Hvordan oppnå helhetlig kompetanseutvikling

Publisert: 15. jun 2015, Sist endret: 30. okt 2018

Målet er å ha et helhetlig tilbud som bidrar til at ansatte får nødvendig opplæring for å kunne utføre sine daglige oppgaver. De ansatte skal gjennom ulike aktiviteter:

  • kjenne til kravene som stilles
  • få forståelse for sikkerhetskravene som gjelder i egen organisasjon
  • etterleve krav og bidra i utviklingen av organisasjonens sikkerhetskultur

Opplæringstiltak bør sees i sammenheng og være igangsatt på bakgrunn av behov. Opplæringen bør jevnlig vurderes og revideres etter behov.

Det er viktig å ha forankret opplæring- og kompetanseutviklingsaktiviteter i ledelsen. Før du går i gang med planleggingen av ulike aktiviteter bør du derfor ha:

  • forankret arbeidet på riktig nivå i organisasjonen
  • kartlagt hvem i organisasjonen du bør involvere i arbeidet. Dette kan være HR-avdeling, kommunikasjonsavdeling, driftsavdeling etc.

Noen virksomheter setter i gang en tidsbegrenset opplæringskampanje som har som mål å øke kompetansen og sikre bevisstgjøring av de ansatte innenfor visse temaer. Dette er et godt tiltak, men bør sees i en større kontekst blant annet for å sikre at nødvendig opplæring gis der det er behov over tid. Under følger anbefalinger til hvordan man kan jobbe med opplæring innen informasjonssikkerhet, i følgende steg:

Tips:

Husk:

  • Ledelsens ansvar og ledelsesforankring er viktig. Uten ledelsens støtte er det vanskelig å få gjennomført nødvendige opplæringstiltak blant annet fordi det blir vanskelig å få prioritert nødvendig tid og ressurser til å utføre aktiviteten, og vanskelig å kreve obligatorisk deltagelse i opplæringsarenaer.
  • Det kan være krevende å holde på med opplæring. Ikke mist motet, og hør på deltagernes tilbakemeldinger.

3.1 Kartlegge behov – sette i gang tiltak på relevante områder

Det er viktig at virksomhetene har vurdert behovet for opplæring før det igangsettes opplæringstiltak. På den måten vet man at man bruker ressursene sine riktig. Det første man må gjøre er derfor å velge ut hvilke områder og hvilke temaer det skal gis opplæring i basert på et konkret behov. Opplæringstiltak kan være nødvendige blant annet fordi:

  1. Risikovurderinger tilsier at opplæring er nødvendig på et område.
    Et eksempel på dette kan være at virksomheten innfører et nytt it-system, og dermed må ha opplæring for de ansatte for å sikre at informasjon blir håndtert riktig.
  2. Virksomheten har forpliktelser i henhold til lov eller avtale (se kapittel 2.3.)
    Et eksempel på dette kan være at en virksomhet har avtalt utveksling av opplysninger, og har forpliktet seg til å ha særskilt opplæring i behandlingen av disse.
  3. Revisjoner, evalueringer eller undersøkelser har vist at sikkerhetskulturen bør forbedres
    Et eksempel kan være at undersøkelser har vist at ansatte benytter skytjenester i strid med interne rutiner.

3.2 Velge målgruppe og tilpasse tiltak

Det er ikke nødvendig å sette i gang opplæringstiltak for ansatte som ikke har behov for det. Når det er konkludert med at det er behov for opplæring, er det derfor viktig å se på målgruppen for opplæringen. Spørsmål man kan stille seg, er for eksempel: Trenger alle ansatte opplæring, eller er det kun visse grupper? Er det kun relevant for nyansatte, eller er det aktuelt å inkludere øvrige ansatte? Hvilke målgrupper som finnes vil variere mellom virksomhetene. Eksempler på målgrupper er:

