Hvordan bygge opp et helhetlig opplæringsprogram

Målet er å ha et helhetlig opplæringstilbud som bidrar til at ansatte får nødvendig opplæring for å kunne utføre sine daglige oppgaver. Opplæringstiltak bør sees i sammenheng og være igangsatt på bakgrunn av behov. Opplæringen bør jevnlig vurderes og revideres etter behov.

Noen virksomheter setter i gang en tidsbegrenset opplæringskampanje som har som mål å øke kompetansen og sikre bevisstgjøring av de ansatte innenfor visse temaer. Dette er et godt tiltak, men bør sees i en større kontekst bl.a. for å sikre at nødvendig opplæring gis der det er behov over tid. Under følger anbefalinger til hvordan man kan jobbe med opplæring innen informasjonssikkerhet.

Husk:

  • Ledelsens ansvar og ledelsesforankring er viktig. Uten ledelsens støtte er det vanskelig å få gjennomført nødvendige opplæringstiltak bl.a. fordi det blir vanskelig å få prioritert nødvendig tid og ressurser til å utføre aktiviteten, og vanskelig å kreve obligatorisk deltagelse i opplæringsarenaer.
  • Det kan være krevende å holde på med opplæring. Ikke mist motet, og hør på deltagernes tilbakemeldinger.

3.1 Sette i gang tiltak på relevante områder

Det er viktig at virksomhetene har vurdert behovet for opplæring før det igangsettes opplæringstiltak. På den måten vet man at man bruker ressursene sine riktig. Opplæringstiltak kan være nødvendige bl.a. fordi:

  1. Risikovurderinger tilsier at opplæring er nødvendig på et område.
    Et eksempel på dette kan være at virksomheten innfører et nytt it-system, og dermed må ha opplæring for de ansatte for å sikre at informasjon blir håndtert riktig.
  2. Virksomheten har forpliktelser i henhold til lov eller avtale (se kapittel 2.3.)
    Et eksempel på dette kan være at en virksomheten har avtalt utveksling av opplysninger, og har forpliktet seg til å ha særskilt opplæring i behandlingen av disse.
  3. Undersøkelser/vurderinger har vist at sikkerhetskulturen bør forbedres. Et eksempel kan være at undersøkelser har vist at ansatte benytter skytjenester i strid med interne rutiner.

3.2 Tilpasse tiltak til riktig målgruppe

Det er ikke nødvendig å sette i gang opplæringstiltak for ansatte som ikke har behov for det. Når det er konkludert med at det er behov for opplæring, er det derfor viktig å se på målgruppen for opplæringen. Spørsmål man kan stille seg, er f.eks.: Trenger alle ansatte opplæring, eller er det kun visse grupper? Er det kun relevant for nyansatte, eller er det aktuelt å inkludere øvrige ansatte? Hvilke målgrupper som finnes vil variere mellom virksomhetene. Eksempler på målgrupper er:

  • Nyansatte
  • Ledere
  • Systemutviklere
  • IT-driftspersonell /brukerstøtte
  • Saksbehandlere
  • Kundesenter
  • Innleid personell

Tips:

  • Vurder nøye hvilke målgrupper du har i din virksomhet og hvilke virkemidler som vil passe for å motivere målgruppene. Samme tilnærming passer ikke for alle.
  • Ved bygging av sikkerhetskultur må hele organisasjonen involveres.
  • Pass på å ha tydelige og klare budskap.
  • Hvis du inviterer til åpne arrangementer, er det viktig å kommunisere på forhånd hvilken målgruppe du ønsker skal delta. Hvis deltagerne føler budskapet ikke treffer dem, kan de i verste fall miste interessen for å lære mer om informasjonssikkerhet. Dette kan føre til at de ikke deltar på fremtidige arrangementer som faktisk er rettet mot dem.
  • Ved å trekke inn kommunikasjonsenheten/ de som jobber med kommunikasjon tidlig i prosessen, kan du få gode tips og råd til hvordan du kan nå frem til din målgruppe.
  • Involver de minst endringsvillige tidlig i prosessen med utvikling av opplæringstiltak. Du kan da få kritikerne til å bli dine beste ambassadører.

