GAP-analyse
Is er in jouw organisatie zicht op wie welke toegangsrechten heeft en waarom? Vraagt het informatiebeveiligingsbeleid om een aanscherping? En zijn de in-, door-, en uitstroomprocessen efficiënt ingericht en geïmplementeerd? Met onze GAP-analyse weet je in één keer hoe jouw organisatie ervoor staat, inclusief een plan om snel concrete resultaten te behalen en datalekken, privacyschending en beveiligingsissues te voorkomen. Met de GAP-analyse reflecteren wij op 5 aandachtsgebieden, welke verderop beschreven staan. Daarnaast hanteren wij referentie materiaal, waarin wij alle bevindingen toetsen naar de verschillende referenten in de verschillende werkgebieden en sectoren.
Wat is een GAP-analyse?
Een GAP-analyse is een evaluatieproces, dat wordt gebruikt om het verschil (of de kloof) te meten tussen de huidige prestaties en de gewenste prestaties van een organisatie. In het kader van IAM houdt een GAP-analyse in dat de bestaande IAM-processen, beleidslijnen, technologieën en beveiligingsmaatregelen worden vergeleken met de ideale toestand die de organisatie wil bereiken.
Voordelen GAP-analyse
Door de geïdentificeerde kloven te dichten, versterkt u de beveiliging van uw organisatie tegen ongeoorloofde toegang en gegevenslekken.
Het optimaliseren van IAM-processen zorgt voor een soepele werking binnen uw organisatie, waardoor productiviteit wordt verhoogd en kosten worden verlaagd.
IAM in Control helpt bij het naleven van regelgeving en voorschriften door ervoor te zorgen dat uw IAM-processen aan de normen voldoen.
Door de identificatie en mitigatie van beveiligingsrisico’s kunt u proactief potentiële bedreigingen aanpakken.
IAM in Control staat klaar om u te begeleiden bij elke stap van uw IAM GAP-analyse en verbeteringsproces. Samen kunnen we de kloof tussen uw huidige situatie en uw IAM-doelen overbruggen en uw organisatie sterker en veiliger maken.
Het 5-lagen model
Wij werken met een 5-lagen model waarmee wij de organisatie doorlichten op de belangrijkste domeinen binnen de informatiebeveiliging. Deze vijf lagen bestaan uit: Programmamanagement, Governance, Processen, Autorisatie management en ICT-infrastructuur. Met onze methode zijn wij in staat om doelgericht de aandachtsgebieden binnen IAM te isoleren en de problematiek in kaart te brengen.
Onze werkwijze
Wij werken met een onderzoeksopzet, waarbij wij de organisatie meenemen in ons 5-lagen model. De onderzoeksopzet bestaat in de kern uit een presentatie, workshop en interview. Deze volgorde geeft de organisatie inkijk in de wereld van IAM, bevraagd de organisatie vervolgens en toetst daarna de opgehaalde informatie binnen een interviewopzet. De onderzoeksopzet geeft ruimte voor participatie tussen de organisatie en wij als IAM-adviseurs en bewaakt de kwaliteit van de onderzoeksresultaten.
Dit domein binnen de GAP-analyse richt zich op de positionering van de Identity and Access Management (IAM) binnen de projectorganisatie. De GAP-analyse onderzoekt hoe klantdoelstellingen van de betreffende IAM-thema’s het beste gedefinieerd kunnen worden, welke aspecten daarin cruciaal zijn en welke resultaten wanneer kunnen worden gerealiseerd.
Aspecten: communicatie, voorlichting aan de opdrachtgever, inschatting van de business case, risico’s, kosten, inzet en tijdslijnen.
Doelen: Aantoonbaar In Control’ zijn, migratie stappen van de uitfasering van de oude naar de nieuwe IDU-processen en middelen, etc. (welke tussenstap)
Concrete realisatie: projectproducten/resultaten, zoals verbeteringen in de uitvoering van de IAM-(audit)processen, opgeschoonde autorisaties of accounts, aangepast beleid, etc. Verhogen business volwassenheid. (Waar kan het aan bijdragen)
Dit domein binnen de GAP-analyse richt zich op de voorschrijvende kaders die er op het gebied van Identity and Access Management (IAM) van toepassing zijn voor de organisatie. De GAP-analyse onderzoekt in welke mate deze zijn vastgelegd, geïmplementeerd en worden nageleefd.
Aspecten: relevante wet- en regelgeving, beleidskaders en sectorspecifieke verplichtingen.
Doelen: wordt vastgesteld of het huidige Informatie Beveiligings-beleid voldoet of kan worden verbeterd/aangevuld.
Concrete realisatie: de toekomstwensen vastgelegd in een ambities-en volwassenheidsplan.
Dit domein binnen de GAP-analyse richt zich op de procedures en werkinstructies die er op het gebied van Identity and Access Management (IAM) zijn opgesteld. De GAP-analyse onderzoekt in welke mate deze zijn vastgelegd, geïmplementeerd en worden nageleefd.
