SeGF 2015 | Nachhaltige Informationssicherheit mit E-Learning

Grüezi mitenand

Ernst Erni, CEO easylearn

© 2015 easylearn schweiz ag Mehr Informationssicherheit mit e-Learning

info society days 2015

• Schweizer E-Learning Generalunternehmen• Umfassendes Angebot im Bereich E-Learning und Bildungsmanagement

• Software Entwicklung (easylearn Software)• Inhalts- und Kursentwicklung (u.a. «Informationssicherheit»)• Vertrieb• Projektrealisierung• Betrieb und Support

• Gründung 1994• 30 Mitarbeitende• Firmensitz in Obfelden bei Affoltern a.A

Kurzvorstellung der Firma easylearn schweiz ag



© 2014 easyLearn Schweiz AG

Mehr Sicherheit mit e-Learning

Mehr Informationssicherheit mit e-Learning


Themenübersicht:• Risikodynamik – was sich bewegt• Handlungsfelder im Risikomanagement• Human Facts and Factors• Verhalten beeinflussen und steuern• Methodik in der Wissensvermittlung • Nachhaltige Wirkung in Organisationen erzielen




Veränderter Zugang zu Informationen• Ubiquitäre Konnektivität – jederzeit, überall online• Mobile Devices betrieblich und privat• Laptops sind ausgerichtet auf Unternehmen, Mobile Devices sind Verbrauchergeräte• zentralisierte Verwaltung mittels MDM (Mobile Device Management)

Risikodynamik – was sich bewegt

© 2015 easylearn schweiz ag


Neue Produkte und Dienstleistungen• Rein elektronische Übermittlung von medialen Produkten und Dienstleistungen

(Musik, Bilder, Filme, Texte)• anywhere, anytime, anyway• Accessible on Any Device

Auch im betrieblichen Alltag• Geschäftsmodelle sind modifiziert und erweitert (Handel, Dienstleistungen)• Transaktionen sind digitalisiert (Geldfluss, Waren- und Leistungsfluss)• Kommunikation findet 1:n auf Plattformen statt (Xing, FB, Twitter, etc.)

Risikodynamik – was sich bewegt



Wir pflegen ein verändertes Verhalten im Umgang mit Informationen• «Cloud-Computing» erweitert das traditionelle Computing in «geschlossenen Umgebungen»

• Erweiterte Speichermöglichkeiten: Daten liegen in fremder Hoheit• Erweiterte Anwendungsmöglichkeiten: Wir nutzen Ressourcen in fremder Hoheit• Erweitertes Management: Die Verantwortung ist externalisiert• Wir leben einen offenen Zugang zu Informationen und Geschäftsprozessen

Wir verteilen heute Informationen und hinterlassen Spuren ungeahnten Ausmasses

Wir akzeptieren die Risiken (Vgl. NSA-Affäre)

Risikodynamik – Faktor «Verhalten»



Wir verteilen Informationen und hinterlassen Spuren ungeahnten Ausmasses Massnahmen ergreifen um Schadenereignisse zu verhindern durch geändertes Verhalten

Wir akzeptieren die Risiken (Vgl. NSA-Affäre)Mögliche Schadenhöhe vermeiden durch eine höhere Aufmerksamkeit

Bedeutung für das betriebliche Sicherheitsmanagement?



Handlungsfelder im Risikomanagement (gem. ISO 27000)

Technologie

EnRX

P1

Systemsicherheit Datensicherung Physische Security Firewalls Penetrationstests Application Security

Prozesse

PS1 PS2 PS3

Asset Management Zugriffssicherheit Change Management Patch Management Konfiguration Incident Management

Menschen

Awareness Schulung Policies / Prinzipien Überprüfungen Rollen &

Verantwortungen



Informationssicherheit wird als sehr wichtig eingestuft• Die gegenwärtige Bedeutung von

Informationssicherheit und Notfall-management wird in den befragten Institutionen sehr unterschiedlich gesehen.

• 70,4 % der Teilnehmer räumen der Informationssicherheit eine sehr hohe bis hohe Bedeutung ein

Bedeutung von Informationssicherheit für Unternehmen

Quelle: ibi research an der Universität Regensburg© 2015 easylearn schweiz ag


… die Ressourcen fliessen tendenziell in die Technik (HW / SW)

Gemessen an der gestiegenen Relevanz und Durchdringung der Unternehmen mit Instrumenten der IT sind Aktivitäten der Unternehmen teilweise sogar rückläufig.

