In een tijd van snel evoluerende digitale dreigingen is een cultuur van continu verbeteren cruciaal voor effectieve informatiebeveiliging. Bedrijven kunnen niet volstaan met een eenmalige risico-inventarisatie of een stapel beveiligingsbeleid; ze moeten hun processen voortdurend aanscherpen. De Plan-Do-Check-Act (PDCA)-cyclus – in het Nederlands vaak Plan, Do, Check, Act genoemd, ofwel Plannen, Uitvoeren, Controleren, Bijstellen – biedt een gestructureerde aanpak om dit te doen. Deze PDCA-cyclus vormt de kern van veel kwaliteits- en veiligheidsprogramma’s, en wordt expliciet aangeraden in normen als ISO 27001 voor informatiebeveiliging.

  • Plan: stel doelen en plannen op voor verbeteringen (bijvoorbeeld nieuwe beveiligingsmaatregelen) en bepaal meetcriteria.
  • Do: voer de plannen uit – implementeer de controle of wijziging.
  • Check: meet en evalueer de resultaten; hebben de veranderingen het beoogde effect?
  • Act: borg succesvolle verbeteringen of stel bij waar nodig. Cruciaal is dat dit geen eenmalig proces is maar een voortdurende cyclus. Net als een cirkel eindigt PDCA nooit – na de Act-fase begint men opnieuw met plannen, zodat er sprake blijft van voortdurende verbetering. Het zorgt ervoor dat je organisatie het iedere dag iets beter gaat doen. PDCA

Voortdurend verbeteren met PDCA in informatiebeveiliging

Informatiebeveiliging heeft baat bij dezelfde continu-verbeterfilosofie als andere vakgebieden. In bijvoorbeeld de Algemene Verordening Gegevensbescherming (AVG) wordt dit mechanisme zelfs benoemd! Voor informatiebeveiliging is de PDCA-cyclus (Plan-Do-Check-Act) een essentieel onderdeel van de ISO 27001-norm voor informatiebeveiliging. Organisaties die ISO 27001 implementeren, zijn verplicht om een informatiebeveiligingsmanagementsysteem (ISMS) te gebruiken dat gebaseerd is op de PDCA-cyclus. Dit systeem helpt organisaties om hun informatiebeveiligingsmaatregelen continu te verbeteren en aan te passen aan nieuwe risico’s en vereisten

Bedreigingen veranderen voortdurend en nieuwe kwetsbaarheden duiken op; een organisatie die stilstaat, raakt al snel achterop. De PDCA-cyclus dwingt een structurele, iteratieve benadering af: na implementatie van beveiligingsmaatregelen volgt controle (bijvoorbeeld via audits, monitoring of incidentenanalyses) en vervolgens het bijstellen van beleid en maatregelen op basis van de bevindingen. Dit voorkomt dat men blijft hangen op een middelmatig beveiligingsniveau of dat bekende zwakke plekken onopgelost blijven. Uit expertanalyses blijkt dat zonder zo’n feedbacklus veel teams na het invoeren van een paar “quick wins” stilvallen – men weet dan niet goed welke extra controles waarde toevoegen en welke vooral bureaucratie zijn. Door experimenten te meten (de Check-fase) leert het team welke maatregelen echt effectief zijn. Zo kan men zich richten op beveiligingsmaatregelen die aantoonbaar waarde opleveren, in lijn met de bedrijfsdoelen.

Hier echt vorm aangeven betekent onder meer regelmatige risico-assessments, interne audits, managementreviews en het doorvoeren van verbeteracties. Idealiter wordt informatiebeveiliging hierdoor geen eenmalig project maar een continu proces met een vaste plaats in de organisatie (bijv. via een permanent beveiligingsteam of –commissie).

PDCA op papier vs. in de praktijk

Hoewel de PDCA-cyclus op papier eenvoudig klinkt en in beleid vaak keurig is opgetekend, gaat het in de praktijk niet altijd goed. Sommige organisaties hebben wel een ISMS-handboek en jaarlijkse auditplanning, maar benutten de cyclus niet écht om hun beveiliging te verbeteren. Een veelgehoorde valkuil is dat informatiebeveiliging verwordt tot een afvink-oefening om aan compliance te voldoen, zonder dat het de dagelijkse praktijk beïnvloedt. Op papier klinkt het goed**, maar als de PDCA-cyclus slechts pro forma wordt doorlopen, blijft het lineair denken in plaats van echte iteratie.

