Het proces van continue verbetering (ook wel “Kaizen” genoemd) is een wijd verspreid concept waar verbetermethodieken als Lean, Lean Six Sigma en Agile perfect op aansluiten. Maar ook in het kader van informatiebeveiliging is continue verbetering cruciaal (onder andere binnen het ISMS van de ISO 27001 standaard meer bepaald in clausule 10).
Kaizen is in het Japans een samenvoeging van de woorden ‘veranderen’ en ‘goed’, ofwel ‘verandering (kai) om goed te worden (zen)’.
De betekenis van Kaizen zit diep in de Japanse cultuur geworteld, desalniettemin zijn er ook veel niet Japanse bedrijven succesvol met Kaizen. Kaizen is niet alleen een woord maar meer een filosofie met als betekenis “veranderen ten goede” of vaak vertaald naar “continu verbeteren”. Een andere definitie is “uiteen rafelen en opnieuw in elkaar steken maar dan op een betere manier”.
PDCA cyclus van Deming
Continue verbetering van de (bedrijfs-)processen zorgt voor een kwalitatief beter eindresultaat (dienst of product) waarbij de kosten zullen afnemen. Een kwalitatief beter eindresultaat betekent tevreden klanten, minder klachten en een beter bedrijfsresultaat. Vaak zie je ook de term PDCA, een methodiek die door W. Deming bedacht is en een continue verbetercyclus of kwaliteitscyclus voorstelt van de volgende processtappen die zie zich blijft herhalen: Plan – Do – Check – Act.
Continue verbetering is een cultuur. Om als bedrijf of organisatie aan de slag te gaan met een continue verbeteringsproces is de voornaamste taak van het management om een cultuur te creëren waarbinnen continu verbeteren een vast onderdeel wordt van de bestaande bedrijfsprocessen. Een veel gemaakte fout bij de implementatie van continue verbeteringstrajecten is dat het als een project wordt beschouwd. Iets eenmaligs.
Continuous improvement is better than delayed perfection. (Mark Twain)
Wat is een continu verbeteringsproces?
De kracht van Kaizen ligt in het betrekken van medewerkers bij het continue verbeteringsproces en dat praktische kennis direct vanaf de werkvloer wordt gebruikt in de PDCA-cyclus. Dit vergroot het draagvlak van de uiteindelijke oplossing. Het voortdurend verbeteren in de organisatie is ook een continue proces, het moet een bedrijfscultuur zijn en het is van belang dat iedereen de dezelfde verbetertaal spreekt.
De 10 geboden voor Kaizen zijn dan ook:
- Stel je gedachten open voor verandering.
- Denk: ja het kan, als ….
- Val altijd de processen aan, nooit de mensen.
- Zoek naar simpele oplossingen.
- Als iets kapot is, stop om het te repareren.
- Gebruik je creativiteit, niet je portemonnee.
- Problemen zijn een vermomde mogelijkheid.
- Zoek altijd de grondoorzaak.
- Gebruik de wijsheid van velen in plaats van de kennis van één.
- Besef: er is geen eindbestemming voor de reis van verbetering.
De link naar information security management en ISO 27001
Het ISMS-concept (information security management system) vereist dat, gegeven de dynamische aard van informatierisico’s en informatieveiligheid, recurrente feedback- en verbeteringsactiviteiten om te reageren op veranderingen in de bedreigingen, kwetsbaarheden, en gevolgen van incidenten voorzien worden. Risicogebaseerde besluitvorming en continue verbetering zijn basisprincipes van een werkend ISMS.
Clausule 10 van ISO 27001, dé internationale standaard voor informatiebeveiliging, vereist dan ook een proces om “voortdurend de geschiktheid, adequaatheid en effectiviteit van het informatiebeveiligingsbeheersysteem te verbeteren.” De beste manier om aan deze verplichting te voldoen, is door uw Continu Verbeterproces te documenteren. Een auditor kan op die manier jaar na jaar continue verbetering van het ISMS en de geïmplementeerde security controles vaststellen.
Het is niet verwonderlijk dat ISO27001 zoveel waarde hecht aan continue verbetering. Niet alleen zien we een toenemende trend van cyberaanvallen in de afgelopen jaren. We leven in een wereld waar cyberdreigingen steeds gesofisticeerder worden. Waar cybercriminelen zichzelf continu heruitvinden en verfijndere manieren vinden om systemen en netwerken binnen te dringen, moeten organisaties hun security maturiteit en weerbaarheid continu verbeteren. Alleen door de Kaizen principes toe te passen op het information security beleid en in te bedden in de strategie en cultuur van de organisatie, kan een organisatie erin slagen om jaar na jaar haar cyber risico’s te beperken, reputatie veilig te stellen en continuïteit te garanderen.
En tot slot ...
Als je niet continu verbetert, dan zal het op termijn steeds een beetje minder goed gaan. Ter illustratie een voorbeeld simplistisch uitgelegd in een plaatje:
- Indien 1% verbetering per dag, dan is een initiële score van 1 na 1 jaar verhoogd tot 37,8
- Indien 1% verslechtering per dag, is een initiële score van 1 na 1 jaar verminderd tot 0,03
Paul Holvoet
Information Security Expert
Via een Information security implementatieprogramma ontzorgen we uw organisatie bij de implementatie van een matuur informatiebeveiligingsbeleid.
Wat is het ISO27001 certificaat en wat houdt het in? Wat zijn de voordelen en meerwaarde? En hoe pak je dat nu gestructureerd aan?
Permanente in-house ondersteuning nodig? Schakel onze experten flexibel in als CISO via ons CISOaaS model.
