En gap-analys är en metod för att jämföra organisationens nuläge mot ett önskat målläge (exempelvis ISO 27001, NIS2 eller NIST) och identifiera saknade kontroller eller processer. Målet är att skapa en konkret handlingsplan för att nå önskad säkerhetsmognad.
Enkelt förklarat: Du kartlägger var du är idag, definierar var du vill vara, och listar vad som fattas för att komma dit.
Gap-analysen ger dig en tydlig "att-göra-lista" för att uppfylla säkerhetskrav och standarder.
Gap-analysens olika tillämpningsområden och metoder
En gap-analys jämför nuläget med ett önskat målläge. Namnet kommer från det engelska ordet "gap" (lucka). Det handlar om att hitta glappet mellan var ni är och var ni vill vara.
Analysen kan göras på olika nivåer:
- Strategisk nivå: Fokuserar på företagets långsiktiga mål. Exempel: "Har vi rätt säkerhetsstrategi för att möta framtida hot?"
- Operativ nivå: Fokuserar på det dagliga arbetet. Exempel: "Fungerar IT-supportens rutiner som de ska?"
Det finns flera metoder. Den vanligaste är att jämföra nuläget direkt mot målet och lista avvikelserna.
En SWOT-analys kan däremot också fungera som ett gap-analysverktyg genom att analysera styrkor och svagheter i nuläget samt identifiera möjligheter som representerar målläget, medan hot hjälper till att prioritera åtgärder.
Inom informationssäkerhet är även mognadsmodeller vanliga, där olika mognadsnivåer definieras för processer eller förmågor, vilket hjälper till att visualisera progressionen mot målläget.
Praktisk tillämpning inom informationssäkerhet
När det gäller informationssäkerhet är det ofta klokt att basera sin gap-analys på etablerade ramverk och standarder. Ramverk som ISO/IEC 27002, NIST Cybersecurity Framework, eller CIS Controls ger dig en tydlig referenspunkt att jämföra mot.
Dessa standarder innehåller strukturerade kontroller och mognadsnivåer som gör det betydligt enklare att både identifiera förbättringsområden och sätta relevanta, mätbara mål för verksamheten.
Skillnaden på gap-analys och riskanalys
Många blandar ihop dessa verktyg, men de har olika syften:
- Riskanalys: Identifierar hot och risker. Bedömer sannolikhet och konsekvens. Resultatet är en lista på risker som måste hanteras.
- Gap-analys: Jämför nuvarande skydd mot en standard (t.ex. ISO 27001). Resultatet är en lista på vad som saknas för att nå målet.
Gap-analysen ger er en konkret "att-göra-lista" för att nå rätt nivå. Den är grunden för er handlingsplan.
Praktiskt exempel - Styrning av informationssäkerhet
För att illustrera hur en gap-analys kan se ut i praktiken, låt oss titta på området styrning av informationssäkerhet (Information Security Governance).
Nuläge: Säkerhetsarbetet sker "när det brinner". Det finns ingen strategi. Ingen vet riktigt vem som ansvarar för vad.
Målläge: Ett strukturerat arbetssätt enligt ISO 27001. Säkerhet är en del av affärsplanen.
Gap: Avsaknad av strategi, otydliga roller, ingen uppföljning.
Åtgärd: Ta fram en strategi. Utse ansvariga. Börja mäta och följa upp.
Exempel på GAP-analys (MFA)
| Krav (ISO 27001) | Nuläge | Gap | Åtgärd |
|---|---|---|---|
| MFA ska användas för extern åtkomst | MFA aktiverat på e-post | Saknas på CRM & HR-system | Aktivera MFA på CRM & HR-system |
| Loggar ska granskas regelbundet | Loggning aktiverad | Ingen granskar loggarna | Inför månatlig loggranskning |
Tänk även på att gap-analysen alltid bör ses som ett återkommande verktyg i det kontinuerliga förbättringsarbetet.
Så lyckas du med din gap-analys
För att lyckas behöver ni rätt folk. Ta med personer från ledning, IT och HR. Då får ni hela bilden.
Börja litet. Försök inte analysera allt på en gång. Då tappar ni lätt farten.
Välj ut ett viktigt område att börja med, till exempel:
- Behörigheter (vem har tillgång till vad?)
- Backuper (fungerar de?)
- Leverantörer (är de säkra?)
- Lagar (följer ni NIS2?)
När ni är klara med första området, ta nästa. Det kallas att arbeta iterativt. Det ger snabbare resultat.
Kom ihåg: Gap-analysen är ingen engångsgrej. Gör den regelbundet, till exempel en gång om året. Då ser ni om ni blir bättre.
Se också till att dokumentera både analyserna och resultaten av genomförda åtgärder. Detta ger värdefull input till nästa iterations analys och hjälper er att visa på förbättringar över tid.
Ett praktiskt tips är att redan från början etablera en enkel men strukturerad process för hur analyserna ska genomföras.
Bestäm också vem som är ansvarig, vilka som ska delta, hur resultaten ska dokumenteras och hur uppföljning ska ske. Ha en tydlig koppling till verksamhetens övriga processer för riskhantering och förbättringsarbete.
Vanliga frågor om gap-analys
Hur ofta bör man genomföra en gap-analys?
Det beror på verksamhetens mognad och bransch, men generellt rekommenderas en årlig eller halvårlig genomgång. För organisationer i snabb förändring eller högriskbranscher kan det vara lämpligt med kvartalsvis uppföljning av kritiska områden.
Vid större förändringar som nya regelverk (exempelvis NIS2) eller efter säkerhetsincidenter bör en extraordinär gap-analys genomföras.
Vad är skillnaden mellan gap-analys och mognadsanalys?
En mognadsanalys är egentligen en typ av gap-analys där målläget definieras genom mognadsnivåer (exempelvis nivå 1-5). Gap-analys är ett bredare begrepp som kan använda olika typer av mållägen - det kan vara en standard, ett ramverk, konkurrenter eller just mognadsnivåer.
Vilka roller behöver involveras i en gap-analys?
För en heltäckande gap-analys inom informationssäkerhet behöver du typiskt involvera CISO eller säkerhetsansvarig, IT-chef, representanter från affärsverksamheten, HR (för medarbetarrelaterade aspekter), juridik/DPO (för regelefterlevnad) samt ledningsrepresentation för förankring. Omfattningen avgör vilka roller som är mest kritiska.
Kan man använda gap-analys för GDPR-efterlevnad?
Absolut. Gap-analys är ett utmärkt verktyg för att kartlägga organisationens GDPR-efterlevnad. Genom att använda kraven i GDPR som målläge kan du systematiskt identifiera vilka processer, rutiner och tekniska åtgärder som saknas eller behöver förbättras för full compliance.
