In dit blogartikel nemen we je mee door de 6 stappen van een risicoanalyse zodat je weet wat de grootste risico's zijn en wat voor impact deze kunnen hebben.

Voordat je begint met het analyseren van de cyberrisico’s voor jouw organisatie is het belangrijk om een duidelijk beeld te hebben van alle betrokken stakeholders. Een goede risicoanalyse maak je namelijk niet alleen, deze moet worden gedragen samen met de stakeholders in jouw organisatie. Bovendien zal je niet alle stappen van de analyse (volledig) zelf kunnen invullen, dus betrek de relevante stakeholder(s) direct.
Zodra je alle stakeholders in kaart hebt gebracht, volg je de 6 stappen in dit blogartikel voor het maken van een degelijke risicoanalyse voor jouw organisatie.
Stap 1: Dreigingsanalyse
Er zijn vele vormen van cybercriminaliteit en het risico (of de impact) daarvan kent ook grote verschillen. De meest voorkomende cyberaanvallen zijn:
- Datalekken: Als bedrijfsinformatie in verkeerde handen valt kan dit leiden tot o.a. identiteitsdiefstal of verlies van intellectueel eigendom. Daarnaast kan dit in combinatie met afpersing door criminelen of boetes van autoriteiten tot (groot) financieel verlies leiden.
- Ransomware aanvallen: Hierbij worden je systemen versleuteld waardoor de processen die van deze systemen afhankelijk zijn niet langer kunnen functioneren. Ook dit gebeurt vaak in combinatie met afpersing door cybercriminelen.
- DDoS: Door een DDoS aanval worden de servers van de organisatie overvraagd. Dit resulteert in verminderde of geen toegankelijkheid van alle services die geleverd worden via internet.
- Supply-chain aanvallen: Hierbij wordt toegang tot systemen verkregen door een aanval in de toeleveringsketen.
- Aanval op kwetsbare systemen: Met name in het OT en IoT domein kan het voorkomen dat de apparatuur die verbonden met het internet is rechtstreeks wordt aangevallen. Dit kan leiden tot grote operationele problemen. Naast kwetsbare IoT apparaten vormen ook configuratiefouten op firewalls of Cloud-omgevingen, ontbrekende patches of verouderde certificaten een risico.
- CEO fraude: Door impersonatie van senior leidinggevenden in de organisatie kunnen financiële middelen of gevoelige informatie gestolen worden.
Ga na in hoeverre deze cyberaanvallen een bedreiging voor jouw organisatie vormen en houd deze bij de hand terwijl je de volgende stappen doorloopt.
Stap 2: Bepaal kritische processen
Zodra je de risico’s bepaald hebt, is het tijd om de belangrijkste processen van de organisatie in kaart te brengen. Kijk bij het definiëren van deze processen niet alleen naar de systemen die hiervoor gebruikt worden, maar ook naar de benodigde werkplekken, apparatuur of essentiële medewerkers die relevant zijn voor het uitvoeren van deze processen.
Stap 3: Bepaal de maximale uitvalduur
Na hoeveel tijd wordt het echt kritiek wanneer je de organisatieprocessen van stap 2 niet meer kunt uitvoeren? Dat is de “maximale uitvalduur”. En dan hebben we het niet over dat het “lastig” wordt om bepaalde taken uit te voeren, want in dat geval is er vaak nog wel een workaround te verzinnen om de organisatie diensten alsnog te verlenen.
Het gaat er bij de maximale uitvalduur dus om de processen waarbij een workaround niet mogelijk of lang vol te houden is en het dus écht kritiek wordt. Denk hierbij aan tijdsintervallen van 4 uur, 1 dag, 2-3 dagen, 1 week of 2 weken (als het tijdsinterval 1 of 2 weken is kun je natuurlijk jezelf afvragen of dat wel echt kritiek is…).
Stap 4: Bepaal de impact op je klanten
Bepaal in hoeverre het uitvallen van bedrijfsprocessen de klant raakt. Dus, wat is de impact op de klant wanneer het proces eruit ligt? Niet kunnen leveren heeft bijvoorbeeld direct impact op de klant, terwijl niet kunnen inkopen pas (veel) later gevolgen voor de klant zal hebben. Naast directe impact op de klant kan er natuurlijk ook sprake zijn van reputatieschade wanneer je niet kunt leveren aan klanten, of wanneer klantgegevens van jouw organisatie op straat komen te liggen.
Stap 5: Bepaal de financiële impact op je eigen organisatie
Wanneer je processen niet meer kunt uitvoeren kan dit hoge herstelkosten met zich meebrengen. Herstelkosten zijn niet alleen kosten voor het oplossen van het probleem, maar ook verkopen die je misloopt of het bederven van voorraden met beperkte houdbaarheid.
Stap 6: Maak een prioriteitenlijst
Op basis van de uitkomsten van bovenstaande stappen kun je vaststellen welke procesverstoringen voor jouw organisatie de grootste impact hebben. Neem je analyse door met de organisatie stakeholders en bepaal samen wat jullie moeten prioriteren om de risico’s te weren die jullie in deze analyse hebben geïdentificeerd.
Tot slot
Wanneer de risico’s op verstoring van kritische processen in kaart gebracht zijn, dan heb je de basis in handen om een cybersecurity roadmap op te stellen. Bedenk hiervoor passende maatregelen die de risico’s verminderen, of de impact van een verstoring verkleinen.
In het ideale geval sla je meerdere vliegen in één klap: maatregelen tegen cybercriminaliteit die een positief effect op meerdere processen hebben. In ieder geval weet je uit deze analyse wie belang hebben bij deze maatregelen, dat helpt om draagvlak te creëren.