Få Bedre IT-Sikkerhet Med Plan-Do-Check-Act (PDCA)

Agnes Norrman
By: Agnes Norrman Cybersikkerhet | 13 desember

I dag vet de fleste at organisasjoner må ha god informasjons- og cybersikkerhet; dersom ikke vil det kunne gi en rekke konsekvenser, som f.eks. tap av tillit hos kundene. Med det som normalt sett ikke tas med i beregningen er hvorvidt organisasjonene har etablert en effektiv prosess for den pågående utviklingen og vedlikeholdet av informasjonssikkerheten sin. Siden cybersikkerhet er en dynamisk prosess, og truslene fra cyberkriminelle stadig er i endring, vil dette blogginnlegget legge frem «Plan-Do-Check-Act»-syklusen for informasjonssikkerhet, og hjelpe deg med å etablere en mer effektiv informasjonssikkerhetssyklus.

Hva er “Plan-Do-Check-Act”(PDCA)- syklusen?

“Plan-Do-Check-Act”- syklusen er en modell som organisasjonen din kan bruke for å forbedre en kontinuerlig prosess. Når syklusen blir fulgt er hensikten å unngå repeterende feil. Prosessen er iterativ, en vanlig tilnærmelse innen smidige(agile) arbeidsprosesser, som er en vanlig arbeidsmetode brukt innenfor blant annet designtenkning. Modellen er enkel, og de beste resultatene oppnås når man jobber med den over en lenger periode, noe som vil kreve engasjement og tålmodighet fra ledelsen. 

Les mer: Hvordan sikre at bedriften din er GDPR compliant

Hos CyberPilot mener vi at det å ha bevissthetsprogram kontinuerlig for teams er en av de beste måtene for å forsterke en organisasjons informasjonssikkerhet. Nå skal jeg gi deg et eksempel på hvordan PDCA syklusen kan brukes. Først vil jeg at du skal se for deg at organisasjonen din nettopp har bestemt seg for å iverksette et treningsprogram for å forbedre informasjonssikkerheten.

Smart CTA_e-book NO

Plan (Planlegge)

På det første trinnet identifiserer du problemet som skal løses, eller et mål som du vil nå. For å spore målene og delmålene, må du identifisere alle de relevante ytelsesfaktorene (KPI). 

Før du går videre til neste trinn bør du forsikre deg om at alle på teamet ditt kan svare på følgende spørsmål:

  • Hva er hovedproblemet vi vil løse?

  • Hvilke ressurser trenger vi?

  • Hvilke faktorer gjør at planen vil lykkes?

I eksempelet vårt kan det hovedmålet målet være å skape bevissthet blant teammedlemmene om informasjonssikkerhet. Et delmål kan være at majoriteten av teamet skal fullføre alle kursene. En ytelsesfaktor (KPI) kan derfor være antall fullførte kurs. Det kan også være om teammedlemmene liker bevisthetstreningen, noe som antageligvis krever en mer kvalitativ metode for å bedømme.

Do (Utføre)

Nå er det på tide på å utføre planen. Men som ved de fleste planer må du forvente at det vil oppstå uventede hindringer og avvik. Hvis du skal gjennomføre store forandringer i organisasjonen vil det være lurt å teste forandringene i en liten del av organisasjonen for å unngå unødvendig oppstyr. Det er også viktig å følge med på ytelsesfaktorene dine.

I dette steget av syklusen blir bevisthetstreningskurs gitt ut til ansatte i den rekkefølgen du bestemte deg for i planleggingen. Her er det viktig å samle data om hvor mange av de ansatte som fullfører kursene.

Check (Kontrollere)

Ved å samle inn data for ytelsesfaktorene (KPI) og analysere de vil det være enklere å følge med på hvilke tiltak som har gitt ønsket effekt, eller om man trenger å gjøre noe annerledes. Dette oppdager man ved å sammenlikne oppnådd resultat med ønsket resultat.

I eksempelet vårt vil ledelsen i organisasjonen kunne analysere resultatet av ytelsesfaktorene om hvor mange kurs som har blitt fullført av hver ansatt. De kan også vurdere antall sikkerhetsbrudd før og etter kursene ble innført. De kan også snakke med de ansatte for å finne ut hva de synes om tiltakene og bevisthetstreningen. Ved å hele tiden følge med på ytelsesfaktorene vil gjøre det enklere å senere vurdere hovedplanen.

