segf 2015 | nachhaltige informationssicherheit mit e-learning
TRANSCRIPT
Grüezi mitenand
Ernst Erni, CEO easylearn
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
• Schweizer E-Learning Generalunternehmen• Umfassendes Angebot im Bereich E-Learning und Bildungsmanagement
• Software Entwicklung (easylearn Software)• Inhalts- und Kursentwicklung (u.a. «Informationssicherheit»)• Vertrieb• Projektrealisierung• Betrieb und Support
• Gründung 1994• 30 Mitarbeitende• Firmensitz in Obfelden bei Affoltern a.A
Kurzvorstellung der Firma easylearn schweiz ag
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
© 2014 easyLearn Schweiz AG
Mehr Sicherheit mit e-Learning
Mehr Informationssicherheit mit e-Learning
info society days 2015
Themenübersicht:• Risikodynamik – was sich bewegt• Handlungsfelder im Risikomanagement• Human Facts and Factors• Verhalten beeinflussen und steuern• Methodik in der Wissensvermittlung • Nachhaltige Wirkung in Organisationen erzielen
Mehr Informationssicherheit mit e-Learning
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Veränderter Zugang zu Informationen• Ubiquitäre Konnektivität – jederzeit, überall online• Mobile Devices betrieblich und privat• Laptops sind ausgerichtet auf Unternehmen, Mobile Devices sind Verbrauchergeräte• zentralisierte Verwaltung mittels MDM (Mobile Device Management)
Risikodynamik – was sich bewegt
© 2015 easylearn schweiz ag
info society days 2015
Neue Produkte und Dienstleistungen• Rein elektronische Übermittlung von medialen Produkten und Dienstleistungen
(Musik, Bilder, Filme, Texte)• anywhere, anytime, anyway• Accessible on Any Device
Auch im betrieblichen Alltag• Geschäftsmodelle sind modifiziert und erweitert (Handel, Dienstleistungen)• Transaktionen sind digitalisiert (Geldfluss, Waren- und Leistungsfluss)• Kommunikation findet 1:n auf Plattformen statt (Xing, FB, Twitter, etc.)
Risikodynamik – was sich bewegt
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Wir pflegen ein verändertes Verhalten im Umgang mit Informationen• «Cloud-Computing» erweitert das traditionelle Computing in «geschlossenen Umgebungen»
• Erweiterte Speichermöglichkeiten: Daten liegen in fremder Hoheit• Erweiterte Anwendungsmöglichkeiten: Wir nutzen Ressourcen in fremder Hoheit• Erweitertes Management: Die Verantwortung ist externalisiert• Wir leben einen offenen Zugang zu Informationen und Geschäftsprozessen
Wir verteilen heute Informationen und hinterlassen Spuren ungeahnten Ausmasses
Wir akzeptieren die Risiken (Vgl. NSA-Affäre)
Risikodynamik – Faktor «Verhalten»
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Wir verteilen Informationen und hinterlassen Spuren ungeahnten Ausmasses Massnahmen ergreifen um Schadenereignisse zu verhindern durch geändertes Verhalten
Wir akzeptieren die Risiken (Vgl. NSA-Affäre)Mögliche Schadenhöhe vermeiden durch eine höhere Aufmerksamkeit
Bedeutung für das betriebliche Sicherheitsmanagement?
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Handlungsfelder im Risikomanagement (gem. ISO 27000)
Technologie
EnRX
P1
Systemsicherheit Datensicherung Physische Security Firewalls Penetrationstests Application Security
Prozesse
PS1 PS2 PS3
Asset Management Zugriffssicherheit Change Management Patch Management Konfiguration Incident Management
Menschen
Awareness Schulung Policies / Prinzipien Überprüfungen Rollen &
Verantwortungen
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Informationssicherheit wird als sehr wichtig eingestuft• Die gegenwärtige Bedeutung von
Informationssicherheit und Notfall-management wird in den befragten Institutionen sehr unterschiedlich gesehen.
• 70,4 % der Teilnehmer räumen der Informationssicherheit eine sehr hohe bis hohe Bedeutung ein
Bedeutung von Informationssicherheit für Unternehmen
Quelle: ibi research an der Universität Regensburg© 2015 easylearn schweiz ag
info society days 2015
… die Ressourcen fliessen tendenziell in die Technik (HW / SW)
Gemessen an der gestiegenen Relevanz und Durchdringung der Unternehmen mit Instrumenten der IT sind Aktivitäten der Unternehmen teilweise sogar rückläufig.
