Øget digital afhængighed og et mere professionelt trusselsbillede betyder, at informationssikkerhed i stigende grad skal styres, prioriteres og følges op på ledelsesniveau. Det stiller krav om en systematisk og sammenhængende tilgang til sikkerhedsarbejdet.
Mange organisationer arbejder i praksis efter en PDCA-lignende logik, hvor man planlægger, gennemfører, følger op og justerer – uden dog at kalde det PDCA. Denne tilgang skaber overblik, kontinuitet og forbedring på et område, der er præget af stigende kompleksitet.
Hvad betyder PDCA?
PDCA står for Plan, Do, Check og Act og er en metode til kontinuerlig forbedring. Modellen har sit udspring i kvalitetsstyring, men anvendes i dag bredt.
I arbejdet med informationssikkerhed bruges PDCA som et alternativ til ad hoc-tiltag og enkeltstående projekter. I stedet for at reagere på hændelser, når de opstår, giver modellen en sammenhængende proces, hvor mål fastlægges, indsatser gennemføres, effekten vurderes, og kursen justeres løbende. Det skaber et mere oplyst beslutningsgrundlag og gør det muligt at følge, om sikkerhedsindsatser faktisk virker over tid.
Modellen er enkel i sin opbygning. Først fastlægger ledelsen mål, risikotolerance og prioriterede indsatser. Derefter implementeres de besluttede tiltag i organisationen. Effekten måles og vurderes på baggrund af data og fastlagte kriterier, og på den baggrund justeres, forankres eller erstattes indsatserne.
Processen gentages igen og igen, og hver gennemgang giver et mere detaljeret grundlag for at vurdere risici og justere sikkerhedsindsatserne.
Styringsmodel for informationssikkerhed
Informationssikkerhed er i sin natur dynamisk. Forretningsændringer, nye leverandører, digitalisering og skærpede regulatoriske krav ændrer løbende risikobilledet. PDCA giver ledelsen et værktøj, der gør det muligt at håndtere kompleksiteten systematisk frem for reaktivt.
PDCA kan blandt andet sikre:
- en konsistent og risikobaseret tilgang til informationssikkerhed
- tydelig sammenhæng mellem strategiske mål, operationelle indsatser og faktisk effekt
- dokumentation, der kan understøtte ledelsesbeslutninger, revision og myndighedskrav
- et fælles referencepunkt mellem IT, forretning og ledelse
PDCA fungerer dermed som bindeleddet mellem strategi, drift og compliance og gør informationssikkerhed til en integreret del af organisationens samlede styringsmodel.
De fire faser i PDCA
Plan: Planlæg sikkerheden
Plan-fasen er det strategiske fundament i PDCA. Det er her, ledelsen fastlægger, hvilke risici organisationen vil acceptere, og hvilke der kræver handling. Uden en klar Plan-fase bliver informationssikkerhed hurtigt reaktiv og fragmenteret.
I praksis handler det typisk om:
- identificering og prioritering af informationssikkerhedsrisici
- fastlæggelse af mål for informationssikkerheden
- udvælgelse af relevante sikkerhedsforanstaltninger
- definition af målepunkter og KPI’er
Planlægningen bør tage udgangspunkt i organisationens forretningsmæssige kontekst og regulatoriske forpligtelser, og sikkerhedstiltag skal være proportionale og risikobaserede.
Eksempel:
En organisation identificerer, at phishing udgør en væsentlig risiko. Ledelsen fastsætter derfor et mål om at reducere klikraten på phishing-mails og beslutter, hvordan effekten skal måles, før der iværksættes awareness-tiltag.
Do: Implementer de planlagte tiltag
Do-fasen handler om at omsætte ledelsens beslutninger til konkrete og kontrollerede handlinger i organisationen. Det er her, strategiske valg bliver til faktisk adfærd, systemunderstøttelse og processer, og hvor informationssikkerhed for alvor møder den daglige drift.
I praksis omfatter Do-fasen blandt andet:
- implementering af tekniske sikkerhedsforanstaltninger (logning, adgangsstyring, etc.)
- omsætning af politikker og procedurer til hverdagspraksis
- awareness og træning målrettet relevante medarbejdere
- tilpasning af arbejdsgange, så sikkerhed indbygges i driften
Tiltag skal implementeres på en måde, der gør det muligt at følge op, dokumentere indsatsen og vurdere, om organisationen faktisk ændrer adfærd. Derfor er det afgørende, at alle tiltag i Do-fasen er koblet til klare målepunkter. Uden data er der ingen mulighed for efterfølgende at vurdere effekt, træffe informerede beslutninger eller justere kursen.
