Geschulte Mitarbeiter als Garanten für Resilienz
Mitarbeiterschulungen in Sachen BC/DR sind ein wichtiger Baustein für die Widerstandsfähigkeit eines Unternehmens. Mit wenigen Schritten kommen Sie zu einem „Lehrplan“.
Der Erfolg einer BC/DR-Strategie (Business-Continuity- und Disaster-Recovery) im Unternehmen hängt zu einem größten Teil von der Schulung der Mitarbeiter ab. Die Schulungen müssen stimmig sein und zum Bedarf passen. Wenn Unternehmen Schulungen für die BC/DR-Strategie einbauen, steigern sie die Wirksamkeit der Maßnahmen. Sie können sich dann auch darauf verlassen, dass die Mitarbeiter im Krisenfall wissen, was sie tun.
Schulung und Weiterbildung sind wesentliche Schritte auf dem Weg zu wirksamer Business Continuity und Disaster Recovery (BC/DR) und Resilienz. Das wird auch in Abschnitt 7.2 der ISO-Norm 22301:2019 Security and resilience – Business continuity management systems – Requirements formuliert: Die Organisation muss sicherstellen, dass [Resilienz-Fachleute] auf der Grundlage einer angemessenen Ausbildung, Schulung oder Erfahrung kompetent sind. In Abschnitt 7.3 der Norm wird außerdem angeregt, dass Organisationen das Bewusstsein für BC/DR-Programme schärfen.
Schulungen zum Thema BC/DR dürfen und sollten wie Katastrophenschutzschulungen für alle Mitarbeiter behandelt werden. Schließlich betrifft der Schutz der IT-Landschaft auch die Arbeitsplätze aller Mitarbeiter. Die Zielgruppe für die Schulungen geht also über die Mitglieder der Resilienzteams hinaus. Die Sensibilisierung für das Thema fördert eine Unternehmenskultur des Aufbaus und der Aufrechterhaltung von Business Continuity, also dem unterbrechungsfreien Geschäftsbetrieb. Sie fördert zudem eine breitere Beteiligung an den Maßnahmen zur Wiederherstellung nach einem Katastrophenfall.
Es gibt drei Schritte zur Erstellung und Durchführung der BC/DR-Schulungen:
- Festlegung des Programmformats, der Instrumente und der gewünschten Ergebnisse;
- Festlegung der BC/DR-Fähigkeiten und -Aktivitäten, die in der Schulung vermittelt werden, und
- Verfolgen von Benchmarks, um den Fortschritt sicherzustellen.
Erfolgreiche Schulungsprogramme brauchen interne Unterstützung
Schulungsinitiativen für Business Continuity und Disaster Recovery benötigen die Unterstützung und Finanzierung durch die Unternehmensleitung. Sichtbare und häufige Befürwortung und Ermutigung durch die Geschäftsleitung erhöhen das Bewusstsein für spezielle Schulungsprogramme und steigern die Teilnahmebereitschaft.
Der nächste wichtige Schritt ist die Einbeziehung der Personalabteilung in den Schulungsprozess. Diese Abteilung sollte das Fachwissen haben, um die Mitarbeiterschulungen formal zu organisieren, zu koordinieren und durchzuführen.
Sie kann auch dabei helfen, auf die Schulungen aufmerksam zu machen. Das reicht von Informationsveranstaltungen in den Abteilungen bis zu Mitteilungen an den realen und virtuellen Schwarzen Brettern der Mitarbeiter – und es sollte mehr sein als einfach nur eine Mail. Die Personalabteilung sollte zudem die Skill-Matrix der Mitarbeiter kennen, um die Teilnehmer den Schulungen auf dem passenden Niveau zuzuordnen.
Ermutigen Sie die Personalabteilung, BC/DR- und Resilienz-Schulungen in die Orientierungsprogramme für neue Mitarbeiter aufzunehmen. Wenn alle Mitarbeiter – und nicht nur die BC/DR- und Resilienzteams – an mindestens einer Schulung teilnehmen müssen, unterstreicht das die Bedeutung der Schulungen. Die Organisation kann sich zu einer Resilienzkultur entwickeln.
Organisationen mit eigenem Intranet und Mitarbeiter-Webseiten können eine BC/DR-Seite einrichten, auf der das interne Schulungsprogramm und seine Aufgaben beschrieben werden. Allerdings muss auf solch ein Schulungsportal immer wieder hingewiesen werden. Diese Schulungsseite sollte Inhalte zum Schulungsprogramm, häufig gestellte Fragen, Terminpläne, Links zu Formularen und Services sowie andere nützliche Materialien enthalten.
Die Botschaften sollten informativ und lehrreich sein und das Engagement des Unternehmens für das Programm und dessen Wert unterstreichen.