  • Nyansatte
  • Ledere
  • Systemutviklere
  • IT-driftspersonell/brukerstøtte
  • Saksbehandlere
  • Kundesenter
  • Innleid personell

Tips:

  • Vurder nøye hvilke målgrupper du har i din virksomhet og hvilke virkemidler som vil passe for å motivere målgruppene. Samme tilnærming passer ikke for alle.
  • Ved bygging av sikkerhetskultur må hele organisasjonen involveres.
  • Pass på å ha tydelige og klare budskap.
  • Hvis du inviterer til åpne arrangementer, er det viktig å kommunisere på forhånd hvilken målgruppe du ønsker skal delta. Hvis deltagerne føler budskapet ikke treffer dem, kan de i verste fall miste interessen for å lære mer om informasjonssikkerhet. Dette kan føre til at de ikke deltar på fremtidige arrangementer som faktisk er rettet mot dem.
  • Ved å trekke inn kommunikasjonsenheten/de som jobber med kommunikasjon tidlig i prosessen, kan du få gode tips og råd til hvordan du kan nå frem til din målgruppe.
  • Involver de minst endringsvillige tidlig i prosessen med utvikling av opplæringstiltak. Du kan da få kritikerne til å bli dine beste ambassadører.

3.3 Ta i bruk passende virkemiddel

Det er mange ulike virkemidler som kan benyttes når man skal foreta opplæring. Det er viktig å velge virkemiddel som er egnet for å nå målgruppen, og som er mulig å gjennomføre utfra tilgjengelige ressurser og hjelpemidler. Vurder nøye kapasitet til å planlegge, gjennomføre og evaluere aktiviteten opp mot økonomiske ressurser tilgjengelig.

Det er også lurt å variere bruken av virkemidler. For å nå frem til enkelte målgrupper kan det være aktuelt å bruke flere virkemidler. Samtidig kan et virkemiddel som har fungert godt miste noe av effekten over tid. Det kan derfor være hensiktsmessig å vente en periode før opplæringstiltaket tas i bruk igjen.

Det er viktig å ha et bevisst forhold til om opplæringen skal gi konkret kunnskap, bevisstgjøre ansatte, trene ferdigheter, eller bidra til utviklingen av organisasjonens kultur. Samme virkemiddel er ikke nødvendigvis egnet for å nå alle målsetningene. For eksempel vil dilemmatrening være et bra virkemiddel for å bevisstgjøre ansatte og utvikle organisasjonens kultur, men mindre egnet dersom man skal trene på en bestemt ferdighet.

Eksempler på virkemidler er:

  • Aksjon/stunt (f.eks. utdeling av sjokolade til de som har låst pc.)
  • Ambassadører (ansatte som får en særskilt rolle i informasjonssikkerhetsarbeidet i en enkelt enhet.)
  • Deltagelse i forum eller møter for å utveksle informasjon og skape dialog
  • Dilemmatrening (Diskusjoner og/eller refleksjonsøvelser f.eks. gjennom bruk av spill, gruppediskusjoner og rollespill.)
  • Egenerklæring
  • E-læringskurs
  • En-til-en samtaler
  • Filmer
  • Informasjon på skjermer, plakater, intranett, oppslagstavler o.l.
  • Informasjonsskriv, løpesedler ol.
  • Klasseromsundervisning/foredrag
  • Kurs
  • Nanokurs (dvs. kortere e-læringskurs)
  • Samtaler i uformelle møteplasser (f.eks. under fredagskaffe og lunsj)
  • Øvelser

Tips:

