Wie können Sie die Wirksamkeit von Schulungsmaßnahmen in der Informationssicherheit prüfen?

Ihr Mitarbeiter kommt von einer Weiterbildung zurück und Sie als Geschäftsführer wollen natürlich wissen, ob diese etwas gebracht hat. Ihr Mitarbeiter bejaht schon fast aus Reflex.
Aber wie können Sie die langfristige Wirksamkeit der Schulungsmaßnahme wirklich messen?
Das Überwachen und Messen von Schulungserfolgen bei Ihren Mitarbeitern fordert nicht nur die ISO 27001 oder ISO 9001, sondern auch Ihr kaufmännisches Denken. Denn Sie investieren in die Fähigkeiten Ihrer Mitarbeiter, dass diese ihre Arbeit gut machen und dazu beitragen, die Informationssicherheit und Qualität in Ihrem Unternehmen zu gewährleisten. Sie als Führungskraft ermitteln und bewerten die Anforderungen an verschiedene Rollen und Funktionen Ihres Unternehmens, entsprechend Ihrer Ziele und Schutzbedarfe, selbst. Daraus abgeleitet ergibt sich, welche Kompetenzen Ihren Mitarbeitern zu Eigen sein müssen, sowie der Bedarf an Weiterentwicklung.

Weiterbildungen nach den Normen ISO 27001 oder ISO 9001

Die ISO 27001 definiert im Abschnitt 7.2. Kompetenzen Anforderungen in Bezug auf Fähigkeiten Ihrer Mitarbeiter für die Leistungsfähigkeit der Informationssicherheit. Aufgrund der high level structure der Normen finden Sie vergleichbare Anforderungen auch in der ISO 9001.
Wenn ein Mitarbeiter in seiner Rolle die gewünschten Kompetenzanforderungen nicht besitzt, ist eine Weiterentwicklung nötig. Hierbei wir unterschieden, welche der benötigten Kompetenzen ein Verantwortlicher selbst mitbringen muss und welche mithilfe von Wissensvermittlung und Weiterbildung erlangt wird. Sie als Unternehmer sollten sicherstellen, dass diese Fähigkeiten ausreichend vorhanden sind. Ohne die notwendigen Kompetenzen kann der erwünschte Grad an Informationssicherheit nicht erreicht werden. Es ist also ein Prozess nötig, um Kompetenzmangel zu erkennen und Kompetenzen aufzubauen.

Hilfestellung aus der ISO 27001
Hilfestellung geben Ihnen die sogenannte Controls., d.h. zu überprüfende Anforderungen aus der ISO 27001. Besonders relevant ist der Abschnitt 7.2.2. Information security awareness, education and training. Hier wird empfohlen, Mitarbeiter für die Notwendigkeit bestimmter Kompetenzen zu sensibilisieren sowie die Aufmerksamkeit bezüglich der Informationssicherheit in der eigenen Organisation zu erhöhen.
Das bedeutet, dass nicht nur Führungskräfte wissen sollten, ob Ihr Mitarbeiter über die erforderlichen Kompetenzen verfügt, sondern auch dieser selbst und sogar dessen Kollegen. Denn so können drei Parteien eventuelle Defizite feststellen und sich um Weiterbildung und Kompetenzsteigerung bemühen oder auch von den Kompetenzen ihrer Kollegen profitieren.

Wie kann man den Grad von Wissen und Erfahrungen bzw. Kompetenz ermitteln?

  • Offene Kommunikation: Ein Mitarbeiter meldet idealerweise selbst, wenn er etwas nicht kann.
  • Führungskraft beobachtet Mitarbeiter bei der Anwendung seiner Kompetenzen.
  • Kollegen beobachten Mitarbeiter bei der Arbeit und geben Tipps.
  • Interne Auditoren beobachten, wie etwas gemacht wird, und geben Tipps zur Verbesserung.

Wie aber lässt sich die Anwendung von Wissen und Erfahrungen bzw. Kompetenz messen und bewerten?

