Overordnet set bruges GAP analyser til påvisning hvad der fungerer/Good hvad der gennemsnitligt/Average og hvad der er dårligt/Poor i ens forretning indenfor et bestemt fokus.

For it sikkerhed kan GAP bruges til at påvise hvor der bør lægges ressourcer ift. hvor man gerne ser sin organisation være fremadrettet. Et scenarie kunne derfor være at virksomheden ønsker at være compliant indenfor GDPR eller ISO 27001 retningen, men ønsker et konkret billede af mangler og overblik af deres nuværende niveau ift. dokumentationskrav eller lignede.

Eksempel på GAP-analyser kan være en organisation der tidligere har outsourcet deres it, om de har ressourcerne til at varetage denne igen til fulde. Overblik over leverandører, drifts aftaler og services level agreements(SLA’er) der påhviler organisationen at sikre samt have overblikket over, i en compliance verden hvor man altid har ansvaret da dette ikke kan outsources gør at virksomhederne har behov for GAP analyser indenfor it sikkerhed.

Hvis du laver en GAP-analyse i forbindelse med en forretningsbeslutning om it sikkerhed, kan du også overveje at bruge en SWOT-analyse. Det skyldes, at en SWOT-analyse ser på de styrker, svagheder, muligheder og trusler, der er forbundet med hver enkelt mulighed. Dette kan give dig et mere fuldstændigt billede af de risici og fordele, der er forbundet med hvert valg.

Virksomheder kan ofte være i tvivl om, hvorvidt den efterlever, hvad der er nødvendigt, når det gælder ISO 27001 eller ISO 27002. Årsagen kan enten være, at virksomheden står foran en ISO certificering i f.eks. ISO 27001, eller det kan være, fordi den overvejer at lade sig revidere efter ISAE 3402 (ofte ISO 27002) eller ISAE 3000 (ofte målrettet GDPR eller cybersikkerhed).

Virksomheder kan også efterspørge vores GAP-analyse, fordi bestyrelsen eller direktionen har et ønske om en temperaturmåling i forhold best practice, som enten kan være nogle af de førnævnte standarder, eller en kvalitativ vurdering af, om virksomheden har en betryggende it-styring set i forhold til konkrete krav og behov, som virksomheden agerer i.