  • Ikke gap over for mye i starten. Det kan være lettere å starte i det små med et lite tiltak, som etter hvert kan skaleres opp.
  • Ved bruk av tekniske hjelpemidler, f.eks. e-læringskurs, er det viktig å sjekke at de tekniske forutsetningene for opplæringstiltaket er til stede samt teste løsningen godt før utrulling.
  • Når du skal rulle ut et opplæringstiltak, kan det være lurt å skaffe noen ambassadører. Dette er personer i organisasjonen som vil kunne spre budskapet og få andre til å delta, reflektere over, og komme med tilbakemeldinger på opplæringen.
  • Varier virkemiddelbruken.
  • Humor er viktig. Dette kan være et godt virkemiddel for å få til at informasjon­ssikkerhet blir et tema i kantina. Samtidig må humoren være tilpasset de ansatte. Se an organisasjonen, og ikke overdriv.
  • Historier fungerer ofte bedre enn statistikk. Ved å gjøre budskapet personlig og relevant vil flere huske budskapet i ettertid.
  • En god måte å bevisstgjøre ansatte på, er å få dem til å forstå hvorfor informasjonssikkerhet er viktig og relevant for den enkelte. Dette kan f.eks. gjøres ved å få de ansatte til å reflektere over spørsmålet «hvorfor er informasjonssikkerhet viktig for meg i min jobb»?
  • Egenerklæringer kan være egnet for å få bekreftet gjennomført opplæring og kunne fremlegge dokumentasjon ved en eventuell revisjon. Husk at erklæringene ikke gir informasjon om faktisk forståelse for, og etterlevelse av, krav.

3.4 Tenke helhetlig - se tiltak i sammenheng

3.4.1 Sammenheng mellom opplæringstiltak innen ulike fagområder

Det er vanligvis et behov for å ha opplæring på mange ulike områder, inkludert informasjonssikkerhet. Det kan derfor være lurt å se på all opplæring i virksomheten i sammenheng, slik at man sparer tid og ressurser, får opplæring tematisk i en god rekkefølge, og at ansatte ser sammenhengen mellom de ulike områdene det drives opplæring innen. I tillegg vil enkeltstående tiltak innen et konkret tema kunne gi økt kunnskap blant ansatte innenfor det aktuelle området, men gi mindre bevisstgjøring fordi man ikke ser hvordan det henger sammen med virksomhetens mål og øvrige prosesser.

Ved etablering av et nytt opplæringstiltak bør man derfor undersøke om man allerede har etablert opplæringstiltak eller tatt i bruk virkemidler på andre områder som kan benyttes.

Tips:

  • God ferdighetstrening kombinerer kunnskap, bevisstgjøring og ferdigheter innen informasjonssikkerhet med ferdighetsopplæring i arbeidsprosesser og bruken av IKT-verktøy.
  • Bruk gjerne eksisterende fora/møteplasser.
  • Ikke legg opplæringsaktiviteter til de travleste periodene i virksomheten.

3.4.2 Kompetanse- og opplæringsplaner

Kompetanse- og opplæringsplaner, både for virksomheten generelt og for informasjonssikkerhet spesielt, kan bidra til at opplæringen skjer mer systematisk. Det er den enkelte virksomhet som selv må vurdere hvilket behov for planer som er nødvendig og på hvilket nivå. Planene kan være egne planer eller være en del av øvrige dokumenter. Det viktige er å ta stilling til hvilke kompetansebehov virksomheten har, og arbeide systematisk for å dekke det.

Kompetanseplaner

Med kompetanseplaner menes i denne veilederen oversikt over behov for kompetanse på ulike nivåer (virksomhetsnivå, innen informasjonssikkerhet spesielt eller på individnivå). En kompetanseplan er knyttet opp til virksomhetens strategiske prioriteringer og mål. På virksomhetsnivå kalles det ofte en kompetansestrategi, mens det på individnivå ofte kalles en utviklingsplan.

Kompetanseplaner for opplæring innen informasjonssikkerhet er et nyttig virkemiddel for å oppnå en helhetlig tilnærming til kompetanseheving. Noen virksomheter har generelle kompetanseplaner som skal dekke virksomhetens totale kompetansebehov. Det er da hensiktsmessig å utarbeide kompetanseplaner for informasjonssikkerhet som sees i sammenheng med virksomhetens generelle kompetanseplan.