Diskrepanz zwischen Erkenntnis und Umsetzung
DsiN SICHERHEITSMONITOR MITTELSTAND / IT-Sicherheitslage 2014 in Deutschland© 2015 easylearn schweiz ag
info society days 2015
• Dabei fällt ein Paradox ins Auge: Obwohl Sicherheitsfragen in Unternehmen als wichtig empfunden werden mangelt es an einer wirksamen Umsetzung.
• Ganzheitliche IT-Sicherheitskonzepte und organisatorische Massnahmen, eine Sensibilisierung von Mitarbeitern sowie auch technische Vorkehrungen sind zu selten tägliche Praxis.
Diskrepanz zwischen Erkenntnis und Umsetzung
DsiN SICHERHEITSMONITOR MITTELSTAND / IT-Sicherheitslage 2014 in Deutschland© 2015 easylearn schweiz ag
info society days 2015
Human Facts and Factors
Menschen
Awareness Schulung Policies / Prinzipien Überprüfungen Rollen &
Verantwortungen
Das gehört zum Mensch-Sein• Sie sind keine rationalen Wesen, sie handeln unlogisch• Man kann Sie manipulieren und verführen• Sie sind unterschiedlich spezifiziert und ausgeprägt• Keiner ist umfassend dokumentiert• Sie entwickeln sich und sind lernende Einheiten• Jeder von ihnen kann handeln und etwas bewirken• In der Gruppe zeigen sie manchmal eigenartige
Verhaltensweisen
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Wie die unberechenbaren menschlichen Faktoren steuern und verwalten?
Technischer Managementansatz• Wir analysieren die technischen und die Prozessrisiken• Daraus werden Massnahmen und Richtlinien abgeleitet• Diese werden in einem Dokument zusammengefasst• Wir verordnen die Lektüre und kontrollieren (ob der Download erfolgt ist)
Wir haben unsere Compliance erfüllt
Human Facts and Factors im Sicherheitsmanagement
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Wie die unberechenbaren menschlichen Faktoren managen (steuern und verwalten)?
Am Menschen orientierter Ansatz:• Wir verstehen das Erleben und Verhalten der Menschen in unseren Organisationen• Wir analysieren daraus die Risiken und leiten ab, welche Praktiken wir ändern müssen• Wir vermitteln Wissen über die Zusammenhänge • Damit werden Kompetenzen für das Handeln geschaffen
Wir nehmen Einfluss auf das Verhalten und erreichen damit eine höhere gelebte Sicherheit
Human Facts and Factors im Sicherheitsmanagement
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Wie kann man Verhalten ändern?
Konrad Lorenz (1903-1989)
• «Gedacht heisst nicht immer gesagt,• gesagt heisst nicht immer richtig gehört, • gehört heisst nicht immer richtig verstanden, • verstanden heisst nicht immer einverstanden, • einverstanden heisst nicht immer angewendet, • angewendet heisst noch lange nicht beibehalten.»
Lernprozess
Didaktik
Umsetzungsprozess
© 2015 easylearn schweiz ag
info society days 2015
Berliner Modell (Paul Heimann)Didaktisches Konzept und Erfolgsfaktoren
IntentionWozu
MethodeWie
Inhalt Was
MedienWomit
Bedingungsrahmen: Raum, Zeitrahmen,
Ort, Institution, Finanzielles, etc.