Aspecten: IDU- en auditprocessen, goedkeuringsstappen, eigenaarschap, controles en attestaties.
Doelen: in kaart gebracht en waar die reeds aanwezig zijn, gereviewed op inhoudelijke zaken en volledigheid.
Concrete realisatie: verbetervoorstellen en wat de exacte einddoelstellingen qua processen zijn.
Dit domein binnen de GAP-analyse richt zich op de procedures en werkinstructies die er op het gebied van Identity and Access Management (IAM) zijn opgesteld. De GAP-analyse onderzoekt in welke mate deze zijn vastgelegd, geïmplementeerd en worden nageleefd.
Aspecten: autorisatiesmodel, datamodel, autorisatieprocessen.
Doelen: Hiervoor worden voorstellen gedaan met als uitkomst een basisconcept autorisatiemodel, gebaseerd op RBAC/ABAC.
Concrete realisatie: juiste invulling geeft aan het IB-beleid van de klant, bijvoorbeeld met betrekking tot classificatie en functiescheiding.
Dit domein binnen de GAP-analyse richt zich op de technische implementaties die er op het gebied van Identity and Access Management (IAM) zijn ingericht. De GAP-analyse onderzoekt in welke mate deze fungeert als een integrale informatieketen, zodat de IAM-behoefte van de organisatie kan worden ondersteund.
Aspecten: technische coördinatie, doelsystemen, Integraties, IT-architectuur.
Doelen: Architectuurrichtlijnen, integratie platform,
Concrete realisatie: Centraal beheer op Identify and Access management (IAM).
Dit domein binnen de GAP-analyse richt zich op de positionering van de Identity and Access Management (IAM) binnen de projectorganisatie.
De GAP-analyse onderzoekt hoe klantdoelstellingen van de betreffende IAM-thema’s het beste gedefinieerd kunnen worden, welke aspecten daarin cruciaal zijn en welke resultaten wanneer kunnen worden gerealiseerd.
Aspecten: communicatie, voorlichting aan de opdrachtgever, inschatting van de business case, risico’s, kosten, inzet en tijdslijnen.
Doelen: Aantoonbaar In Control’ zijn, migratie stappen van de uitfasering van de oude naar de nieuwe IDU-processen en middelen, etc. (welke tussenstap)
Concrete realisatie: projectproducten/resultaten, zoals verbeteringen in de uitvoering van de IAM-(audit)processen, opgeschoonde autorisaties of accounts, aangepast beleid, etc. Verhogen business volwassenheid. (Waar kan het aan bijdragen)
Dit domein binnen de GAP-analyse richt zich op de voorschrijvende kaders die er op het gebied van Identity and Access Management (IAM) van toepassing zijn voor de organisatie.
De GAP-analyse onderzoekt in welke mate deze zijn vastgelegd, geïmplementeerd en worden nageleefd.
Aspecten: relevante wet- en regelgeving, beleidskaders en sectorspecifieke verplichtingen.
Doelen: wordt vastgesteld of het huidige Informatie Beveiligings-beleid voldoet of kan worden verbeterd/aangevuld.
Concrete realisatie: de toekomstwensen vastgelegd in een ambities-en volwassenheidsplan.
Dit domein binnen de GAP-analyse richt zich op de procedures en werkinstructies die er op het gebied van Identity and Access Management (IAM) zijn opgesteld.
De GAP-analyse onderzoekt in welke mate deze zijn vastgelegd, geïmplementeerd en worden nageleefd.
Aspecten: IDU- en auditprocessen, goedkeuringsstappen, eigenaarschap, controles en attestaties.
Doelen: in kaart gebracht en waar die reeds aanwezig zijn, gereviewed op inhoudelijke zaken en volledigheid.
Concrete realisatie: verbetervoorstellen en wat de exacte einddoelstellingen qua processen zijn.
Dit domein binnen de GAP-analyse richt zich op de procedures en werkinstructies die er op het gebied van Identity and Access Management (IAM) zijn opgesteld.
De GAP-analyse onderzoekt in welke mate deze zijn vastgelegd, geïmplementeerd en worden nageleefd.
Aspecten: autorisatiesmodel, datamodel, autorisatieprocessen.
Doelen: Hiervoor worden voorstellen gedaan met als uitkomst een basisconcept autorisatiemodel, gebaseerd op RBAC/ABAC.
Concrete realisatie: juiste invulling geeft aan het IB-beleid van de klant, bijvoorbeeld met betrekking tot classificatie en functiescheiding.
Dit domein binnen de GAP-analyse richt zich op de technische implementaties die er op het gebied van Identity and Access Management (IAM) zijn ingericht.
De GAP-analyse onderzoekt in welke mate deze fungeert als een integrale informatieketen, zodat de IAM-behoefte van de organisatie kan worden ondersteund.
Aspecten: technische coördinatie, doelsystemen, Integraties, IT-architectuur.
Doelen: Architectuurrichtlijnen, integratie platform,
Concrete realisatie: Centraal beheer op Identify and Access management (IAM).