Het fundament van cybersecurity is risico en risicoanalyse! Vaak horen wij van ondernemers: “dat is niks voor ons, want wij hebben niet zoveel geld als die grote corporaties”. Wat nu als dat ook helemaal niet nodig is om inzicht te krijgen in uw risico’s? U kunt het namelijk net zo uitgebreid doen als u zelf wilt. Dat leggen we u graag uit.
Onderwerpen

Stappenplan voor een eenvoudige risicoanalyse

Er is een breed scala aan risicomanagementtools en -methodieken om u te helpen om risico’s in kaart te brengen. Toch zien we vaak dat ondernemers de kosten of het gebrek aan expertise vaak als argument wordt gebruikt om niets te doen. Toch is niets doen uiteindelijk duurder! Vergelijk het met de aanschaf van een auto. Die koopt u toch ook niet voordat u hem gezien en geprobeerd hebt?

U wilt immers weten of hij u elke keer weer thuisbrengt… zo geldt dat ook voor uw onderneming: hoe lang manoeuvreert uw onderneming zich nog tussen cyberdreigingen door zonder geraakt te worden door een aanval. Met deze 5 stappen krijgt u relatief eenvoudig de risico’s inzichtelijk. En maakt u de juiste (kosten efficiënte) afwegingen om uw grootste risico’s aan te pakken!

Stap 1 - Inzicht genereren: waar zit de grootste pijn?

De ene organisatie heeft zeer waardevolle data (denk aan concurrerende of beursinformatie), een andere heeft waardevolle spullen zoals geld of edelmetalen en zo zijn er ook organisaties waarbij het proces zelf juist heel waardevol is (denk aan uitkeringen, transport of fabrieken).

Bepaal daarom voor uzelf en uw organisatie waar u zeker niet zonder zou kunnen. Stel uzelf de vraag wat pertinent niet mag uitvallen, worden ontvreemd of ongewenst worden aangepast. Vaak maken deze zaken onderdeel uit van een proces: het kunnen dus data, systemen, applicaties, leveranciers of zelfs mensen (met unieke kennis) zijn! Het maakt niet uit, maar zet dit op een lijstje en categoriseer die van de meeste pijn naar de minste. Maak voor het gemak een top 5 of top 10. Nu zijn we klaar voor stap 2.

Efficiënte cyberweerbaarheid: combineer tech met soft controls
Efficiënte cyberweerbaarheid: combineer tech met soft controls
Lees dit artikel

Stap 2 - Kennis(houders) verzamelen

Voor een proces of onderdeel van het proces, zijn mensen verantwoordelijk. Deze mensen hebben we nodig! Wij zetten vaak een viertal experts bij elkaar: een of meerdere inhoudelijke experts van het proces, een overkoepelend expert die de samenhang tussen de onderdelen of dit proces en andere processen kent, iemand met een cyberweerbaarheid bril en iemand met een privacybescherming bril. De eerste twee zijn sowieso nodig voor het in kaart brengen van de generieke risico’s. Wilt u meer diepgang? Laat dan ook een cyber- en privacy expert aanhaken.

Goed, de ‘werkgroep’ zit bij elkaar… en nu? Plan een meeting in van 1 à maximaal 2 uur. Teken op een bord uit, waar we het met elkaar over hebben; wat is het proces dat we gaan bespreken en wat hangt daar allemaal in qua data, apparaten, verbindingen of misschien mensen? Gedaan? Dan kunnen we gaan plakken!

Een cyber security specialist beschermt uw data
Een cyber security specialist beschermt uw data
Lees dit artikel

Stap 3 - Scoren en categoriseren

Goed zo! De werkgroep zit bij elkaar en op het bord staat een proces uitgetekend. Stel nu met elkaar telkens 6 vragen per element op het bord en denk daarbij in termen van bijvoorbeeld herstel-, reputatieschade of boetes:

  1. Hoe groot is de kans dat dit niet meer beschikbaar is?
  2. Hoe zeer doet het als dit niet meer beschikbaar is?
  3. Hoe groot is de kans dat dit uitlekt in bijvoorbeeld de media of bij concurrenten?
  4. Hoe zeer doet het als dit uitlekt in bijvoorbeeld de media of bij concurrenten?
  5. Hoe groot is de kans dat dit onterecht wordt aangepast of foutief wordt opgeslagen?
  6. Hoe zeer doet dit als dit onterecht wordt aangepast of foutief wordt opgeslagen?