Act (Korrigere)

Etter å ha gjennomført stegene i Do(gjennomføre) og Check(kontrollere) vil prosessen være forbedret. I dette steget vil du se på hvordan det har gitt resultater og optimalisere prosessen enda mer. Du vil deretter gå tilbake til planleggingsstadiet og justere ytelsesfaktorene basert på erfaringer fra syklusen. Ved å repetere syklusen vil organisasjonen din oppleve forbedringer kontinuerlig.

Men tilbake til eksempelet, hva om det viser seg at ingen av de ansatte fullfører kursene og holdningene er uendret? Da blir det ledelsen sin jobb å finne de underliggende årsakene til dette. Synes de ansatte kursene er unødvendige? Eller er det andre årsaker til at de ikke gjør kursene? Når du finner ut av dette bør du gå tilbake til planleggingsstadiet og se hvordan du kan gjøre treningen bedre og mer relevant for de ansatte. Hvis de ansatte synes det er kjedelig og unødvendig må det kanskje kommuniseres bedre om hvorfor informasjonssikkerhet er så viktig for organisasjonen.

Informasjonssikkerhet er en pågående prosess

“Plan-Do-Check-Act”- syklusen kan brukes på alle nivåer i en organisasjon, og for alle typer prosesser. Vi mener at denne PDCA syklusen er spesielt viktig når det kommer til cyber sikkerhet. En organisasjon vil aldri være 100% sikker og umulig å hacke. Cyber sikkerhet handler om å redusere risikoen for å bli hacket. Tiltakene for å forbedre cyber sikkerhet blir hele tiden forbedret, samtidig som cyberkriminelle finner nye metoder. Det er derfor viktig at organisasjoner bruker PDCA syklusen for å opprettholde god informasjonssikkerhet.

Videre er syklusen en del av «ISO 27001»-standarden, som er en internasjonal standard for hvordan man skal håndtere informasjonssikkerhet. Standarden har et krav om at organisasjoner bruker en metode for kontinuerlig forbedring i organisasjoners retningslinjer for informasjonssikkerhet. Dette blogginnlegget vil ikke gå i dybden på ISO-standardene, men det er knyttet flere fordeler ved å oppnå ISO 27001 standarden. Det vil sende et signal til kunder og til offentligheten at din organisasjon forstår forpliktelsene ved å opprettholde god informasjonssikkerhet.

Hva er hensikten bak tiltakene til organisasjonen din?

Mange organisasjoner er flinke til å kjøpe gode programmer for å kunne opprettholde god informasjonssikkerhet, for eksempel antivirus, brannmurer og spam filtere. Men vet disse organisasjonene hvorfor de kjøpte disse programmene, og hva som er meningen med dem? Er svaret at valget var basert på risikovurderinger? Har ledelsen i organisasjonen en plan for hvordan å følge med på hvor bra programmene fungerer?

Dersom organisasjonen din har problemer med å svare på denne typen spørsmål, vil det også være vanskelig å vurdere hvor godt disse programmene fungerer. Dette betyr at det er vanskelig å vurdere om disse tiltakene var nødvendige eller ikke.

Det er viktig at det er gode rutiner for å følge med på hvor bra man gjør det innenfor de forskjellige ytelsesfaktorene (KPI). Det er gjennom disse målingene man kan se effekten til de forskjellige cyber sikkerhetsprogrammene. Samtidig vil ytelsesfaktorene (KPI) bare være hjelpsomme hvis du bruker de til å fange opp avvik fra hovedplanen. Som beskrevet i eksempelet er bruk av PDCA syklusen gunstig for å jevnlig sjekke progresjonen til ytelsesfaktorene (KPI).

Til slutt vil jeg slutte med å si at det ikke finnes en «one-size-fits-all» løsning for informasjonssikkerhet. Størrelsen på organisasjonen din har mye å si, en stor flyplass har andre behov enn en liten klesbutikk. Så når man skal bestemme seg for hvilke programmer man skal investere i burde avgjørelsen være basert på organisasjonens sin egen situasjon.

Smart CTA Risk NO