Det er blevet almindeligt kendt, at organisationer har brug for god informations- og IT-sikkerhed; Konsekvenserne ved dårlig IT-sikkerhed er for store. En ting, man nogle gange glemmer at indtænke i sit IT-sikkerhedsarbejde er, hvorvidt man har etableret en effektiv proces til den løbende udvikling og vedligeholdelse af ens informationssikkerhed. Da IT-sikkerhed er en dynamisk proces, og truslerne fra IT-kriminelle altid ændrer sig, vil denne blogpost give dig Plan-Do-Check-Act (PDCA)-cyklussen til informationssikkerhed og hjælpe dig med at etablere en mere effektiv informationssikkerhed.
Hvad er Plan-Do-Check-Act (PDCA) modellen?
Plan-Do-Check-Act er en cyklus og model, som din organisation kan bruge til at forbedre en kontinuerlig proces. Når man følger cyklussen, er ideen at undgå at lave gentagne fejl. Processen er iterativ, en tilgang der også er kendt indenfor f.eks. den agile ledelse og Design Thinking. Mens modellen i sig selv er enkel, opnås det bedste resultat, når man arbejder med modellen med et langsigtet perspektiv, hvilket vil kræve engagement fra ledelsen.
Hos CyberPilot mener vi, at have løbende processer er et af de vigtigste forsvar i din organisations IT-sikkerhed. Det er ofte stærkere end enkelte tiltag, som man ikke genbesøger. For at give et eksempel på, hvordan 4-trins cyklussen kan bruges, forestil dig, at din organisation netop har besluttet at gennemføre et træningsprogram for medarbejdere, som skal være en løbende proces.
Plan - Lav en plan og sæt klare mål
I dette trin vil du identificere et problem, der skal løses, eller et mål at nå. For at kunne spore og evaluere målsætningerne skal du identificere alle relevante Key Performance Indicators (KPI). Altså, hvilke tal og informationer fortæller noget om, hvorvidt problemet bliver løst eller målet nået.
Inden du går videre til næste trin, skal du sørge for, at alle i dit team kan besvare følgende spørgsmål:
-
Hvad er det problemet, vi skal løse?
-
Hvilke ressourcer har vi brug for?
-
Hvad vil gøre planen til en succes, og hvornår er problemet løst?
I vores eksempel kan det overordnede mål være at skabe opmærksomhed blandt medarbejdere om informationssikkerhed. Et mål kan være, at flertallet af holdet gennemfører alle kurser. En KPI kan derfor være antallet af gennemførte kurser. Det kan også være, at KPI’en er, hvorvidt medarbejdere finder træningen sjov, hvilket sandsynligvis ville kræve en mere kvalitativ tilgang til måling.
Do - Gennemfør planen
Nu er det tid til at gennemføre planen. Du skal dog også være opmærksom og forberedt på nogle uforudsigelige problemer, der kan opstå. Hvis planen består af store organisatoriske ændringer, kan det være klogt at først teste planen i lille skala for at undgå forstyrrelser. Det er også vigtigt, at du husker at holde øje med dine KPI’er.
Nu sendes kurserne ud til medarbejderne i den rækkefølge og tempo, du havde bestemt i det tidligere stadie. Sørg for at behandle de relevante data over, hvor mange medarbejdere der gennemfører kurserne. Spørg evt. også medarbejdere om, hvordan de oplever at gennemføre kurserne.
Check - Evaluer på resultaterne
Ved at indsamle og analysere KPI’erne og dataene, vil det stå klart, om initiativerne har haft den ønskede effekt, eller om der er justeringer, der skal foretages. Dette gøres ved at sammenligne resultatet med det forventede resultat, der blev sat i planen. Dette er en vigtig del af cyklussen.
I eksemplet kan ledelsen i din organisation analysere resultatet af KPI’en på, hvor mange kurser der er gennemført pr. medarbejder. De kan også overveje at se på antallet af sikkerhedsbrud i organisationen og sammenligne med, hvor mange de havde, før initiativet startede. Du kan også tale med kolleger for at undersøge, hvad de faktisk synes om træningen. Alle disse kontrolmetoder hjælper dig med at reflektere og evaluere planen ud fra, hvad målet var i starten.
