Snel naar content
Foto van Sander van der Donk op de trappen van het kantoor van Inergy

Gap-analyse: Excel of toch liever een GRC-tool?

Om de informatieveiligheid van jouw organisatie te borgen moet je niet alleen de eisen kennen, maar ook weten waar jouw organisatie nu staat. Om vervolgens van de huidige situatie naar de gewenste situatie te komen, is de gap-analyse een nuttig hulpmiddel. Ciso’s gebruiken Excel vaak als opstap, maar Excel heeft naast voordelen ook nadelen. Reden genoeg om Accountmanager & Adviseur Informatieveiligheid Joost van Bree aan de tand te voelen over het alternatief: GRC-tooling.

“Als je in een kleine organisatie met slechts enkele processen een gap-analyse wilt uitvoeren, is dat nog wel te doen met een Excel”, steekt Joost van wal. “Maar zodra er meer processen zijn of als ze complexer worden, leidt dat al snel tot een administratief bakbeest. Zeker als er meerdere verantwoordelijken bij betrokken zijn. Het aantal kolommen neemt toe en je zult met meerdere tabbladen of documenten moeten gaan werken.”

Sneller, makkelijker en beter met een GRC-tool

Een goede GRC-tool werkt in alle gevallen sneller, makkelijker en beter. Joost: “GRC staat voor Governance, Risk en Compliance. Het verwijst naar een strategie voor het beheer van de algehele governance van een organisatie, het managen van risico’s en het naleven van regelgeving. Beschouw GRC als een gestructureerde benadering om te voldoen aan regelgeving, terwijl je tegelijkertijd risico’s effectief beheerst en voldoet aan de nalevingsvereisten.”

Output en opvolging

“Als je Excel gebruikt, moet je jezelf altijd de vraag blijven stellen of je wel compleet bent”, weet Joost uit ervaring. “Met een goede GRC-tool hoef je je daar geen zorgen om te maken. Een ander nadeel van Excel is dat de tabellen alleen een weergave zijn van de aandachtspunten en de te nemen actie. Ze geven geen output, geen suggesties om van A naar B te komen. Datzelfde geldt voor het toewijzen van rollen. Daardoor wordt ook de opvolging een stuk lastiger; bij wijzigingen moet je in Excel hiervoor alle versies doorlopen. Tools loggen de handelingen en geven je zicht op wijzigingen die je vervolgens snel kunt beoordelen en doorvoeren. Weliswaar kun je zelf een applicatie in Excel bouwen, maar dat is vaak een tijdrovende klus.”

Aantoonbaar in control

Door de inzet van GRC-tooling verbeter je dus het inzicht in de mate van beheersing van processen, verwerkingen en risico’s. Door middel van dashboards krijg je direct inzicht in de huidige status. De organisatie is daardoor beter en aantoonbaar in control.

“In tegenstelling tot Excel, daar is elke gap-analyse een aparte sheet en mis je dus het overzicht”, aldus Joost. “Terwijl je met LIAS ISMS en Content (plus) met één druk op de knop een overzicht hebt van alle statussen. Denk bijvoorbeeld aan verwerkingen, normenkaders en verantwoordelijkheden. Daardoor kan de organisatie functioneren in overeenstemming met haar doelstellingen. Dat aantonen is ook eenvoudig, omdat IC Control ook een rapportagemodule heeft.”

GRC-tool LIAS ISMS en Content (plus)

Zoals altijd begint een gestructureerde benadering bij de basis, in dit geval de architectuur. Als je met Excel werkt, moet je die zelf ontwikkelen. In LIAS ISMS, is de architectuur al verwerkt. En stel dat het normenkader verandert. Dan zul je bij het gebruik van Excel helemaal opnieuw moeten beginnen, terwijl je LIAS ISMS eenvoudig updatet met de nieuwe vereisten. Daardoor weet je welk pad je moet lopen én kun je de taken monitoren. In LIAS ISMS is onder meer het normenkader van de BIO ingericht, met dashboards, een procesregister en de mogelijkheid om taken uit te zetten bij je collega’s. Het is een applicatie waarin je vastlegt, bijhoudt en beheert. Zo ben je altijd actueel. Je ziet precies waar de risico’s voor privacy en informatieveiligheid zitten én wat de oplossingen zijn. De koppelingen naar de controls en de maatregelen maakt de tool automatisch.

De voordelen van een GRC-tool vs. Excel

Een GRC-tool verbetert je inzicht in de mate van beheersing van processen, verwerkingen en risico’s. De belangrijkste voordelen van een GRC-tool boven Excel zijn:

  1. Als het normenkader verandert, kun je een tool eenvoudig updaten en hoef je niet opnieuw te beginnen.
  2. Een tool geeft je suggesties hoe je van A naar B komt.
  3. Met de taken optie kan je medewerkers informeren over en attenderen op uit te voeren acties en hier toezicht op houden.
  4. Alle handelingen worden gelogd, waardoor je taken kunt monitoren en wijzigingen snel kunt beoordelen.
  5. Door de ingebouwde dashboards kun je met één druk op de knop alle statussen zien en waar nodig collega’s opvolgen.
  6. Door middel van de rapportagemodule in een tool kun je aantonen welke acties open staan en zijn afgerond.

Aan de slag

Met de tool aan de slag? Daar gaat een korte training aan vooraf. We leren je optimaal gebruik te maken van de tool en daarnaast helpen we je bijvoorbeeld met het inrichten en uitvoeren van een gap-analyse. Daarna heb je genoeg bagage om er zelf mee aan de slag te gaan”, aldus Joost. “Uiteraard staan we je ook nadien met raad en daad bij als je vragen hebt.”

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Een dag uit het leven van Krystle Villaflor, Cloud & DevOps Engineer bij Inergy

Een dag uit het leven van Krystle Villaflor, Cloud & DevOps Engineer bij Inergy

Als Cloud & DevOps Engineer bij Inergy maak ik deel uit van een team van meer dan 170 collega’s. In mijn rol zorg ik ervoor dat onze infrastructuur soepel draait en dat klanten kunnen vertrouwen op stabiele, veilige en efficiënte cloudomgevingen door middel van geautomatiseerde processen en continue optimalisatie.

Lees verder

Toegankelijkheid is geen luxe, maar een basisvoorwaarde voor inclusiviteit

Toegankelijkheid is geen luxe, maar een basisvoorwaarde voor inclusiviteit

In een samenleving waarin de overheid er voor iedereen is, ligt er een duidelijk verantwoordelijkheid bij diezelfde overheid om toegankelijk te zijn voor al haar burgers. Dit betekent niet alleen fysiek toegankelijke gebouwen, maar ook toegankelijke digitale documentatie. Of je nu een beleidsdocument, een begroting, of een ander P&C-publicatie schrijft, het is cruciaal dat deze documenten voor iedereen te begrijpen en te gebruiken zijn - ongeacht eventuele beperkingen.

Lees verder

Leonard vertelt over de nieuwe LIAS Risico-applicatie

Leonard vertelt over de nieuwe LIAS Risico-applicatie

Heb je ooit gewenst dat je publicaties consistenter en professioneler waren, zonder urenlang te moeten sleutelen aan elke zin? Met de LIAS Tekstassistent wordt dit realiteit. Laten we je meenemen in de praktische toepassingen die jouw werk als schrijver aanzienlijk eenvoudiger maken.

Lees verder