Snel naar content
Foto van Sander van der Donk op de trappen van het kantoor van Inergy

Gap-analyse: Excel of toch liever een GRC-tool?

Om de informatieveiligheid van jouw organisatie te borgen moet je niet alleen de eisen kennen, maar ook weten waar jouw organisatie nu staat. Om vervolgens van de huidige situatie naar de gewenste situatie te komen, is de gap-analyse een nuttig hulpmiddel. Ciso’s gebruiken Excel vaak als opstap, maar Excel heeft naast voordelen ook nadelen. Reden genoeg om Accountmanager & Adviseur Informatieveiligheid Joost van Bree aan de tand te voelen over het alternatief: GRC-tooling.

“Als je in een kleine organisatie met slechts enkele processen een gap-analyse wilt uitvoeren, is dat nog wel te doen met een Excel”, steekt Joost van wal. “Maar zodra er meer processen zijn of als ze complexer worden, leidt dat al snel tot een administratief bakbeest. Zeker als er meerdere verantwoordelijken bij betrokken zijn. Het aantal kolommen neemt toe en je zult met meerdere tabbladen of documenten moeten gaan werken.”

Sneller, makkelijker en beter met een GRC-tool

Een goede GRC-tool werkt in alle gevallen sneller, makkelijker en beter. Joost: “GRC staat voor Governance, Risk en Compliance. Het verwijst naar een strategie voor het beheer van de algehele governance van een organisatie, het managen van risico’s en het naleven van regelgeving. Beschouw GRC als een gestructureerde benadering om te voldoen aan regelgeving, terwijl je tegelijkertijd risico’s effectief beheerst en voldoet aan de nalevingsvereisten.”

Output en opvolging

“Als je Excel gebruikt, moet je jezelf altijd de vraag blijven stellen of je wel compleet bent”, weet Joost uit ervaring. “Met een goede GRC-tool hoef je je daar geen zorgen om te maken. Een ander nadeel van Excel is dat de tabellen alleen een weergave zijn van de aandachtspunten en de te nemen actie. Ze geven geen output, geen suggesties om van A naar B te komen. Datzelfde geldt voor het toewijzen van rollen. Daardoor wordt ook de opvolging een stuk lastiger; bij wijzigingen moet je in Excel hiervoor alle versies doorlopen. Tools loggen de handelingen en geven je zicht op wijzigingen die je vervolgens snel kunt beoordelen en doorvoeren. Weliswaar kun je zelf een applicatie in Excel bouwen, maar dat is vaak een tijdrovende klus.”

Aantoonbaar in control

Door de inzet van GRC-tooling verbeter je dus het inzicht in de mate van beheersing van processen, verwerkingen en risico’s. Door middel van dashboards krijg je direct inzicht in de huidige status. De organisatie is daardoor beter en aantoonbaar in control.

“In tegenstelling tot Excel, daar is elke gap-analyse een aparte sheet en mis je dus het overzicht”, aldus Joost. “Terwijl je met LIAS ISMS en Content (plus) met één druk op de knop een overzicht hebt van alle statussen. Denk bijvoorbeeld aan verwerkingen, normenkaders en verantwoordelijkheden. Daardoor kan de organisatie functioneren in overeenstemming met haar doelstellingen. Dat aantonen is ook eenvoudig, omdat IC Control ook een rapportagemodule heeft.”

GRC-tool LIAS ISMS en Content (plus)

Zoals altijd begint een gestructureerde benadering bij de basis, in dit geval de architectuur. Als je met Excel werkt, moet je die zelf ontwikkelen. In LIAS ISMS, is de architectuur al verwerkt. En stel dat het normenkader verandert. Dan zul je bij het gebruik van Excel helemaal opnieuw moeten beginnen, terwijl je LIAS ISMS eenvoudig updatet met de nieuwe vereisten. Daardoor weet je welk pad je moet lopen én kun je de taken monitoren. In LIAS ISMS is onder meer het normenkader van de BIO ingericht, met dashboards, een procesregister en de mogelijkheid om taken uit te zetten bij je collega’s. Het is een applicatie waarin je vastlegt, bijhoudt en beheert. Zo ben je altijd actueel. Je ziet precies waar de risico’s voor privacy en informatieveiligheid zitten én wat de oplossingen zijn. De koppelingen naar de controls en de maatregelen maakt de tool automatisch.

De voordelen van een GRC-tool vs. Excel

Een GRC-tool verbetert je inzicht in de mate van beheersing van processen, verwerkingen en risico’s. De belangrijkste voordelen van een GRC-tool boven Excel zijn:

  1. Als het normenkader verandert, kun je een tool eenvoudig updaten en hoef je niet opnieuw te beginnen.
  2. Een tool geeft je suggesties hoe je van A naar B komt.
  3. Met de taken optie kan je medewerkers informeren over en attenderen op uit te voeren acties en hier toezicht op houden.
  4. Alle handelingen worden gelogd, waardoor je taken kunt monitoren en wijzigingen snel kunt beoordelen.
  5. Door de ingebouwde dashboards kun je met één druk op de knop alle statussen zien en waar nodig collega’s opvolgen.
  6. Door middel van de rapportagemodule in een tool kun je aantonen welke acties open staan en zijn afgerond.

Aan de slag

Met de tool aan de slag? Daar gaat een korte training aan vooraf. We leren je optimaal gebruik te maken van de tool en daarnaast helpen we je bijvoorbeeld met het inrichten en uitvoeren van een gap-analyse. Daarna heb je genoeg bagage om er zelf mee aan de slag te gaan”, aldus Joost. “Uiteraard staan we je ook nadien met raad en daad bij als je vragen hebt.”

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Tips voor veilig online shoppen

Tips voor veilig online shoppen

Online shoppen biedt ons het gemak van winkelen vanuit huis, met een eindeloze selectie aan leuke kleding, schoenen, accessoires en spullen voor in huis. Met slechts een paar klikken kunnen we dit enorme assortiment aan producten vinden en bestellen. Ondanks dit gemak, is het belangrijk om ons bewust te zijn van potentiële risico’s die gepaard gaan met online shoppen.

Lees verder

Inergy implementeerde Microsoft Fabric: dit ontdekte onze expert

Inergy implementeerde Microsoft Fabric: dit ontdekte onze expert

De wereld van data analytics is in rep en roer. De reden? Microsoft Fabric. Dit splinternieuwe data analytics platform brengt alle losse analytics tools van Microsoft samen. Veel specialisten experimenteren ermee, maar heeft iemand het platform al bij een klant geïmplementeerd? Wij wel! In dit blog vertelt Merijn wat hij van de implementatie van Microsoft Fabric heeft geleerd.

Lees verder

Veilig (online) de vakantie door

Veilig (online) de vakantie door

Ga je binnenkort op vakantie? Een heerlijk tijd van ontspanning en plezier, maar volgens onze informatieveiligheid experts ook een periode...

Lees verder