplease.cz/proc-by-nas-mel-zajimat-owasp-samm/
[8] Hodnotící rozhovor OWASP SAMM česky: https://www.silenceplease.cz/hodnotici-rozhovor-owasp-samm-cesky/
[9] Stručný průvodce OWASP SAMM – tentokrát česky: https://www.silenceplease.cz/strucny-pruvodce-owasp-samm-tentokrat-cesky/

Published in Kyberbezpečnost