Det är inget nytt att organisationer behöver ha en stark information och IT-säkerhet. Om man inte har det kan man bland annat riskera konsekvenser såsom GDPR-överträdelser, böter, dataintrång och att förlora kundernas förtroende. Men vad som sällan tas i åtanke är huruvida organisationer har en effektiv process för kontinuerlig utveckling och underhåll av sin informationssäkerhet. Cybersäkerhet är en dynamisk process och hoten från cyberkriminella förändras hela tiden. Det här blogginlägget går igenom Plan-Do-Check-Act cykeln (PDCA cykeln), och hur du kan använda den för att skapa en effektivare informationssäkerhet.
Lyssna på vår podcast om Plan-Do-Check-Act
Vill du inte läsa? Lyssna då på vårt poddavsnitt, där Anders och Rasmus går igenom cykeln.
Vad är Plan-Do-Check-Act modellen (PDCA modellen)?
Plan-Do-Check-Act cykeln är en modell som din organisation kan använda för att förbättra en kontinuerlig process. Tanken med modellen är att man ska undvika att upprepa samma misstag om och om igen. Processen är iterativ, ett vanligt tillvägagångsätt inom agil ledning och ‘Design Thinking’. Modellens uppbyggnad är simpel och enkel att förstå, utmaningen ligger i att använda den i ett långsiktigt perspektiv, då detta kräver långvarigt engagemang från ledningen.
Ett beskrivande exempel av PDCA cykeln
Hos oss på CyberPilot tror vi att det starkaste försvaret för att skydda din verksamhetsinformation är att ha ett pågående medvetenhetsprogram för anställda. För att få en bild av hur PDCA modellen kan fungera, kan vi använda oss av följande exempel av PDCA cykeln: Föreställ dig att din organisation precis beslutat sig för att införa ett utbildningsprogram för medvetenhet.
Plan (Planera)
Under den här fasen av PDCA modellen ska du identifiera ett problem som ska lösas, eller ett mål som ska uppnås. För att säkerställa att du når ditt önskande resultat, ska du här identifiera relevanta nyckeltal, så kallade Key Performance Indicators (KPIs).
Innan du går vidare till nästa fas, se till att du och dina kollegor kan svara på följande frågor:
-
Vad är huvudproblemet som ska lösas?
-
Vilka resurser behöver vi för att lösa problemet?
-
Vad krävs för att planen ska lyckas?
I vårt PDCA exempel med ett utbildningsprogram, skulle det övergripande målet kunna vara att skapa medvetenhet om IT-säkerhet bland kollegorna. Ett del-mål kan därför vara att majoriteten av de anställda genomför alla de kurser de blir tilldelade. Det gör att ett nyckeltal (KPI) kan vara antalet genomförda kurser. Men ett nyckeltal skulle också kunna vara om kollegorna uppskattar utbildningen, vilket skulle kräva en mer kvalitativ kontrollmetod.
Do (Gör)
Nästa steg i PDCA cykeln går ut på att du genomför planen. Men du ska samtidigt vara uppmärksam och försöka förutse eventuella problem som kan uppstå. Om din plan innebär stora organisatoriska förändringar kan det vara smart att först testa planen i en mindre skala, för att undvika störningar. Här är det också viktigt att du håller koll på dina nyckeltal.
I denna fas ges kurserna ut till de anställda i den ordning och takt som bestämdes i Planerings-fasen. Se även till att du fångar upp relevanta uppgifter om hur många anställda som genomför kurserna.
Check (Kolla)
Nästa fas av PDCA modellen är kontrollen. Insamlingen av data och nyckeltal gör att det framgår tydligt om insatserna har haft önskad effekt eller om det finns justeringar som behöver göras. Kontrollen går därmed ut på att jämföra det faktiska resultatet från den förra fasen, med de förväntningar som bestämdes i planerings-fasen. Denna del är helt avgörande i cykeln.
I vårt exempel kan ledningen i din organisation analysera resultatet om hur många anställda som har genomfört en kurs. De kan också tänkas kolla antalet säkerhetsintrång verksamheten har haft sedan utbildningen startade, jämfört med hur det såg ut innan träningen. Ni skulle också kunna prata med medarbetarna om hur de upplevt själva utbildningen. Alla dessa olika kontrollmetoder hjälper dig att reflektera och utvärdera din ursprungliga plan.
Act (Agera)
Med de kunskaper du fick från Do- och Check-faserna ska nu den övergripande processen förbättras. Under den här fasen av PDCA cykeln tar du handling på ditt resultat och optimerar processen. Du anpassar dina nyckeltal efter din nya kunskap och återvänder sedan till cykelns planeringsfas. Genom att konstant upprepa denna process som cykeln skapar, kommer din organisation att uppleva en konstant förbättring.
