Het is algemeen bekend dat organisaties over een goede informatie- en cyberbeveiliging moeten beschikken. Is dit niet het geval, dan kan er een hele reeks negatieve gevolgen zich voordoen, zoals klanten die het vertrouwen in het bedrijf verliezen. Maar waar men meestal niet naar kijkt, is of er door organisaties een effectief proces is opgezet voor een voortdurende ontwikkeling en onderhoud van de informatiebeveiliging. Aangezien cybersecurity een dynamisch proces is en de dreigingen van cybercriminelen steeds veranderen, gaat deze blogpost over de PDCA cyclus (Plan Do Check Act) en hoe deze kan worden toegepast voor het opzetten van een effectievere informatiebeveiliging.
Luister naar onze podcast over Plan-Do-Check-Act
Wil je niet lezen? Luister dan naar onze podcastaflevering, waarin Anders en Rasmus de cyclus doorlopen.
Wat is een PDCA cyclus?
Een PDCA cyclus (ook wel Plan-Do-Check-Act cyclus of de kwaliteitscirkel van Deming genoemd) kan door jouw organisatie gebruikt worden voor het verbeteren van continue processen. Door de cyclus te volgen is het de bedoeling dat steeds herhaalde fouten worden vermeden. Het proces is iteratief, een gebruikelijke aanpak binnen het agile management en iets dat ook bekend is in domeinen als Design Thinking. En hoewel de cyclus eenvoudig is, kan het beste resultaat enkel bekomen worden als men met een langetermijnperspectief werkt, waar toewijding van het management noodzakelijk voor is.
Bij CyberPilot geloven we dat één van de sterkste verdedigingen voor de informatiebeveiliging van jouw organisatie het hebben van een continu bewustwordingsprogramma voor je teams is. Hieronder een voorbeeld om te laten zie hoe de 4 stappen in de PDCA cyclus kunnen worden gebruikt; stel dat je organisatie net heeft besloten om een awareness trainingsprogramma te implementeren.
Plan
In deze fase moet je een probleem identificeren of het doel formuleren dat je wil behalen. Om dit doel en andere targets te kunnen volgen, moet je alle relevante Key Performance Indicators (KPI = kritieke prestatie-indicatoren) identificeren.
Alvorens je doorgaat naar de volgende fase moet je er zeker van zijn dat iedereen in je team de volgende vragen kan beantwoorden:
-
Wat is het primaire probleem dat we gaan oplossen?
-
Welke middelen hebben we daarvoor nodig?
-
Wat gaat ervoor zorgen dat ons plan zal slagen?
In ons voorbeeld kan het algemene doel zijn om bewustwording bij het team te creëren over informatieveiligheid. Een van de targets kan zijn dat het merendeel van het team alle trainingsmodules moet hebben voltooid. Een KPI kan dan het aantal modules zijn dat voltooid is. Of we kunnen meten hoeveel het team genoten heeft van de training, maar dat zal hoogstwaarschijnlijk een meer kwalitatieve methode vergen om te achterhalen.
Do
Nu is het tijd om het plan uit te voeren. Echter moet je wel oplettend zijn en anticiperen op eventuele onvoorziene problemen die mogelijk kunnen optreden. Als het plan grote veranderingen binnen de organisatie betreft, dan is het verstandig om het plan eerst in het klein uit te voeren om zo enige verstoring en onrust te voorkomen. Het is daarnaast belangrijk dat je eraan denkt om de KPI’s op te volgen.
Hier worden de trainingsmodules uitgerold onder de werknemers, in de volgorde en het tempo die je in het Plan had bepaald. Zorg ervoor dat je de relevante gegevens bijhoudt over het aantal werknemers dat de modules voltooit.
Check
Door de KPI’s en data te verzamelen en te analyseren, krijg je duidelijkheid over of je initiatieven het gewenste effect hebben gehad en of er aanpassingen gemaakt moeten worden. Dit doe je door het resultaat te vergelijken met de gewenste uitkomst die in het Plan werd vastgelegd. Dit is een essentieel onderdeel van de cyclus.
In het voorbeeld kan het management in jouw organisatie de resultaten van de KPI’s analyseren en bekijken hoeveel voltooide modules er per werknemer zijn. Ze kunnen ook kijken naar het aantal beveiligingsinbreuken binnen de organisatie na het houden van de training en dit vergelijken met het aantal ervoor. Je kunt ook met collega’s praten over wat ze nu daadwerkelijk van de training vonden. Al deze checkmethodes helpen je met de reflectie en de evaluatie van je plan.
