De fleste bedrifter i dag vet at de må ha god IT-sikkerhet. Hvis ikke kan de risikere å bryte personvernsforordningen (GDPR), bøter, databrudd og tap av kundenes tillit. Mange bedrifter glemmer likevel å tenke over om de har etablert en god prosess for den løpende utviklingen og vedlikeholdelsen av IT-sikkerheten deres. IT-sikkerhet er en dynamisk prosess, og truslene fra cyberkriminelle er i stadig forandring. Vi vil derfor i dette blogginnlegget presentere Plan-Do-Check-Act-syklusen (PDCA), eller PUKK-hjulet, og hjelpe deg med å etablere en effektiv IT-sikkerhet som kommer truslene i forkjøpet.
Lytt til podcasten vår om Plan-Do-Check-Act
Vil du ikke lese? Da kan du lytte til podcastepisoden vår, der Anders og Rasmus går gjennom syklusen.
Hva er Plan-Do-Check-Act-modellen (PDCA)?
PDCA-sirkelen, eller PUKK-hjulet (Planlegg-Utfør-Kontroller-Korriger), er en modell som din bedrift kan bruke til å forbedre en kontinuerlig prosess. Hensikten med å følge modellen er at man unngår å gjøre de samme feilene på nytt. Prosessen er gjentagende – det er en velkjent tilnærming innen agile management og Design Thinking. Mens modellen er enkel, vil det beste resultatet oppnås når man jobber med modellen over en lengre periode. Det vil kreve engasjement fra ledelsen i din bedrift.
Eksempel på bruk av PDCA-modellen
Vi i CyberPilot mener at et kontinuerlig bevissthetsprogram for de ansatte er et av de beste forsvarene din bedrift kan ha innen IT-sikkerhet. For å illustrere hvordan PDCA-modellen kan brukes, vil vi ta utgangspunkt i et tenkt scenario: Forestill deg at din bedrift nettopp har bestemt seg for å innføre bevissthetstrening for de ansatte.
Plan - Planlegg og sett klare mål
Det første steget i PDCA er å identifisere et problem som skal løses eller et mål som skal nås. For å ha oversikt over målene må du identifisere alle de relevante Key Performance Indicators (KPIs). En KPI eller nøkkeltallsindikator er et nøkkeltall man bruker til å evaluere måloppnåelse.
Før du går videre til neste steg, må du sørge for at alle på teamet ditt kan svare på følgende spørsmål:
- Hva er hovedproblemet vi skal løse?
- Hvilke ressurser trengs?
- Hva vil gjøre planen vellykket?
I vårt PDCA-eksempel kan det overordnete målet være å gjøre teamet bevisst om IT-sikkerhet. Et delmål kan være at majoriteten av teamet gjennomfører alle treningskursene. En KPI kan derfor være antall gjennomførte kurs. Et annet delmål kan være at de ansatte trives med treningen, hvilket nok krever en mer kvalitativ evalueringsmetode.
Do - Utfør planen
Det neste steget i PDCA-syklusen går ut på at du utfører planen. Her bør du regne med at det kan oppstå noen uforutsette problemer. Hvis planen innebærer store organisatoriske endringer, kan det være smart å teste planen i mindre skala først. Det er også viktig at du husker å holde øye med dine KPI-er.
I vårt eksempel blir nå bevissthetskursene sendt ut til dine ansatte i den rekkefølgen og i det tempoet som du bestemte i planleggingsstadiet. Sørg for at du innhenter den relevante dataen over hvor mange ansatte som gjennomfører kursene.
Check – Kontroller resultatene
Det neste steget i PDCA er kontrolleringsstadiet. Ved å innhente og analysere KPI-ene og dataene vil det bli tydelig om initiativene hadde den ønskete effekten eller om det må gjøres noen justeringer. Dette gjøres ved å sammenligne resultatet med det forventete utfallet som ble bestemt i planleggingsfasen. Dette er en viktig del av syklusen.
I eksempelet vårt kan ledelsen i din bedrift analysere resultatene av KPI-en om hvor mange kurs som har blitt gjennomført per ansatt. De kan også vurdere å se på antallet sikkerhetsbrudd i bedriften etter at kursene ble innført og sammenligne det med antall sikkerhetsbrudd før initiativet startet. Du kan også snakke med kollegaer om hva de egentlig mener om treningen. Alle disse evalueringsmetodene hjelper deg med å reflektere over og evaluere planen.
