Um mehr IT-Sicherheit im Unternehmen zu erreichen ist es wichtig, dass Mitarbeiter ihr Verhalten so anpassen, dass sichere Arbeitsabläufe und Ergebnisse entstehen. Solche Verhaltensänderungen sind nur durch Information und Trainings möglich. Zur Umsetzung eines Informationssicherheits-Managementsystems (z. B. nach ISO 27001, TISAX) müssen (Ziel-)Prozesse dokumentiert und das Wissen um diese Prozessabläufe an die Mitarbeiter publiziert werden. Vor allem müssen aber Mitarbeitersensibilisierungsmaßnahmen zur Erhöhung der IT-Sicherheit im Unternehmen umgesetzt werden. Deswegen bilden regelmäßige Schulungen der Mitarbeiter einen zentralen Baustein der Cyberabwehr-Strategie eines Unternehmens.
Was ist Microsoft Viva?
Microsoft Viva ist eine Employee Experience Plattform (EXP), die Kommunikation, Fachwissen, Weiterbildung, Ressourcen und Erkenntnisse vereint – direkt im Fluss der täglichen Arbeit. Unterstützt von Microsoft 365 wird Viva hauptsächlich über Microsoft Teams verwendet.
Heute betrachten wir zwei relevante Module, die für die Umsetzung eines Informationssicherheits-Managementsystems innerhalb von Microsoft Teams interessant sein können.
Microsoft Viva Connections
Microsoft Viva Connections bietet jedem Mitarbeiter ein personalisiertes Portal mit relevanten News, veröffentlichten Dokumenten und Tools für erfolgreiches Arbeiten. Kurz gesagt, das Intranet in Microsoft Teams.
Viva Connections kann im ISMS-Kontext für die Bereitstellung aller Richtlinien und Arbeitsanweisungen für die Mitarbeiter verwendet werden. Hier ist der ideale Platz zur Publikation von Klassifizierungsrichtlinien, Prozessbeschreibungen, etc.
Der Zugriff auf die publizierten Dokumente erfolgt über Microsoft Teams, den Browser und mobil (entsprechende Apps sollen noch in 2021 in die jeweiligen Appstores kommen).
Microsoft Viva Learning
Microsoft Viva Learning macht das Lernen zu einem natürlichen Bestandteil der Arbeitsroutine – ganz einfach innerhalb von Microsoft Teams.
Neben von Microsoft und LinkedIn bereitgestellten Inhalten, können Unternehmen auch eigene Lerninhalte über Microsoft Viva Learning bereitstellen. So können z. B. Schulungsvideos zu Arbeitsschutz, Compliance oder eigene Produkt-spezifische Schulungsinhalte zur Verfügung gestellt werden. Seit heute können Sie auch unsere monatlichen Mitarbeitersensibilisierungsvideos aus dem Datenschutzkontor über Viva Learning konsumieren.
Die Mitarbeiter können ihre monatlichen Schulungsvideos direkt in Microsoft Teams ansehen. Das reduziert den Aufwand zur Suche, weil viele Mitarbeiter mittlerweile ganztägig in Microsoft Teams sind.
Die vom Datenschutzkontor bereitgestellten Videos sowie deren beschreibende Texte werden automatisch ausgelesen und in Microsoft Viva Learning angezeigt.
Wenn der Mitarbeiter doch mal nicht direkt das Video ansehen kann, kann er sich ein Lesezeichen setzen und das Video später zu Ende ansehen.
Auditierung zum Nachweis der Durchführung der Maßnahmen
Eine weitere Ergänzung ist die Umsetzung der Nachweispflicht welche Mitarbeiter an einer Schulungsmaßnahme teilgenommen. Dieses ließ sich bisher innerhalb von Videos, die in Microsoft Stream gespeichert wurden, einfach in Verbindung mit Microsoft Forms umsetzen.
Stand November 2021 befindet sich Microsoft Stream in der der Transformation zum „New Stream“ – daher ist die Möglichkeit zur Integration von Microsoft Forms-Formularen für Videos, die in SharePoint Online (Basis für Viva Learning) gespeichert wurden, noch nicht verfügbar. Ich gehe aber davon aus, dass diese Funktion ab 2022 auch wieder zur Verfügung steht. Dann kann der Auditierungsnachweis über eine Auswertung der Teilnahmeprotokolle und Wissensabfragen generiert werden.