Få Bedre IT-Sikkerhed Med Plan-Do-Check-Act Cyklussen (PDCA)

Plan-Do-Check-Act (PDCA) er en cyklus og forbedringsmodel, som din organisation kan bruge til at forbedre en kontinuerlig proces. Når man følger cyklussen, er ideen at undgå at lave gentagne fejl, opdage nye muligheder ved at evaluere og ved at skabe løbende forbedringer. Processen er iterativ, en tilgang der også er kendt indenfor f.eks. den agile ledelse og Design Thinking.

PDCA modellen lyder i sin enkelthed:

• Plan (What is needed)
• Do (It)
• Check - (That it works)
• Act - (To correct any problems or improve performance)

Mens modellen i sig selv er enkel, opnås det bedste resultat, når man arbejder med modellen med et langsigtet perspektiv, hvilket vil kræve engagement fra din organisations ledelse. 

Plan-do-check-act (PDCA) eksempel 

Hos CyberPilot mener vi at have løbende awareness processer for ens medarbejdere er et af de vigtigste forsvar i din organisations IT-sikkerhed. Det er ofte stærkere end enkelte tiltag, som man ikke genbesøger. For at give et eksempel på, hvordan PDCA og dens fire trin cyklus kan bruges, forestil dig, at din organisation netop har besluttet at gennemføre et træningsprogram for medarbejdere, som skal være en løbende proces. 

I vores PDCA-eksempel kan det overordnede mål være at skabe opmærksomhed blandt medarbejdere om informationssikkerhed. Et mål kan være, at flertallet af holdet gennemfører alle kurser. En KPI kan derfor være antallet af gennemførte kurser. Det kan også være, at KPI’en er, hvorvidt medarbejdere finder træningen sjov, hvilket sandsynligvis ville kræve en mere kvalitativ tilgang til måling. 

Næste skridt af Plan Do Check Act cyklussen er “Do” stadiet. Nu er det tid til at gennemføre planen. Du skal dog også være opmærksom og forberedt på nogle uforudsigelige problemer, der kan opstå. Hvis planen består af store organisatoriske ændringer, kan det være klogt at først teste planen i lille skala for at undgå forstyrrelser. Det er også vigtigt, at du husker at holde øje med dine KPI’er.

Nu sendes awareness-træningskurserne ud til medarbejderne i den rækkefølge og tempo, du havde bestemt i “plan” stadiet. Sørg for at behandle de relevante data over, hvor mange medarbejdere der gennemfører kurserne. Spørg evt. også medarbejdere om, hvordan de oplever at gennemføre kurserne. 

Næste stadie af PDCA-cyklussen er “check” stadiet. Ved at indsamle og analysere KPI’erne og dataene, vil det stå klart, om initiativerne har haft den ønskede effekt, eller om der er justeringer, der skal foretages. Dette gøres ved at sammenligne resultatet med det forventede resultat, der blev sat i planen. Dette er en vigtig del af cyklussen. 

I eksemplet kan ledelsen i din organisation analysere resultatet af KPI’en på, hvor mange kurser der er gennemført pr. medarbejder. De kan også overveje at se på antallet af sikkerhedsbrud i organisationen og sammenligne med, hvor mange de havde, før initiativet startede. Du kan også tale med kolleger for at undersøge, hvad de faktisk synes om træningen. Alle disse kontrolmetoder hjælper dig med at reflektere og evaluere planen ud fra, hvad målet var i starten. 

Sidste skridt af PDCA handler om “act”. Med resultaterne fra Do and Check forbedres processerne nu. I dette trin af PDCA, vil du derfor reagere på resultaterne og optimere processerne. Du bliver derefter nødt til at justere KPI’erne i overensstemmelse hermed og gå tilbage til planlægningsfasen efterfølgende. Ved at gentage cyklussen og forbedringsmodellen vil din organisation opleve en løbende forbedring. Et projekt som f.eks. awareness-træning bliver altså ikke plug and play, men et løbende projekt der hele tiden skal genbesøges. Det er til gengæld med til at sikre, at træningen bliver så god, som overhovedet mulig. 