Messkriterium kann ein einfaches „ich kann es/ich kann es nicht“ sein. Auch eine Bewertung nach dem Schulnotensystem oder in Form von Prozentangaben, 30%, 60%, 90% und 120%, eignet sich. Letzteres hieße beispielsweise: 30% reichen nicht aus, 60% reichen nicht aus, ist aber durch Schulung ausbaubar, 90% wären ausreichend und 120% wären sogar mehr als erforderlich, was für ein Unternehmen durchaus von Relevanz sein kann.
In Abschnitt 9 der ISO 27001 wird die Evaluation des Ist-Stands bezüglich der Informationssicherheit beschrieben. Zur Ermittlung der vorhandenen Kompetenzen muss zuerst bestimmt werden, anhand welcher Kriterien jene beurteilt werden sollen.
Regelmäßiges Messen von Kompetenzen ermöglicht einen Soll-Ist-Abgleich zwischen der vorhandenen und erforderlichen Ausprägung der Kompetenzen. So sollte beispielsweise mindesten einmal pro Quartal wie oben beschrieben oder vergleichbar gemessen werden. Die Kombination aus verschiedenen Messungen wie Mitarbeitergespräch, Beobachtung durch Kollegen, interne Audits und Rückmeldung des Mitarbeiters ergeben über das Jahr hinweg eine gute Basis für die Planung von Maßnahmen für die Kompetenzentwicklung.
Falls festgestellt wird, dass ein Wert bzw. eine Kennzahl (KPI) unter dem Soll-Niveau liegt, gilt es für Sie, zu handeln. Sie können so unzureichende Kompetenzen frühzeitig erkennen und entsprechende Qualifizierungs- oder Weiterentwicklungsmaßnahmen einleiten.

Schulungs- oder Entwicklungsmaßnahmen

Geeignete Maßnahmen können sein:

  • interne Schulung durch externe Trainer
  • Mentoring durch Fachkollegen aus dem eigenen Team
  • interner Gruppen-Workshop zur Erarbeitung eines Lösungsansatzes im Team
  • interne Schulung durch Führungskraft
  • externe Weiterbildung, Webinar, Selbststudium, Online-Training, Fernstudium, etc.
  • Erfahrung aus firmeneigenen Projekten
  • Workshops mit einer Nachbarabteilung, die ein anderes Produkt verantwortet

Die Wirksamkeit der so erlangten Kompetenzen sollte im Unternehmen überprüft werden wie z.B. durch Abfragen von Wissen mittels Checkliste oder Fragenkatalog. Das geht auch mehrere Monate nach einer Teilnahme an einem der oben genannten Events. Über e-learning-Plattformen oder Intranet-Abfrageformulare können Sie dies recht einfach realisieren.
Der Ist-Zustand der vorhandenen Kompetenzen sowie deren Soll-Zustand und die Maßnahmen zur Kompetenzverbesserung sollten bei jedem Schritt dokumentiert werden, um die Fortschritte zu überwachen. Zu jedem Eintrag gehört natürlich ein Zeitstempel, um die chronologische Entwicklung der Kompetenzen nachzuvollziehen. Somit sind Daten vorhanden, um die Wirksamkeit bestimmter Maßnahmen analysieren zu können.
Hier ist zu beachten, dass eine Änderung der Kennzahlen (KPIs) nach Einführung einer Maßnahme nicht immer zwingend auf diese zurückzuführen ist. Die Korrelation der Veränderung eines Kompetenz-spezifischen KPIs mit der Einführung einer Maßnahme muss ebenso getestet werden wie die Notwendigkeit und Wirksamkeit einer Weiterbildungsmaßnahme.

Fazit

Wichtig ist für Sie, eine Systematik zu etablieren, mit der Sie ermitteln können, wer welche Kompetenzen hat, wie Kompetenzmangel ausgeglichen werden kann und wie Sie regelmäßig die Wirksamkeit von Maßnahmen zur Kompetenzentwicklung überprüfen bzw. messen.

Bildnachweis: (C) StockSnap, CC0 v1.0, Pixabay