3.3. Ta i bruk hensiktsmessig virkemiddel

Det er mange ulike virkemidler som kan benyttes når man skal foreta opplæring. Det er viktig å velge virkemiddel som er egnet for å nå målgruppen, og som er mulig å gjennomføre utfra tilgjengelige ressurser og hjelpemidler. Vurder nøye kapasitet til å planlegge, gjennomføre og evaluere aktiviteten opp mot økonomiske ressurser tilgjengelig.

Det er også lurt å variere bruken av virkemidler. For å nå frem til enkelte målgrupper kan det være aktuelt å bruke flere virkemidler. Samtidig kan et virkemiddel som har fungert godt miste noe av effekten over tid. Det kan derfor være hensiktsmessig å vente en periode før opplæringstiltaket tas i bruk igjen.

Eksempler på virkemidler er:

  • Aksjon/stunt (f.eks. utdeling av sjokolade til de som har låst pc.)
  • Ambassadører
  • Deltagelse i forum eller møter for å utveksle informasjon og skape dialog
  • Dilemmatrening. (Diskusjoner og/eller refleksjonsøvelser f.eks. gjennom bruk av spill, gruppediskusjoner og rollespill.)
  • E-læringskurs
  • En-til-en samtaler
  • Filmer
  • Foredrag
  • Gruppediskusjoner
  • Informasjon på skjermer, plakater o.l.
  • Informasjonsskriv
  • Klasseromsundervisning
  • Kurs
  • Nanokurs (dvs. kortere e-læringskurs)
  • Samtaler i uformelle møteplasser (f.eks. under fredagskaffe og lunsj)
  • Quiz
  • Øvelser

Tips:

  • Ikke gap over for mye i starten. Det kan være lettere å starte i det små med et lite tiltak, som etter hvert kan skaleres opp.
  • Ved bruk av tekniske hjelpemidler, f.eks. e-læringskurs, er det viktig å sjekke at de tekniske forutsetningene for opplæringstiltaket er til stede samt teste løsningen godt før utrulling.
  • Når du skal rulle ut et opplæringstiltak, kan det være lurt å skaffe noen ambassadører. Dette er personer i organisasjonen som vil kunne spre budskapet og få andre til å delta, reflektere over, og komme med tilbakemeldinger på opplæringen.
  • Varier virkemiddelbruken.
  • Humor er viktig. Dette kan være et godt virkemiddel for å få til at informasjon­ssikkerhet blir et tema i kantina. Samtidig må humoren være tilpasset de ansatte. Se an organisasjonen, og ikke overdriv.
  • Historier fungerer ofte bedre enn statistikk. Ved å gjøre budskapet personlig og relevant vil flere huske budskapet i ettertid.
  • En god måte å bevisstgjøre ansatte på, er å få dem til å forstå hvorfor informasjonssikkerhet er viktig og relevant for den enkelte. Dette kan f.eks. gjøres ved å få de ansatte til å reflektere over spørsmålet «hvorfor er informasjonssikkerhet viktig for meg i min jobb»?

3.4. Se tiltak i sammenheng

3.4.1. Sammenheng mellom opplæringstiltak innen ulike fagområder

Det er vanligvis et behov for å ha opplæring på mange ulike områder, inkludert informasjonssikkerhet. Det kan derfor være lurt å se på all opplæring i virksomheten i sammenheng, slik at man sparer tid og ressurser, får opplæring tematisk i en god rekkefølge, og at ansatte ser sammenhengen mellom de ulike områdene det drives opplæring innen. I tillegg vil enkeltstående tiltak innen et konkret tema kunne gi økt kunnskap blant ansatte innenfor det aktuelle området, men gi mindre bevisstgjøring fordi man ikke ser hvordan det henger sammen med virksomhetens mål og øvrige prosesser.

Ved etablering av et nytt opplæringstiltak bør man derfor undersøke om man allerede har etablert opplæringstiltak eller tatt i bruk virkemidler på andre områder som kan benyttes.