Plan-Do-Check-Act-cyklussen kan bruges på alle organisationsniveauer og til alle typer processer. Vi mener dog, at PDCA-modellen er særlig nyttig, når det kommer til IT-sikkerhed. En organisation vil aldrig være 100% sikker eller umulig at hacke. IT-sikkerhed handler om at reducere sandsynligheden for at blive hacket og reducere risikoen for at lække persondata. Foranstaltningerne til forbedring af IT-sikkerhed er under konstant udvikling, men også de IT-kriminelles metoder. Hackere har altid forsøgt at finde nye metoder til at få det, de ønsker. Der er mange forskellige metoder, at IT-kriminelle kan phishe os på: Der er normal phishing, pharming, vishing, smishing, whaling, barrel phishing og spear phishing, bare for at nævne nogle stykker. Af denne grund skal enhver organisation bruge tankegangen Plan-Do-Check-Act (PDCA), når det kommer til at vedligeholde informationssikkerhed, så man sikrer altid at være på forkant. 

Denne blogpost vil ikke gå i dybden med ISO-standarderne, men at opnå ISO 27001 har flere fordele, såsom de signaler, du sender til klienterne og offentligheden om, at du er forpligtet til at styre informationssikkerheden i din virksomhed.

IT-sikkerheds frameworks kræver også konsekvent sikkerhedsarbejde

Desuden er cyklussen en del af ISO 27001-standarden, som er en international standard for styring af informationssikkerhed. Standarden har et krav om, at din organisation bruger en metode til løbende forbedring af din informationssikkerhedspolitik.

Denne blogpost vil ikke gå i dybden med ISO-standarderne, men at opnå ISO 27001 har flere fordele, såsom de signaler, du sender til klienterne og offentligheden om, at du er forpligtet til at styre informationssikkerheden i din virksomhed. Udover dette, så får forbedringer af sikkerhed via awareness-træning til dine medarbejdere dig tættere på compliance, samt andre forskellige IT-sikkerheds framework, inkluderende GDPR. 

Mange organisationer har gjort et godt stykke arbejde, når det kommer til at købe teknologi til informationssikkerhed, såsom antivirus, SIEM og log management systemer, firewalls og spamfiltre. Men før du købte antivirusprogrammet, vidste du faktisk, hvorfor du købte det, og hvilket formål programmet skulle opfylde? Var svarene baseret på en risikovurdering? Var ledelsen i din organisation enige om, hvordan man måler antivirusprogrammets succes? 

Hvis din organisation oplever problemer, når de forsøger at besvare disse typer spørgsmål, vil det også være svært at vurdere værdien af initiativet. Det betyder, at du ikke ved, om det er værd at bruge ressourcer på eller ej. 

Din organisation skal have tiltag på plads for at kunne vurdere effektiviteten af de teknologier, der er investeret i. Det kan f.eks. gøres gennem KPI’er. En KPI vil dog kun være effektiv, hvis du handler, når du bemærker, at noget ikke lever op til den forventede plan. Her er cyklussen Plan-Do-Check-Act et nyttigt værktøj. Som vist med PDCA-eksemplet, så er PDCA, et godt værktøj til at periodisk tjekke op på alle dine KPI’er. Måske giver jeres dyre månedlige anti-virus-system ingen effekt, og der er et billigere produkt på markedet, som er værd at prøve i stedet. Måske er det slet ikke anti-virus, der er vejen frem.

Husk at tilpasse sikkerhedsløsningerne til din organisation 

Der er ingen ‘one-size-fits-all’-løsninger inden for IT-sikkerhed. En stor lufthavn har andre behov end en lille detailbutik. Når man bestemmer, hvilke praksis, kontroller og programmer der skal investeres i, skal beslutningerne altid være baseret på organisationens egen situation. 

Hvis du gerne vil lære om, hvordan du sikrer, at din virksomhed overholder GDPR, så kan du læse om det her. 

Plan Do Check Act modellen er et brugbart værktøj, som du kan bruge til at lave IT-sikkerhedsmål og periodisk evaluere dine fremskridt. Du kan endda bruge PDCA cyklussen til at arbejde mod mål, som er udlagt i din IT-sikkerheds politik. IT-sikkerhed er en kontinuerlig proces som både IT-holdet og medarbejdere skal kontribuere til. At bruge en model, som PDCA-cyklussen kan hjælpe dig med at lave fremskridt mod dine egne IT-sikkerhedsmål.

Ofte stillede spørgsmål