Act – Korriger planen
Prosessene skal nå forbedres basert på resultatene fra utførings- og kontrolleringsfasen. På dette stadiet av PDCA responderer du på resultatene og optimerer prosessene. Du justerer deretter KPI-ene tilsvarende og returnerer til planleggingsfasen. Ved å repetere syklusen, vil din bedrift oppleve konstant forbedring.
La oss vende tilbake til eksempelet. Hvis dataene viser at ingen på teamet gjennomfører kursene og den overordnete holdningen ikke har endret seg, burde bestyrelsen finne den underliggende grunnen til dette. Har ikke de ansatte tid? Tenker de at det er unødvendig å gjennomføre treningen? Hva er roten til det problemet? Når du finner ut av dette burde du gå til planleggingsstadiet og se hvordan du kan gjøre treningen bedre og mer relevant for de ansatte. Hvis de f.eks. mener at treningen er unødvendig og dum, er det kanskje behov for kommunikasjon rundt viktigheten av IT-sikkerhet.
IT-sikkerhet er en løpende prosess
Plan-Do-Check-Act-modellen kan brukes på alle organisatoriske nivåer og for alle slags prosesser. Vi mener likevel at modellen er spesielt nyttig når det gjelder IT-sikkerhet. En organisasjon vil aldri være 100% sikker eller umulig å hacke. IT-sikkerhet handler altså om å redusere sannsynligheten for å bli hacket. Tiltakene for å forbedre IT-sikkerhet er under konstant utvikling, men det samme gjelder innsatsen til de cyberkriminelle. Hackere har alltid prøvd å finne nye metoder for å oppnå det de vil på - bare tenk på hvor mange forskjellige måter cyberkriminelle kan phiske oss på: det finnes vanlig phishing, pharming, vishing, smishing, whaling, barrel phishing, og spear phishing, for å nevne noen. Derfor burde alle bedrifter bruke Plan-Do-Check-Act-modellen for å vedlikeholde IT-sikkerheten.
Rammeverk for IT-sikkerhet krever også kontinuerlig sikkerhetsarbeid
PDCA-syklusen er også en del av ISO 27001 standarden, som er en internasjonal standard for hvordan å håndtere IT-sikkerhet. Standarden krever at din bedrift bruker en metode for kontinuerlig forbedring i deres IT-sikkerhetsarbeid. Dette blogginnlegget vil ikke gå i dybden på ISO-standarder, men det å oppnå ISO 27001 kommer med mange fordeler, slik som å signalisere til dine kunder og offentligheten at du tar IT-sikkerhet på alvor. Å bruke bevissthetstrening til å forbedre sikkerheten får deg i tillegg nærmere compliance med mange andre rammeverk for IT-sikkerhet, slik som personvernforordningen (GDPR).
Det som måles kan evalueres
Mange bedrifter har gjort en god jobb med å kjøpe den tekniske delen av IT-sikkerhet, slik som antivirusprogrammer, SIEM og log management, brannmurer og spamfiltre. Men, visste du egentlig før du kjøpte antivirusprogrammet hvorfor du kjøpte det og hvilket formål det skulle tjene? Var svarene basert på en risikoanalyse? Var bedriftens ledelse enige om hvordan å måle programmets suksess?
Hvis din bedrift sliter med å svare på slike spørsmål, vil det også være vanskelig å avgjøre verdien til initiativet. Det betyr at du ikke får vite om det er verdt å fortsette med eller ikke.
Bedriften din må ha noen måter å måle effektiviteten til IT-sikkerhetsprogrammene dere investerer i på – f.eks. ved å bruke KPI-er. Men, en KPI vil kun være vellykket hvis du handler når du ser at noe ikke lever opp til planen. Som PDCA-eksempelet viste, er PDCA et nyttig verktøy for å regelmessig kontrollere dine KPI-er.
Husk å tilpasse sikkerhetsløsningene til din bedrift
Det er ingen “one-size-fits-all"-løsninger innen IT-sikkerhet. En stor flyplass har andre behov enn en liten detaljhandel. Når du avgjør hvilke praksiser, kontroller og programmer du burde investere i, bør valgene alltid være basert på din bedrifts egne situasjon.
Plan-Do-Check-Act-modellen er et nyttig verktøy som du kan bruke til å sette mål for IT-sikkerhet og jevnlig evaluere fremgangen. Du kan også bruke PDCA-syklusen til å jobbe mot målene i deres IT-sikkerhetspolitikk. IT-sikkerhet er en kontinuerlig prosess hvor både IT-teamet og andre ansatte må bidra. Ved å bruke en modell som PDCA-syklusen sikrer du deg at du hele tiden gjør fremgang og nærmer deg dine IT-sikkerhetsmål.