Opplæringsplaner er nyttige verktøy for å sikre at kompetanseplanens målsetninger oppnås. Virksomheten kan ha felles opplæringsplaner for flere områder. Når man utformer en egen opplæringsplan for informasjonssikkerhet, bør denne sees i sammenheng med den generelle opplæringsplanen. Dermed kan man unngå overlappende aktiviteter eller at ulik opplæring for samme personer legges til samme tidspunkt.

Opplæringsplaner

Med opplæringsplaner menes i denne veilederen konkrete planer for å utføre opplæring. Hensikten med en opplæringsplan er å dekke behovene i kompetanseplanen.

I hvilken grad kompetanse- og opplæringsplaner blir individuelt tilpasset er et spørsmål om kost/nytte. Individuelt tilpassede planer vil normalt kreve en kartlegging av stillinger og funksjoners behov, og individuelle og gruppers kompetansestatus og behov. Dette kan være et krevende arbeid, men kan også bidra til at opplæringstiltak rettes mot riktige målgrupper og individer.

Kompetanse- og opplæringsplaner innen informasjonssikkerhet bør være en del av virksomhetens internkontrollarbeid. Slik sikrer man at kompetansebehov vurderes samlet, og at opplæringsaktiviteter sees i sammenheng med øvrige aktiviteter. For mer informasjon om internkontroll, se Difis veiledningsmateriale Internkontroll i praksis - informasjonssikkerhet».

Figuren viser hvordan virksomheten kan ha kompetanse- og opplæringsplaner på ulike nivåer som må sees i sammenheng, og som henger sammen med virksomhetens internkontroll.
 

Figuren viser hvordan virksomheten kan ha kompetanse- og opplæringsplaner på ulike nivåer som må sees i sammenheng, og som henger sammen med virksomhetens internkontroll.

Tips:

3.5 Måle effekt

Når man setter i gang opplæringstiltak, er det viktig å kunne se om opplæringen har hatt ønsket effekt. Opplæringstiltakene som settes i verk bør derfor ha målbare kriterier som kan gi nok informasjon til å vurdere om opplæringen er nyttig og bør videreføres i fremtiden. Ved oppstart av opplæringsarbeid eller i planleggingen av et nytt opplæringstiltak må man derfor se på formålet med opplæringen, og velge måleparametere som gir svar på om målet er oppnådd.

Det er lettere å måle konkrete hendelser, f.eks. deltagelse i opplæringstiltak, fremfor holdninger og adferd. Samtidig er det viktig å se på faktiske holdninger og etterlevelse – den enkeltes adferd – for å sikre at tiltaket har hatt ønsket effekt. Det ideelle er å måle resultater fremfor gjennomførte aktiviteter. Det er viktig å vurdere både kvantitative og kvalitative målinger, da disse kan gi ulik informasjon. Måling kan gjøres på flere måter, for eksempel

  • spørreundersøkelse blant ansatte
  • en-til-en samtaler
  • antall rapporterte sikkerhetshendelser
  • statistiske opplysninger fra bruk av IT-systemer
  • fysiske undersøkelser, f.eks. av adgangskontroll og låsing av pc

Ved valg av måleparametere er det lurt å se på hva som finnes fra før, siden det er ressursbesparende å benytte seg av eksisterende data. Ofte eksisterer det allerede tall som kan benyttes, for eksempel antall uønskede hendelser eller antall passordbytter i løpet av et år.

Det anbefales å måle tilstanden før og etter at man setter i gang tiltak. En måling som gjøres før opplæring gjennomføres kalles gjerne en nullpunktsmåling, eller baseline på engelsk. Kun ved å måle både før og etter ser man om opplæringstiltaket har hatt effekt.