Diskrepanz zwischen Erkenntnis und Umsetzung

DsiN SICHERHEITSMONITOR MITTELSTAND / IT-Sicherheitslage 2014 in Deutschland© 2015 easylearn schweiz ag


• Dabei fällt ein Paradox ins Auge: Obwohl Sicherheitsfragen in Unternehmen als wichtig empfunden werden mangelt es an einer wirksamen Umsetzung.

• Ganzheitliche IT-Sicherheitskonzepte und organisatorische Massnahmen, eine Sensibilisierung von Mitarbeitern sowie auch technische Vorkehrungen sind zu selten tägliche Praxis.

Diskrepanz zwischen Erkenntnis und Umsetzung

DsiN SICHERHEITSMONITOR MITTELSTAND / IT-Sicherheitslage 2014 in Deutschland© 2015 easylearn schweiz ag


Human Facts and Factors

Menschen

Awareness Schulung Policies / Prinzipien Überprüfungen Rollen &

Verantwortungen

Das gehört zum Mensch-Sein• Sie sind keine rationalen Wesen, sie handeln unlogisch• Man kann Sie manipulieren und verführen• Sie sind unterschiedlich spezifiziert und ausgeprägt• Keiner ist umfassend dokumentiert• Sie entwickeln sich und sind lernende Einheiten• Jeder von ihnen kann handeln und etwas bewirken• In der Gruppe zeigen sie manchmal eigenartige

Verhaltensweisen



Wie die unberechenbaren menschlichen Faktoren steuern und verwalten?

Technischer Managementansatz• Wir analysieren die technischen und die Prozessrisiken• Daraus werden Massnahmen und Richtlinien abgeleitet• Diese werden in einem Dokument zusammengefasst• Wir verordnen die Lektüre und kontrollieren (ob der Download erfolgt ist)

Wir haben unsere Compliance erfüllt

Human Facts and Factors im Sicherheitsmanagement



Wie die unberechenbaren menschlichen Faktoren managen (steuern und verwalten)?

Am Menschen orientierter Ansatz:• Wir verstehen das Erleben und Verhalten der Menschen in unseren Organisationen• Wir analysieren daraus die Risiken und leiten ab, welche Praktiken wir ändern müssen• Wir vermitteln Wissen über die Zusammenhänge • Damit werden Kompetenzen für das Handeln geschaffen

Wir nehmen Einfluss auf das Verhalten und erreichen damit eine höhere gelebte Sicherheit

Human Facts and Factors im Sicherheitsmanagement



Wie kann man Verhalten ändern?

Konrad Lorenz (1903-1989)

• «Gedacht heisst nicht immer gesagt,• gesagt heisst nicht immer richtig gehört, • gehört heisst nicht immer richtig verstanden, • verstanden heisst nicht immer einverstanden, • einverstanden heisst nicht immer angewendet, • angewendet heisst noch lange nicht beibehalten.»

Lernprozess

Didaktik

Umsetzungsprozess

© 2015 easylearn schweiz ag


Berliner Modell (Paul Heimann)Didaktisches Konzept und Erfolgsfaktoren

IntentionWozu

MethodeWie

Inhalt Was

MedienWomit

Bedingungsrahmen: Raum, Zeitrahmen,

Ort, Institution, Finanzielles, etc.

Sozio

kultu

relle

und

per

sönl

iche

Fo

lgen

alle

rBe

teili

gten

Out

pute

ffek

t

Inpu

tfak

tore

n

Sozio

kultu

relle

und

per

sönl

iche

Vo

raus

setz

unge

n al

ler

Bete

iligt

en



Didaktischer Prozess

Vergleich Lernmethoden anhand Berliner Modell

Faktor Präsenzunterricht E-LearningIntention

Methode

Medien

Inhalt

Für die meisten Ausbildungszwecke geeignet

Je wichtiger, dass verstanden, desto besser geeignet

Dialog, Gruppenprozess, Praktische Fertigkeit

Unterweisung, Selbständig, Entdeckend, Lernorientiert

Personenzentrierte Interaktion Alle elektronischen Medien und interaktiven Anwendungen