Check: Mål, analyser og evaluer
Check-fasen er det punkt i PDCA, hvor informationssikkerhed bliver synlig og styrbar for ledelsen. Her vurderes det, om de iværksatte tiltag reelt reducerer risici, understøtter forretningen og lever op til de fastlagte mål, eller om indsatsen primært eksisterer på papiret.
I praksis handler Check-fasen om systematisk at indsamle og analysere beslutningsrelevant information, herunder:
- opfølgning på definerede KPI’er og målepunkter
- analyse af sikkerhedshændelser, afvigelser og næsten-hændelser
- resultater fra interne kontroller, audits og compliance-gennemgange
- kvalitative input fra organisationen, herunder medarbejdere og ledelse
Værdien af Check-fasen er ikke selve målingerne, men den indsigt de skaber. Det er her, ledelsen får svar på, om organisationens risikobillede har ændret sig, om investeringer i sikkerhed har haft effekt, og hvor der fortsat er blinde vinkler.
Act: Justering og forbedring
Act-fasen er det punkt i PDCA, hvor indsigt omsættes til konkrete ledelsesbeslutninger. På baggrund af evalueringerne fra Check-fasen tager ledelsen stilling til, hvordan informationssikkerhedsarbejdet skal justeres, styrkes eller ændres fremadrettet.
I praksis indebærer Act-fasen, at organisationen beslutter:
- hvilke tiltag der skal forankres som en fast del af organisationens praksis
- hvilke indsatser der skal justeres eller forbedres for at opnå den ønskede effekt
- hvilke foranstaltninger der ikke skaber tilstrækkelig værdi og derfor skal afvikles
Når et tiltag har haft den ønskede effekt, opdateres politikker, processer og dokumentation, så forbedringen bliver en integreret del af organisationens måde at arbejde på. Det nye sikkerhedsniveau bliver dermed organisationens nye baseline.
Act-fasen sikrer, at læring bliver til handling. Samtidig skaber den kontinuitet i styringen, fordi hvert gennemløb af PDCA-cyklussen danner udgangspunkt for det næste. På den måde udvikles informationssikkerheden løbende i takt med forretningen, trusselsbilledet og de krav, organisationen er underlagt.
ISO 27001 og PDCA
ISO 27001 bygger grundlæggende på princippet om kontinuerlig forbedring, men standarden beskriver ikke, hvordan arbejdet skal gribes an i praksis. I mange år har PDCA været brugt som en måde at forklare og strukturere arbejdet med informationssikkerhed på i relation til ISO 27001. I dag anvendes modellen i højere grad som et pædagogisk og analytisk greb end som en metode, organisationer formelt implementerer i deres ISMS.
Selvom ISO 27001 ikke er opbygget efter PDCA-faserne, afspejler standardens krav en tilsvarende cyklisk logik. Organisationen skal blandt andet kunne dokumentere, at den:
- identificerer og vurderer risici for informationssikkerheden
- fastsætter mål og måler effekten af sine sikkerhedsindsatser
- gennemfører interne kontroller, audits og ledelsesevalueringer
- løbende forbedrer sit informationssikkerhedsledelsessystem (ISMS)
I praksis kan PDCA fungere som en analytisk ramme, der samler kravene i ISO 27001 i en sammenhængende arbejdsgang og tydeliggør, hvordan risikovurdering, implementering af kontroller, opfølgning og forbedringer hænger sammen over tid. På den måde bliver ISO 27001 ikke en tjekliste, men et aktivt styringsværktøj, der understøtter løbende forbedring af organisationens informationssikkerhed.
PDCA som ledelsesværktøj
Informationssikkerhed vil kun blive mere kompleks i de kommende år. Nye teknologier, øget digital afhængighed, strengere regulering og et mere professionelt trusselsbillede stiller større krav til organisationers evne til at styre sikkerheden.
Organisationer, der arbejder konsekvent efter PDCA, bevæger sig væk fra brandslukning og punktvise initiativer og hen imod en situation, hvor informationssikkerhed er forudsigelig og ledelsesforankret. Det skaber bedre beslutninger, mere robuste processer og færre overraskelser. Metoden skaber et fælles sprog mellem strategi, drift og compliance og giver et styringsgrundlag, der gør informationssikkerhed til en integreret del af organisationens samlede governance.