Sozio
kultu
relle
und
per
sönl
iche
Fo
lgen
alle
rBe
teili
gten
Out
pute
ffek
t
Inpu
tfak
tore
n
Sozio
kultu
relle
und
per
sönl
iche
Vo
raus
setz
unge
n al
ler
Bete
iligt
en
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Didaktischer Prozess
Vergleich Lernmethoden anhand Berliner Modell
Faktor Präsenzunterricht E-LearningIntention
Methode
Medien
Inhalt
Für die meisten Ausbildungszwecke geeignet
Je wichtiger, dass verstanden, desto besser geeignet
Dialog, Gruppenprozess, Praktische Fertigkeit
Unterweisung, Selbständig, Entdeckend, Lernorientiert
Personenzentrierte Interaktion Alle elektronischen Medien und interaktiven Anwendungen
Bei individuellen Inhalten Für hoch standardisierte Inhalte geeignet
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Bedingungsrahmen
Bedingung Präsenzunterricht E-LearningOrt
Raum
Zeit
Geld
Technologie
Alle Teilnehmenden lernen am gleichen Ort
Jeder kann an einem anderen, «seinem» Ort lernen
Die Teilnehmenden sind im gleichen, begrenzten Raum
Räumliche Bedingungen sind nicht gegeben
Alle Lernenden lernen am gleichen Zeitpunkt
Es kann jederzeit gelernt werden
Kosten pro Veranstaltung; bei kleinen Lerngruppen günstiger
Je mehr Teilnehmende, desto günstiger Skalierungseffekt
Ohne besondere Technologien möglich
Alle Teilnehmenden brauchen einen IT-Zugang mit Browser
Vergleich Lernmethoden anhand Berliner Modell
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Input / Output
Wertefluss Präsenzunterricht E-LearningLernendeInputAusbildendeInputLernendeOutputAusbildendeOutputInstitutionOutput
Physische Präsenz, Aufnahme-fähigkeit
Mentale Präsenz, Erfahrung im Umgang mit IT-Instrumenten
Physische und mentale Präsenz, Vorbereitung, Unterrichtsstoff
Kurse erstellen, Kurse zuweisen, e-Coaching, Feedback verarbeiten
Test (einmalig), Wissen und Verhalten, Sozialeffekte
Tests (Mini-tests), evtl. Wiederho-lungen, Wissen und Verhalten
Meist einmaliges, unstrukturiertes Feedback, Verbesserung
Strukturiertes Feedback im System, kontrollierte Verbesserungsmögl.
Vergleich Lernmethoden anhand Berliner Modell
Wissensvermittlung ist einmalig, Wiederholungen aufwändig
Wiederholungen und Aufbaukurse können einfach abgewickelt werden
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
N= 6343 Kursabsolventen von easylearn-Kursen
Gesamthafte Beurteilung des Kurses (1-5)• Ich bin voll und ganz zufrieden und habe mehr gelernt als erwartet: 35.52 %• Das Gelernte entspricht meinen Erwartungen einwandfrei: 52.62%• Ich habe weniger gelernt als erwartet: 10.34%• Meine Erwartungen wurden nicht erfüllt: 1.51%
Einige Erfahrungen mit e-Learning
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Es wird etwas vermittelt, was der Lernende braucht• Die Organisation stellt sicher, dass der Inhalt einen Nutzen bringt• Kursadministration stellt sicher, dass der Kurs nur jenen Zielpersonen zugewiesen wird, für die
der Kurs auch relevant ist• Einstufungstest stellt sicher, dass nichts gelernt wird, was schon bekannt ist• Ein Intro weckt das Interesse des Lernenden• Bezug zwischen Lerninhalt und persönlichen Interessen des Lernenden
Was zeichnet gutes e-Learning aus?
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Der Kurs hat einen klar strukturierten Aufbau• Ein Lernpfad stellt den Ablauf sicher• Reihenfolge der Lerninhalte ist logisch und aufbauend• Zwischentests zur Kontrolle der Fortschrittskontrolle• Positives Feedback nach absolvierten Tests• Der Lernende erhält Einsicht, Wo er im Lernpfad steht
Was zeichnet gutes e-Learning aus?
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Es werden Medien eingesetzt, die auch Spass machen• Wesentlich ist der Medienmix
• Filme und Videos• Bilder mit Erklärungen• Vertonte Powerpoint-Präsentationen• Interaktive Anwendungen für Testing, etc.• HTML-Seiten• Kurze Prägnante Texte (*.pdf)
• Lange und komplizierte Texte werden vermieden
Was zeichnet gutes e-Learning aus?
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Zusammenfassung:• Risikodynamik – was sich bewegt ubiquitäre Konnektivität • Handlungsfelder im Risikomanagement Technologie, Prozess, Mensch• Human Facts and Factors sie sind unlogisch und schwer zu steuern• Verhalten beeinflussen und steuern Didaktisches Konzept (Berliner Modell)• Methodik in der Wissensvermittlung Präsenzunterricht versus e-Learning• Nachhaltige Wirkung erzielen Merkmale des guten e-Learnings
Mehr Informationssicherheit mit e-Learning
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
Auf Wunsch auch live
Roswitha Borkowetz André Celio Ernst Erni
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015
easylearn progress 2014
Mehr Sicherheit mit e-Learning
© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning
info society days 2015