Tips:

  • God ferdighetstrening kombinerer kunnskap, bevisstgjøring og ferdigheter innen informasjonssikkerhet med ferdighetsopplæring i arbeidsprosesser og bruken av IKT-verktøy.
  • Bruk gjerne eksisterende fora/møteplasser.
  • Ikke legg opplæringaktiviteter til de travleste periodene i virksomheten.

3.4.2. Kompetanse- og opplæringsplaner

Kompetanse- og opplæringsplaner, både for virksomheten generelt og for informasjonssikkerhet spesielt, kan bidra til at opplæringen skjer mer systematisk. Det er den enkelte virksomhet som selv må vurdere hvilket behov for planer som er nødvendig og på hvilket nivå. Planene kan være egne planer eller være en del av øvrige dokumenter. Det viktige er å ta stilling til hvilke kompetansebehov virksomheten har, og arbeide systematisk for å dekke det.

Kompetanseplaner

Med kompetanseplaner menes i denne veilederen oversikt over behov for kompetanse på ulike nivåer (virksomhetsnivå, innen informasjonssikkerhet spesielt eller på individnivå). En kompetanseplan er knyttet opp til virksomhetens strategiske prioriteringer og mål.

Kompetanseplaner for opplæring innen informasjonssikkerhet er et nyttig virkemiddel for å oppnå en helhetlig tilnærming til kompetanseheving. Noen virksomheter har generelle kompetanseplaner som skal dekke virksomhetens totale kompetansebehov. Det er da hensiktsmessig å utarbeide kompetanseplaner for informasjonssikkerhet som sees i sammenheng med virksomhetens generelle kompetanseplan.

Opplæringsplaner er nyttige verktøy for å sikre at kompetanseplanens målsetninger oppnås. Virksomheten kan ha felles opplæringsplaner for flere områder. Når man utformer en egen opplæringsplan for informasjonssikkerhet bør denne sees i sammenheng med den generelle opplæringsplanen. Dermed kan man unngå overlappende aktiviteter eller at ulik opplæring for samme personer legges til samme tidspunkt.

Opplæringsplaner

Med opplæringsplaner menes i denne veilederen konkrete planer for å utføre opplæring. Hensikten med en opplæringsplan er å dekke behovene i kompetanseplanen. 

I hvilken grad kompetanse- og opplæringsplaner blir individuelt tilpasset er et spørsmål om kost/nytte. Individuelt tilpassede planer vil normalt kreve en kartlegging av stillinger og funksjoners behov, og individuelle og gruppers kompetansestatus og behov. Dette kan være et krevende arbeid, men kan også bidra til at opplæringstiltak rettes mot riktige målgrupper og individer.

Kompetanse- og opplæringsplaner innen informasjonssikkerhet bør være en del av virksomhetens internkontrollarbeid. Slik sikrer man at kompetansebehov vurderes samlet, og at opplæringsaktiviteter sees i sammenheng med øvrige aktiviteter. For mer informasjon om internkontroll, se Difis veileder i internkontroll.

Figuren viser hvordan virksomheten kan ha kompetanse- og opplæringsplaner på ulike nivåer som må sees i sammenheng, og som henger sammen med virksomhetens internkontroll.
 

Figuren viser hvordan virksomheten kan ha kompetanse- og opplæringsplaner på ulike nivåer som må sees i sammenheng, og som henger sammen med virksomhetens internkontroll.

Tips:

 3.5. Måle effekten av tiltak

Når man setter i gang opplæringstiltak, er det viktig å kunne se om opplæringen har hatt ønsket effekt. Opplæringstiltakene som settes i verk bør derfor ha målbare kriterier som kan gi nok informasjon til å vurdere om opplæringen er nyttig og bør videreføres i fremtiden.

Det er lettere å måle konkrete hendelser, f.eks. deltagelse i opplæringstiltak, fremfor holdninger og adferd. Samtidig er det viktig å se på faktiske holdninger og etterlevelse – den enkeltes adferd – for å sikre at tiltaket har hatt ønsket effekt. Det er viktig å vurdere både kvantitative og kvalitative målinger, da disse kan gi ulik informasjon.

