Stärkere Cyber-Sicherheit Mit Dem Plan-Do-Act-Check-Zyklus (PDCA)

Agnes Norrman
By: Agnes Norrman DSGVO,IT-Sicherheit | 2 Dezember

Es ist ins Allgemeinwissen übergegangen, dass Unternehmen Informations– und Cyber-Sicherheit ernst nehmen müssen. Wenn die Wichtigkeit jedoch nicht erkannt wird, können negative Konsequenzen eintreten, wie zum Beispiel verlorenes Kundenvertrauen. Eine Frage, die normalerweise übergangen wird, ist die, ob effektive Prozesse für die Entwicklung und Wartung der Cyber-Sicherheitssysteme in Verwendung sind. Dieser Blogpost stellt den PDCA- Zyklus vor, mit dem man, angesichts des Fakts, dass die Cyber–Sicherheit ein dynamischer Prozess ist und Cyberkriminelle ihre Herangehensweise ständig ändern, eine effektivere Informationssicherheit etablieren kann.

Was ist der PDCA-Zyklus(‚Plan-Do-Check-Act‘ oder ‚planen-machen-überprüfen-ausführen‘)?

Der Plan-Do-Check-Act-Zyklus ist ein Modell, mit dem Ihr Unternehmen fortlaufende Prozesse verbessern kann. Die Idee ist es, häufig vorkommende Fehler zu vermeiden, indem man dem Zyklus folgt. Der Prozess ist iterativ, was im agilen Management einen gängigen Ansatz darstellt und auch aus Bereichen wie dem Design Thinking bekannt ist. Trotz der Einfachheit des Modells erzielt man die besten Ergebnisse, wenn man in einer langfristigen Perspektive arbeitet. Dies erfordert Engagement vom Management.  

Bei CyberPilot denken wir, dass ein kontinuierliches Programm zur Awareness-Besserung eine der besten Maßnahmen ist, die Sie zur Verteidigung Ihrer Cyber-Sicherheit ergreifen können. Um die Anwendung des 4-Schritte-Zyklus zu veranschaulichen, denken wir uns ein Beispiel aus: Sie können sich vorstellen, dass Ihr Unternehmen sich entschieden hat, so eine Schulung der Mitarbeiter*innen durchzuführen.  

Smart CTA_e-book DE

Plan (planen)

In der ersten Phase identifizieren Sie ein Problem oder ein Ziel, das es zu lösen gilt. Um die Ziele und Targets zu verfolgen, müssen alle relevanten Key Performance Indikatoren (KPI) ermittelt werden.

Bevor Sie in die nächste Phase übergehen, vergewissern Sie sich, dass jede*r in Ihrem Team die folgenden Fragen beantworten kann: 

  • Was ist das Hauptproblem, das Sie angehen?

  • Welche Ressourcen werden gebraucht?

  • Wie führt man den Plan erfolgreich durch?

In unserem PDAC-Zyklus Beispiel ist das übergeordnete Ziel, das Team im Bereich Informationssicherheit weiterzubilden. Eines der Ziele ist es, dass die Mehrheit des Teams alle Kurse  dazu durcharbeitet. Ein KPI kann daher die Anzahl der abgeschlossenen Kurse sein. Als anderes Ziel könnte man nennen, dass die Kurse dem Team Spaß machen. Um dies zu überprüfen wäre eine qualitativere Methode nötig 

Do (machen)

Jetzt ist es an der Zeit, den Plan auszuführen. Sie sollten jedoch auch wachsam sein und versuchen mögliche Probleme zu antizipieren. Wenn geplant ist, große Änderungen im ganzen Unternehmen durchzuführen, kann es ratsam sein, den Plan zunächst im kleinen Ausmaß zu testen, um Probleme zu vermeiden. Es ist auch wichtig, dass Sie daran denken, Ihre KPIs zu verfolgen. 

Jetzt werden den Mitarbeiter*innen die Awareness-Kurse angeboten, in der Reihenfolge und dem Tempo, die Sie in der vorherigen Phase festgelegt haben. Achten Sie darauf, dass die relevanten Daten darüber, wie viele Mitarbeiter*innen die Kurse absolvieren, gespeichert werden. 

Check (überprüfen)

Dadurch die KPIs und die Daten zu sammeln und zu bearbeiten, wird klar, ob die Initiativen die gewünschte Wirkung gezeigt haben oder ob Anpassungen vorgenommen werden müssen. Hierzu vergleicht man die tatsächlich erreichten Ergebnisse mit den im Plan genannten Zielen. Dies ist ein wichtiger Teil des Zyklus.  

In dem von uns gewählten Beispiel kann das Management Ihres Unternehmens das Ergebnis der KPIs analysieren, also wie viele Kurse pro Mitarbeiter*in absolviert wurden. Sie können sich auch die Anzahl der Sicherheitsverletzungen im Unternehmen nach der Einführung der Kurse ansehen und sie mit der Anzahl vergleichen, die Sie vor Beginn der Initiative hatten. Oder Sie könnten die Mitarbeiter*innen fragen, wie sie die Schulung fanden. Alle diese Prüfmethoden helfen Ihnen, über den Plan nachzudenken und ihn zu bewerten. 

