Snel naar content
twee houten poppetjes staan te zwaaien

Gap-analyse: Excel of toch liever een GRC-tool?

Om de informatieveiligheid van jouw organisatie te borgen moet je niet alleen de eisen kennen, maar ook weten waar jouw organisatie nu staat. Om vervolgens van de huidige situatie naar de gewenste situatie te komen, is de gap-analyse een nuttig hulpmiddel. Ciso’s gebruiken Excel vaak als opstap, maar Excel heeft naast voordelen ook nadelen. Reden genoeg om Accountmanager & Adviseur Informatieveiligheid Joost van Bree aan de tand te voelen over het alternatief: GRC-tooling.

“Als je in een kleine organisatie met slechts enkele processen een gap-analyse wilt uitvoeren, is dat nog wel te doen met een Excel”, steekt Joost van wal. “Maar zodra er meer processen zijn of als ze complexer worden, leidt dat al snel tot een administratief bakbeest. Zeker als er meerdere verantwoordelijken bij betrokken zijn. Het aantal kolommen neemt toe en je zult met meerdere tabbladen of documenten moeten gaan werken.”

Sneller, makkelijker en beter met een GRC-tool
Een goede GRC-tool werkt in alle gevallen sneller, makkelijker en beter. Joost: “GRC staat voor Governance, Risk en Compliance. Het verwijst naar een strategie voor het beheer van de algehele governance van een organisatie, het managen van risico’s en het naleven van regelgeving. Beschouw GRC als een gestructureerde benadering om te voldoen aan regelgeving, terwijl je tegelijkertijd risico’s effectief beheerst en voldoet aan de nalevingsvereisten.”

Output en opvolging
“Als je Excel gebruikt, moet je jezelf altijd de vraag blijven stellen of je wel compleet bent”, weet Joost uit ervaring. “Met een goede GRC-tool hoef je je daar geen zorgen om te maken. Een ander nadeel van Excel is dat de tabellen alleen een weergave zijn van de aandachtspunten en de te nemen actie. Ze geven geen output, geen suggesties om van A naar B te komen. Datzelfde geldt voor het toewijzen van rollen. Daardoor wordt ook de opvolging een stuk lastiger; bij wijzigingen moet je in Excel hiervoor alle versies doorlopen. Tools loggen de handelingen en geven je zicht op wijzigingen die je vervolgens snel kunt beoordelen en doorvoeren. Weliswaar kun je zelf een applicatie in Excel bouwen, maar dat is vaak een tijdrovende klus.”

Aantoonbaar in control
Door de inzet van GRC-tooling verbeter je dus het inzicht in de mate van beheersing van processen, verwerkingen en risico’s. Door middel van dashboards krijg je direct inzicht in de huidige status. De organisatie is daardoor beter en aantoonbaar in control.

“In tegenstelling tot Excel, daar is elke gap-analyse een aparte sheet en mis je dus het overzicht”, aldus Joost. “Terwijl je met LIAS ISMS en Content (plus) met één druk op de knop een overzicht hebt van alle statussen. Denk bijvoorbeeld aan verwerkingen, normenkaders en verantwoordelijkheden. Daardoor kan de organisatie functioneren in overeenstemming met haar doelstellingen. Dat aantonen is ook eenvoudig, omdat IC Control ook een rapportagemodule heeft.”

GRC-tool LIAS ISMS en Content (plus)
Zoals altijd begint een gestructureerde benadering bij de basis, in dit geval de architectuur. Als je met Excel werkt, moet je die zelf ontwikkelen. In LIAS ISMS, is de architectuur al verwerkt. En stel dat het normenkader verandert. Dan zul je bij het gebruik van Excel helemaal opnieuw moeten beginnen, terwijl je LIAS ISMS eenvoudig updatet met de nieuwe vereisten. Daardoor weet je welk pad je moet lopen én kun je de taken monitoren. In LIAS ISMS is onder meer het normenkader van de BIO ingericht, met dashboards, een procesregister en de mogelijkheid om taken uit te zetten bij je collega’s. Het is een applicatie waarin je vastlegt, bijhoudt en beheert. Zo ben je altijd actueel. Je ziet precies waar de risico’s voor privacy en informatieveiligheid zitten én wat de oplossingen zijn. De koppelingen naar de controls en de maatregelen maakt de tool automatisch.

De voordelen van een GRC-tool vs. Excel

Een GRC-tool verbetert je inzicht in de mate van beheersing van processen, verwerkingen en risico’s. De belangrijkste voordelen van een GRC-tool boven Excel zijn:

  1. Als het normenkader verandert, kun je een tool eenvoudig updaten en hoef je niet opnieuw te beginnen.
  2. Een tool geeft je suggesties hoe je van A naar B komt.
  3. Met de taken optie kan je medewerkers informeren over en attenderen op uit te voeren acties en hier toezicht op houden.
  4. Alle handelingen worden gelogd, waardoor je taken kunt monitoren en wijzigingen snel kunt beoordelen.
  5. Door de ingebouwde dashboards kun je met één druk op de knop alle statussen zien en waar nodig collega’s opvolgen.
  6. Door middel van de rapportagemodule in een tool kun je aantonen welke acties open staan en zijn afgerond.

Aan de slag
Met de tool aan de slag? Daar gaat een korte training aan vooraf. We leren je optimaal gebruik te maken van de tool en daarnaast helpen we je bijvoorbeeld met het inrichten en uitvoeren van een gap-analyse. Daarna heb je genoeg bagage om er zelf mee aan de slag te gaan”, aldus Joost. “Uiteraard staan we je ook nadien met raad en daad bij als je vragen hebt.”

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Dé valkuilen en tips voor de gemeentelijke ENSIA-audit

Dé valkuilen en tips voor de gemeentelijke ENSIA-audit

Een audit goed voorbereiden? Logisch dat je daar vragen over hebt. Zoals wij kijken naar de ENSIA-audit is het vooral...

Lees verder

Een dag uit het leven van Arjan van Honk, senior BI Developer bij Inergy

Een dag uit het leven van Arjan van Honk, senior BI Developer bij Inergy

Bij Inergy werken ruim 160 collega’s. Hoe zien hun werkdagen eruit? Deze keer geeft Arjan van Honk, Senior BI Developer/Consultant bij Inergy, een kijkje in zijn werkdag. Een BI-developer is iemand die verantwoordelijk is voor het bouwen en onderhouden van data-oplossingen van onze klanten. Lees over zijn dynamische werkdag in Barcelona in deze blog!

Lees verder

Onze kijk op informatiebeveiliging in 2023

Onze kijk op informatiebeveiliging in 2023

Onze auditors doen honderden audits per jaar. Het valt op ons dat een aantal vragen vaak gesteld worden. Of het nu gaat een ENSIA, WPG, SUWI, VIPP of DIGID Audit. Een aantal zaken zetten we graag voor je op een rijtje omdat jij dit ook wil weten.

Lees verder