& Training bei Evonik Industries Erfolgsfaktoren nach 4 Jahren Awareness Kampagne Cindy Grimm, IT Compliance Strategy 24.09.2015
Hier steckt Evonik drin In den Trikots der Spieler, im Mauerwerk, in den Lampen, in
Evonik ist der kreative Industriekonzern aus Deutschland und eines der weltweit führenden Unternehmen der Spezialchemie. 14,5 % Mitarbeiter 31.12.2014 33.412 Profitabilität (EBITDA-Marge) 1,867 Mrd. Bereinigtes EBITDA Kapitalrendite (ROCE) 12,3 % 12,9 Mrd. Umsatz
Konzept Intranetkommunikation auf Evonik today erzeugt kontinuierliche Aufmerksamkeit für IT Compliance mit überdurchschnittlichen Klickzahlen. Konkret: Ø 6 Artikel und 3 Klickdes-Tages pro Jahr mit Ø 10% zählbarer Klicks. Wiederkehrende und kontinuierliche Awarenessmaßnahmen Unterstützende, verstärkende Awarenessaktionen Awarenessaktionen unterstützen die Awarenessmaßnahmen Konkret: ITCA Kalender, Video des Monats zur Darstellung aktueller Themen Messung der Maßnahmenerfolge 5 Elemente IT Compliance Awareness Konzept Modulare, fokussierte Lerninhalte Messung der subjektiven Wahrnehmung der Maßnahmen sowie der Messung der Verhaltensänderung der Mitarbeiter; Bedarfsermittlung Konkret: ITCA Umfrage mit repräsentativer Stichprobe Konkrete Lernzielausrichtung Aufbereitung der Lerninhalte in Lernmodulen (Bearbeitung in überschaubarer Zeit) Konkret: 1 verpflichtendes Training (2 Module), automatische Einladung, 4 freiwillige Trainings Sensibilisierung und Wissensvermittlung orientiert sich an Themenschwerpunkten und der Aufgabenrolle. Konkret: Aufbaumodule für spezielle Zielgruppen (z.b. Dienstreisende, IT-Mitarbeiter) September 2015 IT Compliance Awareness & Training Seite 4
Kommunikation Kontinuierliche Kommunikation Intranet-Artikel auf Evonik heute alle zwei Monate Klick-des-Tages zum selben Thema nach vier Wochen Veröffentlichung des Textes in Community IT-Security & more (Kommentierung, Empfehlung) Anleitungen ( How to..: ) in Wikis, Raum für Diskussionen und Fragen im Forum Veröffentlichung von Spezial-Themen 7 Verhaltensregeln zur Nutzung des E-Mail-Systems Kommunikation des neuen IT-Regelwerks Neue Passwortregeln Ereignisse und aktuelle Vorfälle (Phishing, Scam) September 2015 IT Compliance Awareness & Training Seite 5
Awarenessaktionen Print Kalender mit Themen aus IT-Compliance, Datenschutz, Know-How-Schutz und Compliance Interview im Evonik-Mitarbeitermagazin Folio Video Video des Monats mit aktuellen Themen emovie als Teaser für anstehende, freiwillige web-based Trainings Tone-from-the-Top Präsenzmeetings Datenschutz & IT-Compliance für ITler Zusammenarbeit mit Datenschutz & Know-how- Schutz bspw. Informationsschutztag September 2015 IT Compliance Awareness & Training Seite 6
Beispiel eines Videos September 2015 IT Compliance Awareness & Training Seite 7
Trainingsinhalte Zielgruppe Management Alle Mitarbeiter (IT user) IT-Mitarbeiter Dienstreisende Externe Mitarbeiter IT-Compliance Verantwortung (Responsibilities in IT) IT Compliance I: Gute Regeln. Sicher ans Ziel. Dokumentation und Protokollierung Kommunikation und IT Nutzung auf Reisen Datenschutz-, IT- Compliance- und Know-how-Schutz- Grundlagen Schutz von streng vertraulichen Informationen IT Compliance II: Schutzwürdige Werte. Unsere Informationen. User Management Informationssicherheit bei intern. Reisetätigkeit (USA, China etc.) Trainingsinhalt IT Compliance III: Informationen sicher austauschen. IT-Compliance: Sicher arbeiten mit dem edesk IT-Risikomanagement Prozess IT Compliance IV: IT-Risikomanagement, Incidents und IT- Quality IT-Compliance: Dokumentation Informationen klassifizieren September 2015 IT Compliance Awareness & Training Seite 8