Geef elke vraag een score van 1 tot 5, waarbij 1 een kleine kans en pijn (impact) betekent en een 5 een hoge kans en pijn (impact) betekent. Probeer wel te denken aan de situatie waarbij er nog geen maatregelen geïmplementeerd zijn, dus wat als de documenten die in de kluis liggen, er niet in maar ernaast zouden liggen? Dit is belangrijk, want anders gaan we appels en peren vergelijken.

Plak of schrijf deze scores vervolgens op het bord en werk bij voorkeur met kleurtjes. Schrijf ze ook op een vel of bij voorkeur in een Excel sheet, want we gaan er straks nog mee rekenen. Voor nu kunnen we de beide scores per onderdeel (kans maal impact) met elkaar vermenigvuldigen. Als dit goed is gedaan, heeft u nu namelijk al een inzicht in de voor uw organisatie grootste risico’s!

Stap 4 - Aanpakken!

Dat viel toch best mee? We hebben inmiddels inzicht in wat het meest waardevolle is voor uw onderneming. Dus dan is het nu tijd om die zaken ook goed te beschermen! Ga daarom met de werkgroep aan de gang en bedenk per post-it of score op het bord, hoe je dit nummer kunt verlagen. Stel dus dezelfde vragen op een andere manier:

  1. Hoe verklein ik de kans dat dit niet meer beschikbaar is?
  2. Hoe verminder ik de pijn als dit niet meer beschikbaar is?
  3. Hoe verklein ik de kans dat dit uitlekt in bijvoorbeeld de media of bij concurrenten?
  4. Hoe verminder ik de pijn als dit uitlekt in bijvoorbeeld de media of bij concurrenten?
  5. Hoe verklein ik de kans dat dit onterecht wordt aangepast of foutief wordt opgeslagen?
  6. Hoe verminder ik de pijn als dit onterecht wordt aangepast of foutief wordt opgeslagen?

Zet de maatregelen die jullie bedenken op het bord bij elk pijnpunt en zet er een nieuwe verlaagde score achter. Wat we namelijk bij de vorige stap hebben gedaan, was het zogenoemde inherente risico berekenen. Dat betekent dus het risico zonder enige maatregelen. Op die manier krijgen we de echte kroonjuwelen van uw organisatie inzichtelijk. Bent u benieuwd naar voorbeeld van een kwantitatieve risicoanalyse worksheet? Neem dan contact met ons op. 

Nu hebben we met elkaar maatregelen bedacht of al bestaande maatregelen opgeschreven, en bepalen we dus het restrisico; welk risico blijft er nog over, nadat we alle bedachte maatregelen hebben getroffen? En daarvoor geldt: hoe lager de score (dichter bij 0) hoe kleiner het restrisico. Dus hoe meer u kunt stellen dat het restrisico u geen pijn veroorzaakt, hoe acceptabeler dat is. Andersom werkt het helaas ook: hoe hoger de score (dichter bij de 25) hoe groter de kans is dat het restrisico nog steeds een significant risico vormt. Misschien zijn er nog andere maatregelen mogelijk om het risico verder te verkleinen of is dit juist een moment om een expert in te schakelen?

De scores voor elk proces en alle items in de processen kunt u onder elkaar zetten en sorteren van hoog naar laag. Daarmee kunt u dus heel eenvoudig, snel en kosten efficiënt op uw risico’s sturen.

Niet elk risico is de moeite van een investering waard.
Laat daarom de investering in uw risico’s wél de moeite waard zijn!

Stap 5 - Check, check, dubbelcheck!

En last, but not least: probeer deze 4 voorgaande stappen te integreren in uw organisatie. Actualiseer de risicoanalyse(s) minstens jaarlijks en doe een korte snelle risicoanalyse bij de introductie van nieuwe of wijzigingen op bestaande processen, producten, assets of data. Ga ook na of de geplande maatregelen ook daadwerkelijk worden opgepakt en doorgevoerd.
Daarmee zet uw organisatie een grote kostenefficiënte stap naar een duurzame cyberweerbaarheid!

Hulp nodig?

Lukt het u niet om dit zelf te doen, wilt u gewoon even sparren met een expert of wilt u dat alle zorgen uit handen worden genomen? Neem dan gerust even vrijblijvend contact met ons op. Onze cyberexperts voeren deze risicoanalyses dagelijks uit bij een diversiteit aan klanten; zowel groot als klein in alle sectoren. Wij stellen onze kennis en ervaring ook voor uw organisatie beschikbaar. Bovendien hebben we diverse handige tools beschikbaar die het leven net wat eenvoudiger maken.