Måling kan gjøres på flere måter. Mulige måter å måle på, er f.eks.:

  • Spørreundersøkelse blant ansatte
  • En-til-en samtaler
  • Antall rapporterte sikkerhetshendelser
  • Statistiske opplysninger fra bruk av IT-systemer
  • Fysiske undersøkelser, f.eks. av adgangskontroll og låsing av pc

Ved valg av måleparametere er det lurt å se på hva som finnes fra før, siden det er ressursbesparende å benytte seg av eksisterende data. Ofte eksisterer det allerede tall som kan benyttes, f.eks. antall uønskede hendelser eller antall passordbytter i løpet av et år.

Det anbefales å måle tilstanden før og etter at man setter i gang tiltak. En måling som gjøres før opplæring gjennomføres kalles gjerne en nullpunktsmåling, eller baseline på engelsk. Kun ved å måle både før og etter ser man om opplæringstiltaket har hatt effekt.

Ved måling av effekt over tid, er det sentralt å gjennomføre målingen på tilnærmet samme måte slik at grunnlaget blir sammenliknbart. Dette betyr f.eks. at spørsmål som stilles i et spørreskjema ikke kan endres hvis svarene skal sammenlignes over tid.

Hvis du skal samle inn personopplysninger i forbindelse med måling, er det viktig å ta stilling til hva opplysningene skal brukes til før man begynner å måle. En konkret plan bidrar til at man kun samler inn relevant informasjon og får en mer effektiv kontroll med oppfølgningen.

Måling er en viktig brikke i virksomhetens internkontroll. For mer informasjon, se Difis veileder i internkontroll.

Tips:

  • Et godt avvikshåndteringssystem kan gi verdifulle opplysninger om antall avvik, hvilke områder man bør se nærmere på etc. 
  • Hvis du måler folks adferd, er det viktig å bruke informasjonen forsiktig. Bruk helst statiske opplysninger når du kommuniserer resultatene. Og pass på at ingen føler seg hengt ut.  
  • Vær oppmerksom på hvordan du utfører spørsmål. Vi har en tendens til å svare det vi tror er riktig.

3.6. Etablere forvaltningsregime

Det er nødvendig å ha en plan for håndtering av kompetanseplaner og opplæringstiltak i fremtiden. Et forvaltningsregime definerer hvordan de ulike kompetanseplanene og opplæringstiltakene i virksomheten forvaltes: hvordan de brukes, oppdateres og utfases.

Kompetanseplaner er et arbeidsverktøy som kontinuerlig skal være i samsvar med virksomhetenes praksis. Det er derfor viktig å ha avklart hvem som oppdaterer planene ved behov.

De konkrete opplæringstiltakene vil også kreve oppdatering og videreutvikling. Det kan være behov for oppdatering av ulike årsaker, f.eks. at det innføres nye krav, policyer og retningslinjer oppdateres, eller organisasjonen endres. I tillegg vil materiale ikke oppnå samme effekt i lengden dersom mange har sett det før, og det kan derfor være nødvendig å oppdatere materiale eller vente en stund før materialet benyttes igjen. 

Ved å ha etablert et forvaltningsregime sikrer man at tiltakene til enhver tid er oppdaterte, relevante og brukes på riktig måte.

Tips:

  • Vær tydelig på hvem som har ansvar for å forvalte et opplæringstiltak.  

 

Oppsummering

Ved å ha et helhetlig opplæringsprogram for ansatte sikrer man at medarbeiderne har tilstrekkelig kompetanse for å kunne utføre sine arbeidsoppgaver på en hensiktsmessig måte. Ved å se tiltakene i sammenheng sørger man for at opplæringen kan skje mer effektivt og legger til rette for at den enkelte kan se sammenhengen mellom temaene det gis opplæring innen. Dette danner et godt grunnlag for å få medarbeidere som har nødvendig kunnskap og ferdigheter innen informasjonssikkerhet, reflekterer over sine handlinger og er med å danne en god sikkerhetskultur.

 

Sist endret: 
11. mar 2016

Fant du det du lette etter?

* er obligatoriske felter som du må fylle ut for å sende skjemaet. Hvis du har et spørsmål du ønsker svar på, vennligst se www.difi.no/om-difi/kontakt-oss

Fant du det du lette etter?
*