Förbättra er informationssäkerhet med cykeln: Plan-Do-Check-Act (PDCA)

Agnes Norrman
By: Agnes Norrman Cybersäkerhet | 7 december

Det är inget nytt att organisationer behöver ha en bra säkerhet för information och IT. Om man inte har det, så kan man bland annat riskera att förlora kundernas förtroende. Men vad många har en tendens att glömma är att skapa en effektiv process för kontinuerlig utveckling och underhåll av sin informationssäkerhet. Cybersäkerhet är en dynamisk process och hoten från cyberkriminella förändras hela tiden. Den här artikeln går igenom cykeln Plan-Do-Check-Act, och använder den till att beskriva hur du kan skapa en effektivare informationssäkerhet.

Vad är Plan-Do-Check-Act modellen (PDCA)?

Plan-Do-Check-Act cykeln är en modell som din organisation kan använda för att förbättra en kontinuerlig process. Tanken med modellen är att man ska undvika att upprepa samma misstag igen och igen. Processen är iterativ, ett vanligt tillvägagångsätt i ett agilt ledarskap och inom ‘Design Thinking’. Modellens uppbyggnad är simpel, och enkel att förstå, utmaningen ligger i att använda den i ett långsiktigt perspektiv. Det kräver långvarigt engagemang från ledningen.

Hos oss på CyberPilot, tror vi på att det starkaste försvaret, för att skydda din verksamhetsinformation är din medvetna kollega. En medvetenhet som fås genom kontinuerlig utbildning. För att förklara PDCA modellen, så kan vi föreställa oss att din organisation precis beslutat sig för att införa ett utbildningsprogram.

Smart CTA_e-book SE

Plan (Planera)

Under den här fasen ska du identifiera ett problem som ska lösas, eller ett mål som ska uppnås. För att säkerställa att du når ditt önskande resultat, ska du i denna fas identifiera relevanta nyckeltal, så kallade Key Performance Indicators (KPI). Innan du går vidare till nästa fas se till att du och dina kollegor kan svara på följande frågor:

  • Vad är huvudproblemet som ska lösas?

  • Vilka resurser behöver vi för att lösa problemet?

  • Vad krävs för att planen ska lyckas?

I vårt exempel med ett utbildningsprogram, skulle det övergripande målet kunna vara att skapa medvetenhet bland kollegorna. Ett del-mål kan därför vara att majoriteten av de anställda ska genomföra de kurser de får tilldelat. Det gör att ett nyckeltal (KPI) kan vara antalet genomförda kurser. Men det skulle också kunna vara om kollegorna uppskattar utbildningen, men det kräver en mer kvalitativ kontrollmetod.

Do (Gör)

Nu är det dags att genomföra planen. Men du ska samtidigt vara uppmärksam och försöka förutse eventuella problem som kan uppstå. Om din plan innebär stora organisatoriska förändringar kan det vara smart att först testa planen i en mindre skala, för att undvika störningar. Här är det också viktigt att du håller koll på dina nyckeltal.

I denna fas, ges kurserna ut till de anställda, i en ordning och takt som bestämdes i Planerings-fasen. Se till att du fångar upp de relevanta uppgifterna om hur många anställda som genomför kurserna.

Check (Kolla)

Insamlingen av data och nyckeltal gör att det framgår tydligt om insatserna har haft önskad effekt eller om det finns justeringar som behöver göras. Det gör du genom att jämföra det faktiska resultatet från den förra fasen, med de förväntningar som bestämdes i planerings-fasen. Denna del är helt avgörande i cykeln.

I vårt exempel kan ledningen i din organisation analysera resultatet om hur många anställda som har genomfört en kurs. De kan också tänkas kolla antalet säkerhetsintrång verksamheten har haft sedan utbildningen startade, jämfört med hur det såg ut innan träningen. Ni skulle också kunna prata med kollegorna om hur de upplevt själva utbildningen. Alla dessa olika kontrollmetoder hjälper dig att reflektera och utvärdera din ursprungliga plan.

Act (Agera)

Med de kunskaper du fick från Do- och Check-fasen ska nu den övergripande processen förbättras. Under den här fasen tar du handling på ditt resultat och optimerar processen. Du anpassar dina nyckeltal efter din nya kunskap och återvänder sedan till cykelns planeringsfas. Genom att konstant upprepa denna process som cykeln skapar, kommer din organisation att uppleva en konstant förbättring.

För att knyta tillbaka till exemplet: om data visar att ingen av kollegorna har genomfört någon kurs, och den övergripande inställningen inte förändrats, borde ledningen hitta den underliggande orsaken till detta. Kan det vara att de anställda inte har haft tid? Anser de att utbildningen är onödig? Vad är själva huvudorsaken till resultaten. Efter att du har räknat ut vart problemet ligger, så ska du vända tillbaka till planeringsfasen och se hur du kan göra utbildningen bättre och mer relevant. Om dina kollegor tycker att utbildningen är onödig, så behöver du förmedla ett tydligt varför det är viktigt.

Informationssäkerhet är en kontinuerlig process

Plan-Do-Check-Act cykeln kan användas på alla organisationsnivåer, och för de allra flesta processer. Jag tror dock att denna modell är särskilt användbar när det kommer till jobbet inom IT-säkerhet. En organisation kommer aldrig att vara 100 % säker eller omöjlig att hacka. IT-säkerhet handlar för det mesta om att minska risken för att hackas. Åtgärder för att förbättra cybersäkerheten pågår hela tiden, men det gör också de cyberkriminellas ansträngningar, de har alltid hittat nya metoder för att vad de vill ha. Därför anser jag att alla verksamheter ska arbeta efter Plan-Do-Check-Act.

Dessutom är denna cykel en del av ISO 27001, som är en internationell standard för hur man hanterar informationssäkerhet. Standarden innehåller ett krav på hur organisationer ska använda en metod som kontinuerligt förbättrar deras informationssäkerhetspolicy. Denna artikel kommer inte förklara ISO-standarden på djupet, men kort sagt så kommer det med många konkurrensfördelar att efterleva ISO 27001. Som ett exempel så sänder det en signal till era kunder och allmänheten att ni är proaktiva när det kommer till informationssäkerhet.

Det vi känner till, kan vi ta handling på

Många verksamheter har gjort ett bra jobb med att anskaffa de tekniska delar som krävs för att förbättra IT-säkerhet, såsom antivirus, brandväggar och spamfilter. Men innan du köpte ett antivirusprogram, visste du varför du spendera pengar på det och hade det ett klart syfte som programmet skulle fylla. Var svaren besvarade på en riskanalys? Var ledningen överens om hur antivirusprogrammets framgång skulle mätas?

Om din organisation har svårt att besvara den här typen av frågor kommer ni också ha svårt att utvärdera resultatet, och därmed kan ni inte värdera om det var en lyckad investering eller inte.

Därför ska ni använda er av KPIer, som gör det möjligt att utvärdera effektiviteten hos de IT-säkerhetsprogram som ni har investerat i. Men kom ihåg att en KPI är bara effektiv om ni agerar att resultatet inte lever upp till det ni förväntade. Som vårt exempel i denna artikel har visat är Plan-Do-Check-Act cykeln ett praktiskt verktyg för återkommande uppföljning av KPIer.

Som avslutande ord kan vi tillföra att det inte finns några universallösningar för informationssäkerhet. En stor flygplats har andra behov än en liten butik. Det är alltid organisationens egen situation som bör avgöra vilka tillvägagångssätt, kontroller och program som ni ska investera i.

Smart CTA Risk SE