Ved måling av effekt over tid, er det sentralt å gjennomføre målingen på tilnærmet samme måte slik at grunnlaget blir sammenliknbart. Dette betyr for eksempel at spørsmål som stilles i et spørreskjema ikke kan endres hvis svarene skal sammenlignes over tid.

Hva man velger å måle vil være avhengig av hva man ønsker å oppnå med opplæringen. Dersom man ønsker å få ned antall hendelser innen et gitt område, kan for eksempel statistikk over antall hendelser være nok. Dersom man ønsker å forbedre sikkerhetskulturen, for eksempel gjennom holdningsendring, kan det være mer hensiktsmessig å gjennomføre anonyme spørreundersøkelser eller en-til-en samtaler.

Hvis du skal samle inn personopplysninger i forbindelse med måling, er det viktig å ta stilling til hva opplysningene skal brukes til før man begynner å måle. En konkret plan bidrar til at man kun samler inn relevant informasjon og får en mer effektiv kontroll med oppfølgningen.

Måling er en viktig brikke i virksomhetens internkontroll. For mer informasjon, se omtalen av måling i Difis veileder «Internkontroll i praksis - informasjonssikkerhet»

Tips:

  • Et godt avvikshåndteringssystem kan gi verdifulle opplysninger om antall avvik, hvilke områder man bør se nærmere på etc. Men husk at antall innmeldte avvik ikke i seg selv nødvendigvis gir god nok informasjon om opplæring har hatt ønsket effekt.
  • Hvis du måler folks adferd, er det viktig å bruke informasjonen forsiktig. Bruk helst statiske opplysninger når du kommuniserer resultatene. Og pass på at ingen føler seg hengt ut.  
  • Vær oppmerksom på hvordan du utformer spørsmål. Vi har en tendens til å svare det vi tror er forventet eller ønsket svar.

3.6 Etablere forvaltningsregime

Det er nødvendig å ha en plan for håndtering av kompetanseplaner og opplæringstiltak i fremtiden. Et forvaltningsregime definerer hvordan de ulike kompetanseplanene og opplæringstiltakene i virksomheten forvaltes: hvordan de brukes, oppdateres og utfases.

Kompetanseplaner er et arbeidsverktøy som kontinuerlig skal være i samsvar med virksomhetenes praksis. Det er derfor viktig å ha avklart hvem som oppdaterer planene ved behov.

De konkrete opplæringstiltakene vil også kreve oppdatering og videreutvikling. Det kan være behov for oppdatering av ulike årsaker, for eksempel at det innføres nye krav, policyer og retningslinjer oppdateres, eller organisasjonen endres. I tillegg vil materiale ikke oppnå samme effekt i lengden dersom mange har sett det før, og det kan derfor være nødvendig å oppdatere materiale eller vente en stund før materialet benyttes igjen. 

Ved å ha etablert et forvaltningsregime sikrer man at tiltakene til enhver tid er oppdaterte, relevante og brukes på riktig måte.

Tips:

  • Vær tydelig på hvem som har ansvar for å forvalte et opplæringstiltak og opplæringsplan(er).

Oppsummering

Ved å ha et helhetlig opplæringsprogram for ansatte sikrer man at medarbeiderne har tilstrekkelig kompetanse for å kunne utføre sine arbeidsoppgaver på en hensiktsmessig måte. Ved å se tiltakene i sammenheng sørger man for at opplæringen kan skje mer effektivt og legger til rette for at den enkelte kan se sammenhengen mellom temaene det gis opplæring innen. Dette danner et godt grunnlag for å få medarbeidere som har nødvendig kunnskap og ferdigheter innen informasjonssikkerhet, reflekterer over sine handlinger og er med å danne en god sikkerhetskultur.

 

Hjelp oss å bli bedre

Fant du det du lette etter?

Tilbakemeldinger blir ikke besvart. Gå til siden med kontaktinformasjon hvis du trenger hjelp.

* Påkrevd

Hjelp oss å bli bedre
*