Bei individuellen Inhalten Für hoch standardisierte Inhalte geeignet



Bedingungsrahmen

Bedingung Präsenzunterricht E-LearningOrt

Raum

Zeit

Geld

Technologie

Alle Teilnehmenden lernen am gleichen Ort

Jeder kann an einem anderen, «seinem» Ort lernen

Die Teilnehmenden sind im gleichen, begrenzten Raum

Räumliche Bedingungen sind nicht gegeben

Alle Lernenden lernen am gleichen Zeitpunkt

Es kann jederzeit gelernt werden

Kosten pro Veranstaltung; bei kleinen Lerngruppen günstiger

Je mehr Teilnehmende, desto günstiger Skalierungseffekt

Ohne besondere Technologien möglich

Alle Teilnehmenden brauchen einen IT-Zugang mit Browser




Input / Output

Wertefluss Präsenzunterricht E-LearningLernendeInputAusbildendeInputLernendeOutputAusbildendeOutputInstitutionOutput

Physische Präsenz, Aufnahme-fähigkeit

Mentale Präsenz, Erfahrung im Umgang mit IT-Instrumenten

Physische und mentale Präsenz, Vorbereitung, Unterrichtsstoff

Kurse erstellen, Kurse zuweisen, e-Coaching, Feedback verarbeiten

Test (einmalig), Wissen und Verhalten, Sozialeffekte

Tests (Mini-tests), evtl. Wiederho-lungen, Wissen und Verhalten

Meist einmaliges, unstrukturiertes Feedback, Verbesserung

Strukturiertes Feedback im System, kontrollierte Verbesserungsmögl.


Wissensvermittlung ist einmalig, Wiederholungen aufwändig

Wiederholungen und Aufbaukurse können einfach abgewickelt werden



N= 6343 Kursabsolventen von easylearn-Kursen

Gesamthafte Beurteilung des Kurses (1-5)• Ich bin voll und ganz zufrieden und habe mehr gelernt als erwartet: 35.52 %• Das Gelernte entspricht meinen Erwartungen einwandfrei: 52.62%• Ich habe weniger gelernt als erwartet: 10.34%• Meine Erwartungen wurden nicht erfüllt: 1.51%

Einige Erfahrungen mit e-Learning



Es wird etwas vermittelt, was der Lernende braucht• Die Organisation stellt sicher, dass der Inhalt einen Nutzen bringt• Kursadministration stellt sicher, dass der Kurs nur jenen Zielpersonen zugewiesen wird, für die

der Kurs auch relevant ist• Einstufungstest stellt sicher, dass nichts gelernt wird, was schon bekannt ist• Ein Intro weckt das Interesse des Lernenden• Bezug zwischen Lerninhalt und persönlichen Interessen des Lernenden

Was zeichnet gutes e-Learning aus?



Der Kurs hat einen klar strukturierten Aufbau• Ein Lernpfad stellt den Ablauf sicher• Reihenfolge der Lerninhalte ist logisch und aufbauend• Zwischentests zur Kontrolle der Fortschrittskontrolle• Positives Feedback nach absolvierten Tests• Der Lernende erhält Einsicht, Wo er im Lernpfad steht




Es werden Medien eingesetzt, die auch Spass machen• Wesentlich ist der Medienmix

• Filme und Videos• Bilder mit Erklärungen• Vertonte Powerpoint-Präsentationen• Interaktive Anwendungen für Testing, etc.• HTML-Seiten• Kurze Prägnante Texte (*.pdf)

• Lange und komplizierte Texte werden vermieden




Zusammenfassung:• Risikodynamik – was sich bewegt ubiquitäre Konnektivität • Handlungsfelder im Risikomanagement Technologie, Prozess, Mensch• Human Facts and Factors sie sind unlogisch und schwer zu steuern• Verhalten beeinflussen und steuern Didaktisches Konzept (Berliner Modell)• Methodik in der Wissensvermittlung Präsenzunterricht versus e-Learning• Nachhaltige Wirkung erzielen Merkmale des guten e-Learnings




Auf Wunsch auch live

Roswitha Borkowetz André Celio Ernst Erni



easylearn progress 2014

Mehr Sicherheit mit e-Learning



SeGF 2015 | Nachhaltige Informationssicherheit mit E-Learning

Business

Transcript of SeGF 2015 | Nachhaltige Informationssicherheit mit E-Learning