Act - Lav nye tiltag ud fra resultaterne
Med resultaterne fra Do and Check forbedres processerne nu. I dette trin vil du reagere på resultaterne og optimere processerne. Du bliver derefter nødt til at justere KPI’erne i overensstemmelse hermed og gå tilbage til planfasen efterfølgende. Ved at gentage cyklussen vil din organisation opleve løbende forbedring. Et projekt som f.eks. awareness-træning bliver altså ikke plug and play, men et løbende projekt der hele tiden skal genbesøges. Det er til gengæld med til at sikre, at træningen bliver så god, som overhovedet mulig.
Lad os vende tilbage til eksemplet. Hvis dataene viser, at ingen på holdet gennemfører kurserne, og den overordnede attitude ikke er ændret, skal ledelsen finde den underliggende årsag til dette. Har medarbejderne ikke tid? Synes de, det er unødvendigt at udvikle sig? Hvad er årsagen? Når du finder ud af dette, skal du gå til planstadiet og se, hvordan du kan gøre uddannelsen bedre og mere relevant for medarbejderne. Hvis de f.eks. Synes, at træningen er unødvendig og dum, er det måske nødvendigt med kommunikation om vigtigheden af informationssikkerhed. Det kan også være, at formatet af træningen ikke passer til organisationens situation. For nogle er e-learning måske vejen frem, hvor andre vil have mere gavn af fysiske foredrag.
Informationssikkerhed er en løbende proces
Plan-Do-Check-Act-cyklussen kan bruges på alle organisationsniveauer og til alle typer processer. Vi mener dog, at modellen er særlig nyttig, når det kommer til IT-sikkerhed. En organisation vil aldrig være 100% sikker eller umulig at hacke. IT-sikkerhed handler om at reducere sandsynligheden for at blive hacket og reducere risikoen for at lække persondata. Foranstaltningerne til forbedring af IT-sikkerhed er under konstant udvikling, men også de IT-kriminelles metoder. Hackere har altid forsøgt at finde nye metoder til at få det, de ønsker. Af denne grund skal enhver organisation bruge tankegangen Plan-Do-Check-Act, når det kommer til at vedligeholde informationssikkerhed, så man sikrer altid at være på forkant.
Desuden er cyklussen en del af ISO 27001-standarden, som er en international standard for styring af informationssikkerhed. Standarden har et krav om, at din organisation bruger en metode til løbende forbedring af din informationssikkerhedspolitik.
Denne blogpost vil ikke gå i dybden med ISO-standarderne, men at opnå ISO 27001 har flere fordele, såsom de signaler, du sender til klienterne og offentligheden om, at du er forpligtet til at styre informationssikkerheden i din virksomhed.
Hvad der måles kan ændres
Mange organisationer har gjort et godt stykke arbejde, når det kommer til at købe teknologi til informationssikkerhed, såsom antivirus, firewall og spamfiltre. Men før du købte antivirusprogrammet, vidste du faktisk, hvorfor du købte det, og hvilket formål programmet skulle opfylde? Var svarene baseret på en risikovurdering? Var ledelsen i din organisation enige om, hvordan man måler antivirusprogrammets succes?
Hvis din organisation oplever problemer, da de forsøgte at besvare disse typer spørgsmål, vil det også være svært at vurdere værdien af initiativet. Det betyder, at du ikke ved, om det er værd at bruge ressourcer på eller ej.
Din organisation skal have tiltag på plads for at kunne vurdere effektiviteten af de teknologier, der er investeret i. Det kan f.eks. gøres gennem KPI’er. En KPI vil dog kun være effektiv, hvis du handler, når du bemærker, at noget ikke lever op til den forventede plan. Her er cyklussen Plan-Do-Check-Act et nyttigt værktøj til periodisk at kontrollere dine KPI’er og evaluere, om der er ting, der bør ændres. Måske giver jeres dyre månedlige anti-virus-system ingen effekt, og der er et billigere produkt på markedet, som er værd at prøve i stedet. Måske er det slet ikke anti-virus, der er vejen frem.
Der er ingen ‘one-size-fits-all’-løsninger inden for IT-sikkerhed. En stor lufthavn har andre behov end en lille detailbutik. Når man bestemmer, hvilke praksis, kontroller og programmer der skal investeres i, skal beslutningerne altid være baseret på organisationens egen situation.