För att knyta tillbaka till exemplet: om data visar att ingen av kollegorna har genomfört någon kurs, och den övergripande inställningen inte förändrats, borde ledningen hitta den underliggande orsaken till detta. Kan det vara att de anställda inte har haft tid? Anser de att utbildningen är onödig? Vad är själva huvudorsaken till resultaten. Efter att du har räknat ut vart problemet ligger, så ska du åtgergå till planeringsfasen och se hur du kan göra utbildningen bättre och mer relevant. Om dina kollegor tycker att utbildningen är onödig, behöver du tydligt förmedla varför det är viktigt.
Informationssäkerhet är en kontinuerlig process
Plan-Do-Check-Act cykeln kan användas på alla organisationsnivåer, och för de allra flesta typer av processer. Jag tror dock att denna modell är särskilt användbar när det kommer till arbetet med IT-säkerhet. En organisation kommer aldrig att vara 100 % säker eller omöjlig att hacka. IT-säkerhet handlar för det mesta om att minska risken för att hackas. Åtgärder för att förbättra cybersäkerheten pågår hela tiden, men det gör också de cyberkriminellas ansträngningar, de hittar alltid nya metoder för att få vad de vill ha. För att illustrera detta, tänk bara på hur många olika sätt cyberbrottslingar kan använda nätfiske mot oss: det finns vanligt nätfiske, men även pharming, vishing, smishing, whaling, barrel phishing och spear phishing, bara för att nämna några. Av denna anledning bör alla verksamheter arbeta med Plan-Do-Check-Act modellen för att säkerställa en starkare IT-säkerhet.
Ramverk för IT-säkerhet kräver kontinuerligt säkerhetsarbete
Dessutom är PDCA cykeln en del av ISO 27001, som är en internationell standard för hur man hanterar informationssäkerhet. Standarden innehåller ett krav på hur organisationer ska använda en metod som kontinuerligt förbättrar deras informationssäkerhetspolicy. Denna artikel kommer inte förklara ISO-standarden på djupet, men kort sagt finns det många konkurrensfördelar med att efterleva ISO 27001. Till exempel sänder det en signal till era kunder och allmänheten att ni är proaktiva när det kommer till informationssäkerhet. Genom att göra säkerhetsförbättringar genom medvetenhetsträning kommer du dessutom närmare efterlevnaden av flera andra ramverk för cybersäkerhet, däribland GDPR.
Det vi känner till, kan vi ta handling på
Många verksamheter har gjort ett bra jobb med att anskaffa de tekniska delar som krävs för att förbättra IT-säkerhet, såsom antivirus, SIEM och logghanteringssystem, brandväggar och spamfilter. Men innan du köpte ett antivirusprogram, visste du varför du spenderar pengar på det och hade det ett klart syfte som programmet skulle fylla. Var svaren besvarade på en riskanalys? Var ledningen överens om hur antivirusprogrammets framgång skulle mätas?
Om din organisation har svårt att besvara den här typen av frågor kommer ni också ha svårt att utvärdera resultatet, och därmed kan ni inte utvärdera om det var en lyckad investering eller inte.
Därför ska ni använda er av KPIer, som gör det möjligt att utvärdera effektiviteten hos de IT-säkerhetsprogram som ni har investerat i. Men kom ihåg att en KPI bara är effektiv om ni tar till åtgärder när resultatet inte lever upp till det ni förväntade. Som vårt exempel på PDCA modellen i detta blogginlägg har visat, är Plan-Do-Check-Act cykeln ett praktiskt verktyg för återkommande uppföljning av KPIer.
Kom ihåg att anpassa säkerhetslösningar utefter din organisation
Det finns därutöver inte några universallösningar för informationssäkerhet. En stor flygplats har andra behov än en liten butik. Det är alltid organisationens egen situation som bör avgöra vilka tillvägagångssätt, kontroller och program som ni ska investera i.
PDCA modellen är ett användbart verktyg som du kan använda för att sätta upp IT-säkerhetsmål och regelbundet utvärdera dina framsteg. Du kan till och med använda PDCA-cykeln för att arbeta mot mål som anges i din IT-säkerhetspolicy. IT-säkerhet är en kontinuerlig process som både IT-teamet och medarbetare måste bidra till. Att använda en modell som PDCA-cykeln kan hjälpa dig att säkerställa att du fortsätter att göra framsteg mot dina IT-säkerhetsmål.
