Serie 1 van 3 – door Arjan Don, Information Security Officer bij BOEM Cybersecurity

In een tijd waarin cyberdreigingen toenemen, nieuwe regelgeving wordt ontwikkeld en normen en standaarden steeds belangrijker worden, komt er veel op organisaties af. Hoe hier mee om wordt gegaan is verschillend. Waar geen, te weinig of te laat actie wordt ondernomen ontbreekt het vaak aan overzicht en inzicht. Een effectieve manier om inzicht te krijgen in de huidige staat van je cybersecurity en te bepalen welke stappen nodig zijn om compliant en weerbaar te zijn, is het uitvoeren van een GAP-analyse.

Wat is een GAP-analyse?

Een GAP-analyse is een systematische beoordeling waarbij de huidige situatie van je informatiebeveiliging wordt vergeleken met een gewenste situatie. Het doel is om de verschillen tussen de huidige en gewenste situatie te identificeren en een plan op te stellen om deze te overbruggen. Wij koppelen de gewenste situatie vaak aan de ISO27001,de NIS2-richtlijn, of bijvoorbeeld DORA.

Waarom is een GAP-analyse belangrijk?

Aan de hand van vijf punten licht ik toe wat de waarde is van het uitvoeren van een GAP Analyse.

1. Het geeft Inzicht in de huidige situatie

   Een GAP-analyse biedt een helder overzicht van waar je organisatie staat op het gebied van informatiebeveiliging. Het identificeert sterke punten en aandachtspunten, zodat je gericht kunt verbeteren.

2. Risicobeheersing

   Veel organisaties hebben geen volledig inzicht in de risico’s die ze lopen. Vaak komt dit inzicht dan pas als het te laat is. Een GAP-analyse maakt deze risico’s inzichtelijk en biedt perspectief om maatregelen te nemen die passen bij de organisatie.

3. Efficiënte inzet van budget en middelen

   Met een duidelijk actieplan kun je middelen, budget en tijd gericht inzetten op de gebieden die de meeste aandacht behoeven.

4. Verhoging van de volwassenheid van je organisatie

   Het uitvoeren van een GAP-analyse toont aan dat er een bepaald volwassenheidsniveau aanwezig is in de keuzes van een organisatie. De bevindingen helpen vervolgens om de hele organisatie in volwassenheid te laten groeien, niet alleen op securitygebied, maar ook op gebieden als HR, privacy, IT en relatiebeheer. Ik hoor vaak van onze klanten terug dat alleen door de vragen die wij stellen bij het uitvoeren van de GAP Analyse, ze al getriggerd worden om aan de slag te gaan.

5. Voorbereiding op compliance

   Met de komst van de NIS2-richtlijn en de vernieuwing van ISO27001 is het essentieel om te weten in hoeverre je organisatie voldoet aan deze normen. Want ook het niet voldoen aan compliance is een risico voor je organisatie.

Kortom, een GAP-Analyse geeft inzicht. Inzicht dat nodig is om de juiste keuzes te maken. Inzicht dat nodig is om risico’s te beheersen, op een manier die past bij de organisatie. Inzicht dat helpt om kosten te besparen.

Over de auteur

Arjan Don is Information Security Officer bij BOEM Cybersecurity. Hij helpt organisaties om structuur aan te brengen in hun informatiebeveiliging en bewust om te gaan met risico’s en regelgeving. Met een academische achtergrond in Security Studies (Universiteit Leiden) en een scherpe blik op de mens én het proces, helpt hij klanten vooruit met werkbare oplossingen – ook als het even ingewikkeld wordt.