Vaak hoor je dat IT-beveiliging geen puur administratieve exercitie mag worden. IT-beveiliging moet het bedrijf versterken en niet gewoon een papieren taak worden die enkel voldoet aan richtlijnen. Wat mij dan opvalt is dat dit de redenering wordt om vooral de zaak maar te laten versloffen. Met andere woorden, een beleid kan nog zo mooi geschreven zijn – als er geen concrete opvolging is van controles en acties, treedt er geen verbetering op en wordt de organisatie niet werkelijk veiliger. Nog erger: je blijft dezelfde fouten herhalen, dezelfde krakkemikkige oplossingen gebruiken en informatiebeveiliging zien als een kostenpost van een lastpakken.

Praktijkvoorbeelden bevestigen dit. Zo zie ik geregeld dat bedrijven wel beleidsdocumenten en procedures hebben (bijv. voor incidentrespons of toegangsbeheer) maar dat deze in de hectiek van alledag niet strikt worden nageleefd of geëvalueerd. In de auditing hebben we het niet voor niets over opzet, bestaan en werking. Maar in de praktijk zit tussen opzet en bestaan en werking nog wel eens een kloof.

Regelmatige tests van de maatregelen (bijvoorbeeld door interne pentests of simulaties) blijven dan achterwege, of bevindingen leiden niet tot aanpassingen. Dit ondermijnt het PDCA-principe. Een jaarlijkse audit kan bijvoorbeeld keer op keer dezelfde bevindingen opleveren zonder dat die structureel worden verholpen – een teken dat de Act-fase faalt. Zonder een levende verbetercyclus worden beveiligingsprogramma’s al snel statisch en kwetsbaar. Het vereist toewijding van zowel het management als uitvoerders om PDCA echt te laten werken: het management moet verbeteringen steunen en vrijmaken, terwijl het uitvoeringsteam actief moet meten en leren. Alleen dan gaat de cyclus leven en resulteert hij in een steeds hogere informatiebeveiligingskwaliteit.

Leren van andere sectoren: luchtvaart als voorbeeld

Andere sectoren met een grote focus op veiligheid hanteren al decennia continu-verbetermechanismen. De luchtvaartindustrie geldt als een schoolvoorbeeld: vliegen is vandaag de dag extreem veilig, wat deels te danken is aan systematische verbetercycli na incidenten en proactieve maatregelen. Een paar sprekende voorbeelden:

  • Crew Resource Management (CRM) – In de jaren ‘70 en ‘80 introduceerde de luchtvaart CRM-training voor cockpitbemanningen als antwoord op enkele ernstige ongevallen waarbij gebrekkige teamwork en communicatie een rol speelden. Voorheen gold de gezagvoerder als ultieme autoriteit, wat soms leidde tot fouten omdat copiloten aarzelden om in te grijpen. CRM leerde cockpitteams betere communicatie, gedeelde besluitvorming en het aanspreken van elkaar op mogelijke fouten. Inmiddels is CRM wereldwijd verplicht voor piloten bij commerciële luchtvaartmaatschappijen. Dit heeft aantoonbaar levens gered: de beroemde piloot Captain Al Haynes crediteerde CRM-training voor het succesvol landen van het beschadigde United Airlines Flight 232 toestel in 1989 – zonder die teamcoördinatie waren veel meer slachtoffers gevallen. CRM is zo effectief gebleken in het verminderen van menselijke fouten dat het model ook in andere domeinen is overgenomen, zoals de chirurgie en spoedeisende hulp. Het voortdurende trainen en bijschaven van deze niet-technische vaardigheden is een vorm van continu verbeteren van de veiligheidscultuur in de luchtvaart.
  • Verplichte checklists voor piloten en technici – De luchtvaart heeft een cultuur waarin geen stap te onbenullig is om te verifiëren. Checklists zijn een simpele maar cruciale maatregel om consistent en foutloos te werken. Dit principe werd bijvoorbeeld ingevoerd nadat in 1935 een Boeing Model 299 prototype (voorloper van de B-17 bommenwerper) neerstortte doordat de bemanning een eenvoudige handeling vergat (het ontgrendelen van de roeren) – het toestel was zo complex dat “piloten niet langer alle stappen uit hun hoofd konden doen.” In reactie daarop ontwierp men checklists voor start, vlucht en landing, die voortaan altijd moesten worden doorlopen. Sindsdien zijn checklists niet weg te denken. Elke piloot – van sportvlieger tot lijnvluchtkapitein – werkt met gestandaardiseerde lijsten voor elke fase van de vlucht. Dit reduceert de kans op vergeten acties drastisch en zorgt dat zelfs onder stress (denk aan een noodsituatie) niets essentieels wordt overgeslagen. Het gebruik van checklists vergroot de consistentie en vangt menselijke geheugenfouten af, wat direct bijdraagt aan de veiligheid. Omgekeerd blijkt uit onderzoeken van rampen dat als cruciale fouten door bemanning worden gemaakt heel vaak de checklist is genegeerd. Ook onderhoudstechnici werken met strikte checklist-protocollen, om er zeker van te zijn dat bijvoorbeeld na een onderhoudsbeurt alle bouten weer op de juiste torque zijn aangedraaid en geen stappen worden gemist. Het voortdurend evalueren en verbeteren van deze checklists (bijvoorbeeld naar aanleiding van incidentonderzoek) is eveneens een PDCA-achtige praktijk: als ergens toch iets misgaat, wordt de betreffende checklist herzien om herhaling te voorkomen.
  • Preventief onderhoud en het vervangen van onderdelen (metaalmoeheid) – Technische verbetercycli zijn net zo belangrijk. Elk vliegtuigonderdeel heeft een bepaalde levensduur en wordt vaak vervangen vóórdat het defect raakt, om risico’s te minimaliseren. Deze praktijk komt voort uit lessen rond o.a. metaalmoeheid. In de jaren 50 leed de eerste straalpassagiersjet (de De Havilland Comet) aan fatale crashes door metaalmoeheid in de romp. Sindsdien is grondig begrip van materiaalvermoeiing onderdeel geworden van het ontwerp-, inspectie- en onderhoudsproces. Vliegtuigen ondergaan periodiek gedetailleerde inspecties (bijvoorbeeld niet-destructief onderzoek naar scheurtjes) en hebben strikte schema’s voor revisie. Fabrikanten en toezichthouders stellen operationele limieten: na een bepaald aantal vlieguren of start-landingcycli móét een onderdeel vervangen of een toestel uit dienst genomen worden. Zo wordt een ongeluk door slijtage proactief voorkomen. Dit is een continu verbetermechanisme, want de limieten worden steeds bijgesteld op basis van ervaring en onderzoek. Elke keer dat er toch een haarscheurtje of defect ontdekt wordt, leidt dat tot aanpassingen: kortere inspectie-intervallen, verbeterde materialen, ontwerpwijzigingen of nieuwe onderhoudsinstructies. Denk aan het incident bij Aloha Airlines in 1988, waar door metaalmoeheid een deel van de vliegtuigromp losscheurde; dit versnelde de invoering van strenge inspectieregimes voor oudere vliegtuigen. Dankzij dit stelsel van voorzorg en lering is het risico door materiaalmoeheid sterk gereduceerd. Onderhoudsmedewerkers worden voortdurend bijgeschoold en procedures geüpdatet – een praktijkvoorbeeld van PDCA: plan (stel onderhoudsschema op), do (voer onderhoud uit), check (inspectieresultaten analyseren, incidenten onderzoeken) en act (pas schema’s of ontwerp aan om toekomstige problemen te voorkomen).

De rode draad in deze luchtvaartvoorbeelden is continue verbetering: elke fout of bijna-fout is aanleiding om procedures, training of techniek aan te passen. Het resultaat is een indrukwekkende veiligheidsstatistiek, behaald door steeds opnieuw de feedback loop te doorlopen en een cultuur te creëren waarin iedereen, van monteur tot piloot, verbeteringen omarmt. De PDCA-cyclus hoort bij de volwassen cultuur.

Checklists

Farmaceutische industrie: continu verbeteren voor kwaliteit en veiligheid

Ook in de farmaceutische industrie is continu verbeteren een kernbegrip, zij het onder andere namen. Deze sector staat onder strenge regulering (denk aan GMP – Good Manufacturing Practice), juist om de kwaliteit en veiligheid van medicijnen te garanderen. Dat vereist een voortdurende cyclus van meten en verbeteren. Zo kennen farmabedrijven systemen voor CAPA (Corrective and Preventive Action): bij iedere afwijking in het productieproces of elke klacht over een product wordt eerst correctief ingegrepen en vervolgens preventief gekeken hoe men herhaling kan voorkomen – een aanpak die sterk lijkt op PDCA (men plant verbeteracties, voert ze door, controleert effectiviteit en borgt ze).

