Snel naar content
twee houten poppetjes staan te zwaaien

Gap-analyse: Excel of toch liever een GRC-tool?

Om de informatieveiligheid van jouw organisatie te borgen moet je niet alleen de eisen kennen, maar ook weten waar jouw organisatie nu staat. Om vervolgens van de huidige situatie naar de gewenste situatie te komen, is de gap-analyse een nuttig hulpmiddel. Ciso’s gebruiken Excel vaak als opstap, maar Excel heeft naast voordelen ook nadelen. Reden genoeg om Accountmanager & Adviseur Informatieveiligheid Joost van Bree aan de tand te voelen over het alternatief: GRC-tooling.

“Als je in een kleine organisatie met slechts enkele processen een gap-analyse wilt uitvoeren, is dat nog wel te doen met een Excel”, steekt Joost van wal. “Maar zodra er meer processen zijn of als ze complexer worden, leidt dat al snel tot een administratief bakbeest. Zeker als er meerdere verantwoordelijken bij betrokken zijn. Het aantal kolommen neemt toe en je zult met meerdere tabbladen of documenten moeten gaan werken.”

Sneller, makkelijker en beter met een GRC-tool

Een goede GRC-tool werkt in alle gevallen sneller, makkelijker en beter. Joost: “GRC staat voor Governance, Risk en Compliance. Het verwijst naar een strategie voor het beheer van de algehele governance van een organisatie, het managen van risico’s en het naleven van regelgeving. Beschouw GRC als een gestructureerde benadering om te voldoen aan regelgeving, terwijl je tegelijkertijd risico’s effectief beheerst en voldoet aan de nalevingsvereisten.”

Output en opvolging

“Als je Excel gebruikt, moet je jezelf altijd de vraag blijven stellen of je wel compleet bent”, weet Joost uit ervaring. “Met een goede GRC-tool hoef je je daar geen zorgen om te maken. Een ander nadeel van Excel is dat de tabellen alleen een weergave zijn van de aandachtspunten en de te nemen actie. Ze geven geen output, geen suggesties om van A naar B te komen. Datzelfde geldt voor het toewijzen van rollen. Daardoor wordt ook de opvolging een stuk lastiger; bij wijzigingen moet je in Excel hiervoor alle versies doorlopen. Tools loggen de handelingen en geven je zicht op wijzigingen die je vervolgens snel kunt beoordelen en doorvoeren. Weliswaar kun je zelf een applicatie in Excel bouwen, maar dat is vaak een tijdrovende klus.”

Aantoonbaar in control

Door de inzet van GRC-tooling verbeter je dus het inzicht in de mate van beheersing van processen, verwerkingen en risico’s. Door middel van dashboards krijg je direct inzicht in de huidige status. De organisatie is daardoor beter en aantoonbaar in control.

“In tegenstelling tot Excel, daar is elke gap-analyse een aparte sheet en mis je dus het overzicht”, aldus Joost. “Terwijl je met LIAS ISMS en Content (plus) met één druk op de knop een overzicht hebt van alle statussen. Denk bijvoorbeeld aan verwerkingen, normenkaders en verantwoordelijkheden. Daardoor kan de organisatie functioneren in overeenstemming met haar doelstellingen. Dat aantonen is ook eenvoudig, omdat IC Control ook een rapportagemodule heeft.”

GRC-tool LIAS ISMS en Content (plus)

Zoals altijd begint een gestructureerde benadering bij de basis, in dit geval de architectuur. Als je met Excel werkt, moet je die zelf ontwikkelen. In LIAS ISMS, is de architectuur al verwerkt. En stel dat het normenkader verandert. Dan zul je bij het gebruik van Excel helemaal opnieuw moeten beginnen, terwijl je LIAS ISMS eenvoudig updatet met de nieuwe vereisten. Daardoor weet je welk pad je moet lopen én kun je de taken monitoren. In LIAS ISMS is onder meer het normenkader van de BIO ingericht, met dashboards, een procesregister en de mogelijkheid om taken uit te zetten bij je collega’s. Het is een applicatie waarin je vastlegt, bijhoudt en beheert. Zo ben je altijd actueel. Je ziet precies waar de risico’s voor privacy en informatieveiligheid zitten én wat de oplossingen zijn. De koppelingen naar de controls en de maatregelen maakt de tool automatisch.

De voordelen van een GRC-tool vs. Excel

Een GRC-tool verbetert je inzicht in de mate van beheersing van processen, verwerkingen en risico’s. De belangrijkste voordelen van een GRC-tool boven Excel zijn:

  1. Als het normenkader verandert, kun je een tool eenvoudig updaten en hoef je niet opnieuw te beginnen.
  2. Een tool geeft je suggesties hoe je van A naar B komt.
  3. Met de taken optie kan je medewerkers informeren over en attenderen op uit te voeren acties en hier toezicht op houden.
  4. Alle handelingen worden gelogd, waardoor je taken kunt monitoren en wijzigingen snel kunt beoordelen.
  5. Door de ingebouwde dashboards kun je met één druk op de knop alle statussen zien en waar nodig collega’s opvolgen.
  6. Door middel van de rapportagemodule in een tool kun je aantonen welke acties open staan en zijn afgerond.

Aan de slag

Met de tool aan de slag? Daar gaat een korte training aan vooraf. We leren je optimaal gebruik te maken van de tool en daarnaast helpen we je bijvoorbeeld met het inrichten en uitvoeren van een gap-analyse. Daarna heb je genoeg bagage om er zelf mee aan de slag te gaan”, aldus Joost. “Uiteraard staan we je ook nadien met raad en daad bij als je vragen hebt.”

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Een audit is veel meer dan het invullen van een checklist

Een audit is veel meer dan het invullen van een checklist

Het uitvoeren van een audit is een belangrijk instrument in het beheersen van processen. Een audit is meer dan vinkjes zetten op een checklist. Het uitvoeren van een audit begint met het inzicht krijgen in de processen en bijbehorende werkzaamheden. Wordt er gewerkt volgens de gemaakte afspraken? Zijn er verbeteringen mogelijk? Een audit uitvoeren helpt om dit inzicht te verkrijgen.

Lees verder

Houd een vinger aan de pols: 4 redenen waarom je de prestaties van jouw dataplatform moet monitoren

Houd een vinger aan de pols: 4 redenen waarom je de prestaties van jouw dataplatform moet monitoren

Jouw dataplatform is het hart van je organisatie. Je gaat er iedere dag vanuit dat het blijft kloppen. Maar hoe weet je zeker of dat het geval is? Controleer je die hartslag weleens? In deze blog legt David van Helm, Data Engineer bij Inergy, uit waarom het zo belangrijk is om te weten hoe je een platform presenteert - en hoe je dat voor elkaar krijgt.

Lees verder

Een dag uit het leven van Michel Maters, LIAS Consultant bij Inergy

Een dag uit het leven van Michel Maters, LIAS Consultant bij Inergy

Bij Inergy werken ruim 160 collega’s. Hoe zien hun werkdagen eruit? Deze keer geeft Arjan van Honk, Senior BI Developer/Consultant bij Inergy, een kijkje in zijn werkdag. Een BI-developer is iemand die verantwoordelijk is voor het bouwen en onderhouden van data-oplossingen van onze klanten. Lees over zijn dynamische werkdag in Barcelona in deze blog!

Lees verder