Beispiel eines interaktiven, web-basierten Trainings September 2015 IT Compliance Awareness & Training Seite 9
Befragung zur Wahrnehmung Ziel: Messung der subjektiven Wahrnehmung von "IT Compliance Awareness" Maßnahmen und der Verhaltensänderung der Mitarbeiter in Bezug auf IT-Compliance sowie Bedarfsermittlung für spezielle Themen oder Zielgruppen Umsetzung Bildung eines IT Compliance Awareness Index, der angibt wie bewusst für IT-Sicherheitsthemen sich die Mitarbeiter selbst einschätzen. 7 Fragen, die sich auf die Selbsteinschätzung und die Kenntnis richtigen Verhaltens beziehen. September 2015 IT Compliance Awareness & Training Seite 10
Erfolgsfaktoren Inhalt Grundlegend: beginnen mit den 10 Basisthemen Modular: viele kleine Happen anstatt eines großen schwer verdaulichen Pakets Konkret: Lerninhalte müssen mit konkreten Lebensbzw. Arbeitssituationen verbunden werden. Abstraktes Wissen wird nur unzureichend wahrgenommen, Fokus auf Risiken und praxisbezogen, begründet Flexibel: immer wieder neue Themen finden und aktuelles (z.b. Hacking Angriff auf den Deutschen Bundestag) aufgreifen Schnell: bei Vorfällen muss schnell reagiert werden und eine Veröffentlichung herausgehen Persönlich: wo möglich berufliche Vorgaben mit privatem Mehrwert verbinden Spezifisch: Verschiedene Zielgruppen, one-fits-all funktioniert nicht September 2015 IT Compliance Awareness & Training Seite 11
Erfolgsfaktoren Organisation Kontinuität: langfristig ein Level an Information aufrecht erhalten Breite: möglichst viele Medien mischen Abstimmung: verpflichtende Maßnahmen funktionieren nur zusammen mit Arbeitnehmervertretern Kosten: Kosten müssen vertretbar bleiben und ggf. Präsenzveranstaltungen gespart werden Rahmen: inhaltlich klar bleiben, um nicht alles zu kommunizieren, was mit IT zu tun hat Planung: Vorab-Planung der Themen spart Zeit und schafft Akzeptanz Wiedererkennung: ein Key Visual, Cartoons oder Format, das alle Mitarbeiter wiedererkennen September 2015 IT Compliance Awareness & Training Seite 12
Erfolgsfaktoren Kultur/Einstellung Management Buy-in: Vorgesetzte müssen das Thema ernst nehmen und vertreten Überzeugung: mit eigener Überzeugung hinter dem Konzept und der Sache stehen Erfolgsmessung: kritisch hinterfragen was funktioniert und was es bringt Selbstkritik: was ist wirklich noch notwendig? Was kann entfallen? Was läuft nicht? Meldung: Nur wenn die Unternehmensphilosophie und Kultur stimmt, werden Vorfälle auch gemeldet > diese dienen als Grund für fortlaufende Kampagne und Basis für konkrete Beispiele Allianzen: Zusammenschluss mit ähnlichen Fachbereichen wie Compliance, Datenschutz oder Know-how-Schutz / Corporate Security Erfahrungsaustausch: Austausch mit anderen Unternehmen suchen September 2015 IT Compliance Awareness & Training Seite 13
Copyright der Walt & Friends Cartoons: Dewitz, Selzer, Partner. Werbeagentur GmbH Illustration: Peter Esser 2013-2015