Act
Met de leerpunten uit Do en Check, zal het proces reeds verbeterd zijn. In dit stadium zal je handelen op basis van die resultaten en het proces optimaliseren. Nu moet je de KPI’s overeenkomstig aanpassen, en vervolgens terugkeren naar de Plan fase. Door de cyclus steeds opnieuw te doorlopen zal je bedrijf constante verbeteringen ervaren.
Terugkerend naar het voorbeeld, als de data laten zien dat niemand binnen het team de trainingsmodules weet te voltooien, en de algehele attitude niet veranderd is, moet het management de onderliggende reden hiervan opsporen. Hebben je medewerkers niet genoeg tijd? Vinden ze het niet nodig om de training te doen? Wat is nu de onderliggende oorzaak? Wanneer je de oorzaak vindt moet je terugkeren naar de Plan fase en bekijken hoe je de training beter en relevanter kunt maken voor je medewerkers. Als ze de training bijvoorbeeld niet nodig of stom vinden, dan is hetgeen wat je nodig hebt misschien een duidelijkere communicatie over het belang van informatiebeveiliging.
Informatiebeveiliging is een continu proces
De PDCA cyclus kan gebruikt worden op elk niveau binnen de organisatie en voor elk type proces. Echter vinden wij dat het model echt tot zijn recht komt binnen de cybersecurity. Een organisatie zal nooit 100% veilig of niet te hacken zijn. IT security draait erom de kans om gehackt te worden te verminderen. De mogelijkheden om IT security te verbeteren zijn constant in ontwikkeling, maar dat geldt ook voor de pogingen van cybercriminelen. Hackers hebben altijd nieuwe manieren gevonden om te krijgen wat ze willen. Omwille van dit feit zou elke organisatie gebruik moeten maken van de Plan Do Check Act mindset voor het beheren van de informatiebeveiliging.
Daarnaast maakt de PDCA cyclus deel uit van de ISO 27001 standaard, welke een internationale standaard is over hoe men informatiebeveiliging moet managen. Deze standaard heeft als vereiste dat de organisatie een methode gebruikt die zorgt voor de continue verbetering van het informatiebeveiligingsbeleid. Deze blogpost gaat niet verder in op de ISO-standaarden, maar het behalen van de ISO 27001 brengt meerdere voordelen met zich mee, zoals bijvoorbeeld wat je hiermee uitstraalt naar klanten en het algemene publiek; namelijk dat je zorgdraagt voor het beheer van informatiebeveiliging in jouw bedrijf.
Meten is weten, en dat wat je weet kan beter worden beheerd
Vele organisaties leveren goed werk als het op de aankoop van technische onderdelen aankomt voor het onderhoud van informatiebeveiliging; denk hierbij aan antivirus, firewalls en spamfilters. Echter, voordat je het antivirusprogramma had gekocht, wist je toen ook welke doelen het programma moest vervullen en hoe dit zou werken? Waren de antwoorden gebaseerd op een risicobeoordeling? Is het management in je organisatie akkoord gegaan over hoe men het succes van het antivirusprogramma moet beoordelen?
Als je organisatie moeite had met het beantwoorden van deze vragen, dan zal het ook moeilijk zijn om de waarde van het initiatief te meten. Dit betekent dat je niet kunt weten of het de moeite waard is of niet.
Je organisatie moet bepaalde maten hebben om effectief te kunnen beoordelen of de cybersecurity programma’s waarin men heeft geïnvesteerd ook werken, zoals bijvoorbeeld KPI’s. Echter, een KPI is alleen efficiënt als je actie onderneemt wanneer iets niet volgens het vooropgestelde plan loopt. Zoals we hebben laten zien in het voorbeeld is de PDCA cyclus een handig hulpmiddel voor het regelmatig beoordelen van je KPI’s.
Daarnaast is er geen one-size-fits-all oplossing binnen de informatiebeveiliging. Een grote luchthaven heeft andere behoeften dan een kleine winkel. Wanneer je beslist in welke acties, controles en programma’s moet worden geïnvesteerd, houd dan altijd rekening met de specifieke situatie in jouw organisatie.