Act (ausführen)

Mit dem, was man aus Do und Check gelernt hat, verbessert man nun die Prozesse. In dieser Phase reagieren Sie auf die Ergebnisse und optimieren mögliche Problembereiche. Sie müssen dann die KPIs entsprechend anpassen und danach zur Planungsphase zurückkehren. Durch die Wiederholung des Zyklus verbessert sich Ihr Unternehmen fortwährend.  

Um zurück zum Beispiel zu gehen: Wenn die Daten zeigen, dass niemand im Team die Kurse abschließt und sich im Allgemeinen nichts an der Denkweise der Mitarbeiter*innen geändert hat, sollte das Management den Grund dafür finden. Haben die Mitarbeiter*innen keine Zeit? Halten sie es für unnötig, sich der Schulung zu unterziehen? Wie kommt das? Wenn Sie dies herausgefunden haben, sollten Sie zur Planungsphase übergehen und überlegen, wie Sie die Schulung besser und relevanter für Ihre Mitarbeiter*innen gestalten können. Wenn diese beispielsweise die Schulung für unnötig und blöd halten, dann ist vielleicht Kommunikation über die Bedeutung der Informationssicherheit erforderlich. 

Informationssicherheit ist ein kontinuierlicher Prozess

Der PDCA-Zyklus kann auf allen Ebenen des Unternehmens und für alle Arten von Prozessen eingesetzt werden. Wir glauben jedoch, dass das Modell besonders für die Cybersicherheit nützlich ist. Ein Unternehmen kann niemals 100 % sicher oder vor Hacks oder Datenpannen geschützt sein. Bei der Cybersicherheit geht es darum, die Wahrscheinlichkeit von Hackerangriffen zu verringern. Die Maßnahmen zur Verbesserung der Cybersicherheit werden immer wieder weiterentwickelt, aber auch Cyberkriminelle sind ständig auf der Suche nach neuen Angriffsmöglichkeiten. Hacker haben schon immer versucht, neue Methoden zu finden, um das zu bekommen, was sie wollen. Aus diesem Grund sollte jedes Unternehmen bei der Auf rechterhaltung der Informationssicherheit den PDCA-Kreislauf verwenden. 

Darüber hinaus ist der Zyklus Teil des ISO-27001-Standards, einem internationalen Standard für das Informationssicherheitsmanagement. Gemäß dem Standard wird verlangt, dass Unternehmen eine Methode zur kontinuierlichen Verbesserung der Informationssicherheitsrichtlinie haben. In diesem Blogpost werden wir nicht weiter auf dieses Thema eingehen, aber mit dem ISO-27001-Standard in Übereinstimmung zu sein, bringt mehrere Vorteile mit sich, z. B. das Sie Ihren Kunden*innen und der breiteren Öffentlichkeit ein klares Signal geben, dass die Informationssicherheit bei Ihnen einen hohen Stellenwert hat. 

Nur was gemessen wird, wird auch gut verwaltet

Viele Unternehmen leisten gute Arbeit, wenn es darum geht, technische Komponenten für die Informationssicherheit zu kaufen, wie beispielsweise Antiviren, Firewall und Spam-Filter. Wissen Sie jedoch vor dem Kauf eines Antivirenprogramms eigentlich, warum Sie es gekauft haben und welchen Zweck das Programm erfüllen soll? Basieren die Antworten auf einer Risikobewertung? War sich das Management in Ihrem Unternehmen einig, wie der Erfolg des Antivirenprogramms zu messen ist? 

Wenn Ihr Unternehmen schon im Voraus solche Fragen nicht ausreichend beantwortet hat, wird es ebenfalls schwierig sein, im Nachhinein einzuschätzen, wie gut die Initiative war. Dies bedeutet auch, dass Sie nicht wissen, ob es sich lohnt, weiterzumachen oder nicht.  

Ihr Unternehmen muss bestimmte Maßnahmen etablieren, mit denen die Wirksamkeit der Cyber-Sicherheitsprogramme, in die investiert wurde, wie beispielsweise KPIs, bewertet werden können. Ein KPI ist jedoch nur dann effizient, wenn Sie, falls etwas nicht dem beabsichtigten Plan entspricht, in Aktion treten. Wie am Beispiel gezeigt, ist der PDCA-Zyklus ein hilfreiches Werkzeug, mit dem Ihre KPIs regelmäßig überprüft werden können. 

Überdies gibt es in der Informationssicherheit kein Mittel, das immer funktioniert und in allen Arten von Unternehmen anwendbar ist. Ein großer Flughafen hat andere Bedürfnisse als ein kleines Einzelhandelsgeschäft. Bei der Festlegung, in welche Praktiken, Kontrollen und Programme investiert werden sollte, muss man sich immer an den Parametern des eigenen Unternehmens orientieren. 

 
Smart CTA Risk DE