In deze tijd van jeukwoorden reken je je al rijk. Gap-analyse: een term die haast wel een blinkende parel moet herbergen, máár niets is minder waar. Gap staat gewoon voor wat het is: een gat. In het Engels, dat wel. Met de daadwerkelijke betekenis is het al net zo simpel. Er is een huidige situatie en een gewenste situatie. Het verschil daartussen is ‘het gat’ dat je met een gap-analyse zichtbaar maakt én zo nodig gaat dichten. Want uiteindelijk zit er aan de gaten tussen de kaas de minste smaak.
Dé manier om te toetsen
Als organisatie wil je vooruit, je hebt een bepaalde doelstelling voor ogen. Maar waar sta je nu eigenlijk: is het doel binnen handbereik, mijlenver weg, of ergens daartussenin? Dat is vaak lastiger te bepalen dan het lijkt. Adviseur informatieveiligheid Joost van Bree schept licht in de duisternis. “De gap-methode is dé manier om te toetsen of een organisatie voldoet aan eisen, normen en standaarden. Zoals je die veel tegenkomt in de informatiebeveiliging.
Je ziet welke maatregelen er al genomen zijn, welke nog niet en welke wel gewenst én vaak vereist zijn. Als je bedenkt dat er op het gebied van het nieuwe normenkader voor gemeentes (BIO) 35 normen, 112 controls en 322 maatregelen zijn, dan is het logisch dat je wilt weten waar je staat. Een gap-analyse is daarbij een uitstekend en efficiënt vertrekpunt.”
Gap-analyse: wat is de status?
Joost: “Elk moment is een geschikt moment om te starten met een analyse. Daar hoef je dus eigenlijk niet over te dubben. Het begint pas echt met het uitzoeken waar je staat ten opzichte van de maatregelen in de BIO. Per maatregel onderzoek je wat er is maar vooral wat er nog ontbreekt om te voldoen aan de norm. Dat doe je door gesprekken te voeren met betrokkenen en documentatie door te nemen. Als je een maatregel hebt onderzocht, geef je die een status mee: we voldoen, we voldoen gedeeltelijk of we voldoen (nog) niet.
Het is slim om daarbij aan te geven waar het bewijs te vinden is voor de aangegeven status. En als je toch bezig bent; noteer meteen de proceseigenaar en de verantwoordelijke voor de maatregel. Dat is informatie die je vaker nodig hebt.”
Elk moment is een geschikt moment om te starten met een analyse. Daar hoef je dus eigenlijk niet over te dubben.
Inzicht = overzicht
Als de eerste analyse is gedaan, heb je een uiterst waardevol beginpunt: de 0-meting. Zo sta je ervoor en daar liggen de ‘gaps’: de maatregelen die nog genomen moeten worden. Dan volgt het beoordelen en prioriteren, want alles in één keer uitvoeren is vrijwel onmogelijk, gaat Joost verder. “Aan de hand van je analyse maak je een plan voor het invullen van de gaten, met daarin wat er nodig is aan mensen, tijd, kennis en middelen. Met inzicht ontstaat overzicht en dat is voor iedereen prettig.
Je weet wat er moet gebeuren en dus kun je een planning maken en budget organiseren. Zo ontstaat er een dynamisch document dat continu inzicht geeft. Een analyse hoeft overigens echt niet elk jaar. Uitvoeren en bijhouden is wél essentieel. Vaak gebeurt dat aan de hand van de PDCA-cyclus. Dat staat voor ‘Plan-Do-Check-Act’. Dit is in een notendop: de verbetermethode die begint met het plannen van acties, die je daarna uitvoert. Dan check je de resultaten en kun je zo nodig bijsturen of opnieuw plannen.”
Corona en continuïteit
Joost: “De gap-analyse in de praktijk? Nou kijk maar eens naar de omstandigheden rond Corona. Dat heeft veel invloed op de informatieveiligheid. Er wordt massaal thuisgewerkt. En zoals je zelf misschien ook gemerkt hebt, is dat toch heel anders dan op kantoor. De koffie is misschien lekkerder maar qua vertrouwelijke gegevens is het lastig afschermen als je partner of puber op dezelfde computer aan de slag moet.
Overleg over de boodschappen zorgt er misschien voor dat je dat ene mailtje net naar het verkeerde mailadres verstuurt. Zaken die je met een thuiswerkbeleid simpel voorkomt. Rond Corona hebben we ook de factor dat echt iedereen thuis moet werken, dus bijvoorbeeld ook de baliemedewerkers voor wie dat normaliter niet gebruikelijk is. Hoe regel je autorisaties? Hadden we iets voor business continuïteit en waar vind ik dat? Alles komt in een stroomversnelling. Dan geeft een goede gap-analyse lucht en richting.”
Lees ook:
Alles over de BIV-classificatie.
LIAS ISMS
Klinkt natuurlijk goed maar hoe breng je dit allemaal in de praktijk? Joost: “In veel gevallen ben je als CISO verantwoordelijk voor een breder takenpakket dan de BIO. Zo heb ik zelf als CISO ook ervaren dat het lastig is om ruimte te houden om de BIO goed te implementeren en te analyseren. Je kunt natuurlijk een Excel-magiër zijn maar dan nog heb je alleen een document en moet je zelf nog uitvogelen; hoe en wat nu?
Daarom hebben we met de GRC-functionaliteit in LIAS ISMS ontwikkeld. In deze tool is onder meer het normenkader van de BIO ingericht, met dashboards, een procesregister en de mogelijkheid om taken uit te zetten bij je collega’s. Het is een applicatie waarin je vastlegt, bijhoudt en beheert. Zo ben je altijd actueel. Je ziet precies waar de risico’s voor privacy en informatieveiligheid zitten én wat de oplossingen zijn. De koppelingen naar de controls en de maatregelen maakt de tool automatisch.
Met de tool aan de slag? Daar gaat een korte training aan vooraf. We leren je optimaal gebruik te maken van de tool en daarnaast helpen we je bijvoorbeeld met het inrichten en uitvoeren van een gap-analyse.”
