Gap-analyse: Excel of toch liever een GRC-tool?

Om de informatieveiligheid van jouw organisatie te borgen moet je niet alleen de eisen kennen, maar ook weten waar jouw organisatie nu staat. Om vervolgens van de huidige situatie naar de gewenste situatie te komen, is de gap-analyse een nuttig hulpmiddel. Ciso’s gebruiken Excel vaak als opstap, maar Excel heeft naast voordelen ook nadelen. Reden genoeg om Accountmanager & Adviseur Informatieveiligheid Joost van Bree aan de tand te voelen over het alternatief: GRC-tooling.

“Als je in een kleine organisatie met slechts enkele processen een gap-analyse wilt uitvoeren, is dat nog wel te doen met een Excel”, steekt Joost van wal. “Maar zodra er meer processen zijn of als ze complexer worden, leidt dat al snel tot een administratief bakbeest. Zeker als er meerdere verantwoordelijken bij betrokken zijn. Het aantal kolommen neemt toe en je zult met meerdere tabbladen of documenten moeten gaan werken.”

Sneller, makkelijker en beter met een GRC-tool
Een goede GRC-tool werkt in alle gevallen sneller, makkelijker en beter. Joost: “GRC staat voor Governance, Risk en Compliance. Het verwijst naar een strategie voor het beheer van de algehele governance van een organisatie, het managen van risico’s en het naleven van regelgeving. Beschouw GRC als een gestructureerde benadering om te voldoen aan regelgeving, terwijl je tegelijkertijd risico’s effectief beheerst en voldoet aan de nalevingsvereisten.”

Output en opvolging
“Als je Excel gebruikt, moet je jezelf altijd de vraag blijven stellen of je wel compleet bent”, weet Joost uit ervaring. “Met een goede GRC-tool hoef je je daar geen zorgen om te maken. Een ander nadeel van Excel is dat de tabellen alleen een weergave zijn van de aandachtspunten en de te nemen actie. Ze geven geen output, geen suggesties om van A naar B te komen. Datzelfde geldt voor het toewijzen van rollen. Daardoor wordt ook de opvolging een stuk lastiger; bij wijzigingen moet je in Excel hiervoor alle versies doorlopen. Tools loggen de handelingen en geven je zicht op wijzigingen die je vervolgens snel kunt beoordelen en doorvoeren. Weliswaar kun je zelf een applicatie in Excel bouwen, maar dat is vaak een tijdrovende klus.”

Aantoonbaar in control
Door de inzet van GRC-tooling verbeter je dus het inzicht in de mate van beheersing van processen, verwerkingen en risico’s. Door middel van dashboards krijg je direct inzicht in de huidige status. De organisatie is daardoor beter en aantoonbaar in control.

“In tegenstelling tot Excel, daar is elke gap-analyse een aparte sheet en mis je dus het overzicht”, aldus Joost. “Terwijl je met LIAS ISMS en Content (plus) met één druk op de knop een overzicht hebt van alle statussen. Denk bijvoorbeeld aan verwerkingen, normenkaders en verantwoordelijkheden. Daardoor kan de organisatie functioneren in overeenstemming met haar doelstellingen. Dat aantonen is ook eenvoudig, omdat IC Control ook een rapportagemodule heeft.”

GRC-tool LIAS ISMS en Content (plus)
Zoals altijd begint een gestructureerde benadering bij de basis, in dit geval de architectuur. Als je met Excel werkt, moet je die zelf ontwikkelen. In LIAS ISMS en Content (plus), is de architectuur al verwerkt. En stel dat het normenkader verandert. Dan zul je bij het gebruik van Excel helemaal opnieuw moeten beginnen, terwijl je LIAS ISMS en Content (plus) eenvoudig updatet met de nieuwe vereisten. Daardoor weet je welk pad je moet lopen én kun je de taken monitoren. In IC Control is onder meer het normenkader van de BIO ingericht, met dashboards, een procesregister en de mogelijkheid om taken uit te zetten bij je collega’s. Het is een applicatie waarin je vastlegt, bijhoudt en beheert. Zo ben je altijd actueel. Je ziet precies waar de risico’s voor privacy en informatieveiligheid zitten én wat de oplossingen zijn. De koppelingen naar de controls en de maatregelen maakt de tool automatisch.

De voordelen van een GRC-tool vs. Excel

Een GRC-tool verbetert je inzicht in de mate van beheersing van processen, verwerkingen en risico’s. De belangrijkste voordelen van een GRC tool boven Excel zijn:

  1. Als het normenkader verandert, kun je een tool eenvoudig updaten en hoef je niet opnieuw te beginnen.
  2. Een tool geeft je suggesties hoe je van A naar B komt.
  3. Met de taken optie kan je medewerkers informeren over en attenderen op uit te voeren acties en hier toezicht op houden.
  4. Alle handelingen worden gelogd, waardoor je taken kunt monitoren en wijzigingen snel kunt beoordelen.
  5. Door de ingebouwde dashboards kun je met één druk op de knop alle statussen zien en waar nodig collega’s opvolgen.
  6. Door middel van de rapportagemodule in een tool kun je aantonen welke acties open staan en zijn afgerond.

Aan de slag
Met de tool aan de slag? Daar gaat een korte training aan vooraf. We leren je optimaal gebruik te maken van de tool en daarnaast helpen we je bijvoorbeeld met het inrichten en uitvoeren van een gap-analyse. Daarna heb je genoeg bagage om er zelf mee aan de slag te gaan”, aldus Joost. “Uiteraard staan we je ook nadien met raad en daad bij als je vragen hebt.”


Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Deel dit artikel

Paul Bijvoet

Accountmanager

Wil jij meer weten over dit onderwerp?

Neem gerust contact op met Rene van Veen.

Bel ons op 0348 45 76 66

Mail Paul Bijvoet via paul.bijvoet@Inergy.nl





    Lees gerust verder...

    8-4-2021

    Wpg-audit verplicht voor verwerking politiegegevens door boa’s

    7-4-2021

    5 redenen waarom je LIAS Horizontaal Toezicht moet hebben

    Altijd op de hoogte

    Schrijf je in voor onze nieuwsbrief en ontvang maandelijks een update.