Aufbau eines BC/DR-Schulungsprogramms für Mitarbeiter
Berücksichtigen Sie beim Aufbau eines BC/DR-Schulungsprogramms folgende Aktivitäten:
- Durchführen einer Bedarfsanalyse zur Ermittlung des Schulungsbedarfs;
- Ausarbeiten einer Schulungsrichtlinie; diese muss von der Geschäftsleitung, dem Leiter für BC/DR/Resilienz, der Personalleitung und gegebenenfalls anderen geprüft und genehmigt werden;
- Erarbeiten oder Abfragen einer Skill-Matrix, also der vorhandenen Kompetenzen und des Verständnisses der Mitarbeiter in Abstimmung mit der Personalabteilung;
- Festlegen der gewünschten Ergebnisse und der Messgrößen für den Erfolg des Schulungsprogramms;
- Einrichtung eines laufenden Schulungs- und Sensibilisierungsprogramms mit genehmigten Verfahren;
- Entwicklung von Schulungsinstrumenten und -inhalten auf der Grundlage der Ergebnisse der Bedarfsanalyse und in Zusammenarbeit mit der Personalabteilung und anderen internen Schulungsressourcen;
- Entwicklung, Planung und Durchführung verschiedener Arten von Schulungsprogrammen, wie Kurse, Anleitungen und Erläutern von Vorlagen;
- Identifizieren interner und externer Ausbilder, Validieren der Lehrberechtigung und Organisation geeigneter Train-the-Trainer-Programme;
- Kommunikation von Informationen über das Schulungsprogramm an Mitarbeiter, Kunden, Lieferanten und andere Beteiligte;
- Festlegen, Ermitteln und Auswerten von Kennzahlen über den Verlauf und die Schulungsschwerpunkte;
- Erfassen und Analysieren von Mitarbeiterkommentaren und Feedback zum Schulungsprogramm;
- Aufzeichnungen über die Schulungs- und Sensibilisierungsaktivitäten der Mitarbeiter zu führen; und
- Messen des Schulungsfortschritts und des Lernerfolgs.
Ermittlung der relevanten Fähigkeiten, Aktivitäten und Strategien
Schulungen zur Business Continuity und Disaster Recovery sehen im Vergleich von Unternehmen zu Unternehmen oftmals ähnlich aus. Organisationen jeder Art und Größe müssen Standardbewertungen, -aktivitäten und -übungen durchführen, um ihre geschäftliche Resilienz zu erreichen und aufrechtzuerhalten.
Zu den BC/DR-Fähigkeiten und -Aktivitäten, die unbedingt in ein Schulungsprogramm aufgenommen werden sollten, gehören folgende Punkte:
- wie sich Desaster auf das Geschäft auswirken können;
- wie man eine Risikoanalyse durchführt;
- wie man einen BC/DR-/Resilienzplan aufstellt;
- Notfallmaßnahmen, beispielsweise Bewertung und Evakuierung;
- spezielle betriebliche Wiederherstellungsaktivitäten, wie die Wiederherstellung von Daten und Geschäftsanwendungen an heißen/kalten Ausweichstandorten, das Starten von Remote-Arbeit mit einem VPN und/oder von Dritten verwalteten Notfalldiensten und das Üben von BC/DR-/Resilienzplänen;
- wie man die Wiederherstellung von Arbeitsbereichen und Remote-Arbeiten einleitet;
- Reaktion auf besondere Situationen, einschließlich längerer Betriebsunterbrechungen wie bei der weltweiten Pandemie COVID-19;
- Koordination mit Ersthelfern und Strafverfolgungsbehörden;
- Rückkehr zu normalen Aktivitäten, insbesondere bei kollokierter Arbeit im Büro; und
- Wiederherstellung von Geschäftssystemen und -prozessen.
Verwendung von Benchmarks zur Fortschrittskontrolle
Um sicherzustellen, dass ein BC/DR-Schulungsprogramm effektiv ist, können Unternehmen verschiedene Messkriterien verwenden. Wenn die Leiter der BC/DR-Teams diese Daten auswerten, können Führungsebene zeigen, dass die Schulungen erfolgreich sind, oder dass es noch Lücken gibt, die geschlossen werden müssen.
Tipps zum Benchmarking eines BC/DR-Schulungsprogramms:
- Vergleichen Sie das Schulungsprogramm mit Programmen in anderen Organisationen;
- Vergleichen Sie interne Programme mit Schulungsprogrammen von Dritten;
- regelmäßige Befragung der Mitarbeiter, um ihren Kenntnisstand über das Programm zu ermitteln;
- Anwendung der aus tatsächlichen Katastrophen gezogenen Lehren;
- Verknüpfung der Schulungsaktivitäten mit den regulären Personalgesprächen;
- monatliche Informationen an die Abteilungsleiter zum Stand der Schulungen und der damit eventuell erforderlichen Sensibilisierungsmaßnahmen; und
- das Prüfen und Einbeziehen der BC/DR/Resilienz-Schulungsprogramme von Beratungsunternehmen, Systemhäusern, Schulungsanbietern und Cloud Service Providern.