Een belangrijk mechanisme is het uitgebreide kwaliteitsmanagementsysteem, waarin op alle niveaus feedback wordt verzameld. Bijvoorbeeld: tijdens productie worden batches van medicijnen continu getest (in-line of via monsters in het lab). Als een kwaliteitsmeting buiten specificatie valt, gaat er een hele procedure van analyse en verbetering lopen. Dit kan leiden tot aanpassingen in het proces, extra training voor medewerkers of zelfs ontwerpwijzigingen van het product. Uit onderzoek blijkt dat in de farmacie en gezondheidszorg nog meer nadruk op continue verbetering nodig is om complexe problemen het hoofd te bieden – het gaat dan om het versterken van reguliere kwaliteitsborging met verbetertechnieken, zodat medewerkers structureel procesproblemen kunnen aanpakken in plaats van individuen te hierop aan te spreken. Met andere woorden: een cultuur kweken waarin elke afwijking een kans tot verbetering is, zit in het DNA van toonaangevende farmabedrijven.

Concrete voorbeelden laten zien hoe effectief dit kan zijn. Farmaceutische bedrijven passen bijvoorbeeld Lean en Six Sigma toe om hun processen continu te optimaliseren. Pfizer, een van ’s werelds grootste farmaceuten, startte halverwege de jaren 2000 een verbeterprogramma om de doorlooptijd van de productie en distributie van het cholesterolverlagende medicijn Lipitor drastisch te verkorten. Door middel van waardestroomanalyse en het elimineren van bottlenecks slaagde men erin de totale levertijd met 75% te reduceren over twee jaar. Dit betekende dat patiënten hun medicijnen sneller ontvingen en dat Pfizer efficiënter kon werken – een win-win door continu te verbeteren. Een ander voorbeeld is de brede introductie van procesanalytische technologieën en real-time monitoring in farmaproductie, zodat meteen bijgestuurd kan worden als parameters afwijken. Vroeger ontdekte men kwaliteitsissues pas bij eindcontrole; nu leert men tijdens het proces en kan men direct Act ondernemen.

Net als in de luchtvaart is in de farmaceutische industrie veiligheid de drijfveer. Iedere recall van een medicijn of iedere ontdekte productiefout zet een uitgebreide PDCA-cyclus in werking: van onderzoek (Plan wat te verbeteren), implementatie van correctieve maatregelen (Do), verificatie via audits en extra tests (Check) tot aanpassingen van standaardprocessen en training (Act). Daarnaast kennen farmaceuten periodieke management reviews van hun kwaliteitssystemen, waarbij trends in afwijkingen en klachten worden geanalyseerd en verbeterplannen worden gemaakt. Door deze aanpak zijn geneesmiddelen tegenwoordig van zeer constante kwaliteit en komen ernstige productie-incidenten relatief zelden voor – en als ze voorkomen, leert de hele industrie ervan (via gedeelde richtlijnen, pharmacopee-updates, etc.). Continu verbeteren is hier letterlijk van levensbelang voor patiëntveiligheid. Het neveneffect: beter functionerende systemen en processen in combinatie met efficiëntie leidt ertoe dat je er beter van wordt in plaats alleen een kostenpost hebt.

Parallellen en lessen voor informatiebeveiliging

De voorbeelden uit de luchtvaart en farmacie laten zien dat een structurele verbetercultuur enorme voordelen biedt op het gebied van veiligheid en effectiviteit. En hoewel informatiebeveiliging een ander vakgebied is, zijn de onderliggende principes zeer goed vergelijkbaar. Enkele belangrijke lessen en parallellen:

  • Cultuur en menselijk gedrag: Zowel bij CRM in de cockpit als bij kwaliteitscultuur in pharma draait het om mensen die zich vrij voelen om problemen aan te kaarten en op te lossen. In informatiebeveiliging is dat net zo: een open meldcultuur voor beveiligingsincidenten of bijna-incidenten (bijvoorbeeld een medewerker die bijna op een phishing-link klikte, maar dit meldt) creëert leermomenten. Als medewerkers fouten verbergen uit angst voor sancties, gaat die waardevolle Check-informatie verloren. Het stimuleren van samenwerking tussen management, IT-beveiligers en eindgebruikers (zoals CRM teamwork stimuleert tussen gezagvoerder en copiloot) zorgt dat signalen tijdig worden opgepikt en dat verbeteringen iedereen bekend worden. Ook training speelt een rol: reguliere security awareness sessies voor personeel en drills voor IT-teams (zoals noodplan-oefeningen) zijn te vergelijken met de verplichte jaarlijkse CRM-training voor piloten. Ze onderhouden het veiligheidsbewustzijn en scherpen vaardigheden continu aan. Dat gaat verder dan een jaarlijks momentje in het kader van awareness.
  • Procedures en checklists: Informatiebeveiliging kan direct profiteren van het “checklistdenken” uit de luchtvaart. Complexe IT-processen – denk aan het uitrollen van nieuwe servers, of het reageren op een cyberincident – lenen zich goed voor gestandaardiseerde checklists om niets over het hoofd te zien. Bijvoorbeeld een patch-management checklist (Plan: welke patches, Do: uitrollen in test, Check: monitor systemen, Act: uitrollen in productie of rollback) of een incidentrespons playbook met stapsgewijze acties. Net als bij piloten verkleinen checklists de kans op fouten in stressvolle situaties. Belangrijker nog is dat deze procedures leven: na elke “vlucht” (lees: na elk significant IT-incident of -verandering) moet men evalueren of de procedure nog volstaat of aanpassing behoeft. Zo’n terugkoppeling is vergelijkbaar met het updaten van een checklist of handleiding naar aanleiding van een bijna-ongeluk. Een bekend voorbeeld hiervan in IT is het na iedere grootschalige storing houden van een post-mortem, waarin wordt bekeken wat er misging en hoe dat in de toekomst te voorkomen – een praktijk die exact de Check/Act-fase van PDCA belichaamt.
  • Technologie en preventief onderhoud: Het principe van onderdelen tijdig vervangen om ongelukken te voorkomen, heeft zijn analogie in informatiebeveiliging. Hier gaat het om het tijdig uitfaseren van verouderde systemen of componenten die kwetsbaarheden vertonen. Net zoals een vliegtuig na X vlieguren een grondige revisie krijgt, moet een bedrijf bijvoorbeeld legacy-software die niet meer wordt geüpdatet, uit productie halen voordat het een incident veroorzaakt. Patchen is feitelijk het vervangen/herstellen van “versleten” stukjes software (beveiligingsgaten) vóórdat ze uitgebuit worden. Ook capacity management en stresstesten kun je zien als preventief: voorkomen dat “metalen moe worden” – in IT-termen dat systemen crashen onder belasting of dat logbestanden vollopen. Door continu te meten (bijvoorbeeld vulnerability scans, penetratietests, performance monitoring) ontdek je vroegtijdig waar slijtage optreedt en kun je actie plannen. De veiligheidsmarge die de luchtvaart inbouwt (een onderdeel ruim vóór de breukgrens vervangen) is een goed voorbeeld voor IT: wacht niet tot een datalek zich voordoet, maar verbeter op basis van kleine signalen (bijvoorbeeld een toename in bijna-phishing-incidenten is een sein om extra training te doen, nog vóórdat er echt iemand in valt).
  • Regelgeving en standaarden als katalysator: Zowel in de luchtvaart als in pharma speelt regelgeving een grote rol bij het afdwingen van continue verbetering – denk aan verplichte rapportages van incidenten aan toezichthouders of het moeten voldoen aan steeds strengere standaarden. In IT-beveiliging zien we een vergelijkbare trend met wetten en regels (AVG/GDPR, NIS2, ISO-normen, etc.). Echter, de les is dat compliance op zichzelf niet genoeg is – het moet inhoudelijk gedragen worden. Net als dat een luchtvaartmaatschappij niet alleen checklists invoert om aan de luchtvaartautoriteit te voldoen, maar vooral om hun eigen vluchten veilig te houden, zou een bedrijf zich niet alleen moeten certificeerbaar willen maken voor ISO 27001, maar vooral de PDCA-cyclus gebruiken om echt veiliger te worden. Het een hoeft het ander niet uit te sluiten: goede regelgeving kan continue verbetering stimuleren, mits organisaties de geest ervan omarmen en niet enkel de letter.

Tot slot laat de vergelijking zien dat veiligheid en beveiliging dynamische doelen zijn. Of het nu gaat om het minimaliseren van vliegtuigongelukken, voorkomen van productiefouten in medicijnen, of het afweren van cyberaanvallen – stilstaan is achteruitgaan. Continu verbeteren via een cyclus als PDCA betekent dat elke gebeurtenis, goed of slecht, wordt benut om slimmer en sterker te worden. In informatiebeveiliging vertaalt dit zich naar minder incidenten, snellere detectie, kleinere impact en een organisatie die wendbaar inspeelt op nieuwe dreigingen. De PDCA-cyclus helpt een lerende organisatie te creëren: een organisatie die uit elk incident lessen trekt en haar beveiligingsmaatregelen daarop aanpast. Zo’n organisatie is niet alleen aantoonbaar compliant op papier, maar vooral weerbaar in de praktijk – en daar draait het uiteindelijk om.