Stappenplan risicoanalyse

Als ondernemer is het belangrijk om je bewust te zijn van de kansen die zich voordoen. Kansen om jezelf of jouw bedrijf verder te ontwikkelen. Maar ook kansen in het gebruik van nieuwe middelen of technologie. Wie ben je? Wat is je product of dienst? Hoe ziet jouw markt eruit en welke prijs is reëel? Scherpte in deze strategische vraagstukken helpt je verder in het ondernemen. Maar heb je ook nagedacht over de risico’s die je loopt?

 

Risico’s

Risico’s zijn onzekere gebeurtenissen in de toekomst die invloed kunnen hebben op jouw onderneming. Risico’s nemen is niet slecht. Als ondernemer neem je met regelmaat risico’s die uiteindelijk leiden tot nieuwe opdrachten of nieuwe klanten. Sleutel hierbij is dat je deze keuzes bewust maakt.

Voor je digitale veiligheid is het beheersen van je risico’s heel relevant. Risico’s beheersen doe je door te kijken naar de interne en externe factoren van de hele organisatie. Externe factoren zijn bijvoorbeeld wetgeving, standaarden, klantverwachtingen en marktontwikkelingen. Bij interne factoren gaat het meer over je financiële situatie, bewustzijn van veiligheid bij het management en de volwassenheid van je organisatie.

Hoe kun je je wapenen tegen cyberincidenten?

Met een 'Uitwijk- en herstelplan'. Dit wordt ook wel een Disaster Recovery Plan (DRP) genoemd. Het plan beschrijft de procedures om je uitwijk- en fallbackvoorziening in gebruik te nemen én hoe vervolgens weer terugkeert naar de normale bedrijfsvoeringssituatie. Lees hoe dit je helpt en gebruik een template voor dit plan als handig hulpmiddel.

Wat kun je doen om risico’s te beheersen?

Doorloop eens de volgende 4 stappen om je risico’s in kaart te brengen. Deze stappen zullen je helpen om je onderneming te beschermen op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid.

Heb jij de cybersubsidie al aangevraagd?

Schakel de hulp in van een IT-dienstverlener en zorg ervoor dat je bedrijf goed voorbereid is. Via Mijn Cyberweerbare Zaak kun je nu tijdelijk tot 50% subsidie ontvangen voor het doen van een risico-inventarisatie en -evaluatie en andere cybermaatregelen. 

Stap 1 - Bepaal wat je wil beschermen

Om je risico’s te kunnen identificeren, begin je met het in kaart brengen van je zogenaamde ‘kroonjuwelen’. Dit is wat waarde heeft voor jouw bedrijf. Jouw kroonjuwelen kunnen bijvoorbeeld digitale gegevens zijn zoals klantgegevens, unieke ontwerpen, specifieke kennisproducten, recepturen, productiemethoden of productkenmerken. Maar denk ook aan gegevens over je medewerkers, omzet of financiële gegevens. Als laatste kun je ook de reputatie van je bedrijf onder jouw kroonjuwelen scharen.

Stap 2 - Identificeer de risico’s

Met een goed beeld van wát het is dat je wilt beschermen, kun je ook de waarde ervan bepalen. Dit is nodig omdat je in deze stap gaat identificeren welke risico’s er zijn. Wanneer een kroonjuweel een hogere waarde heeft, resulteert dit meestal ook in grotere risico’s.

Risico’s kom je in verschillende vormen tegen. Zo kun je denken aan een kwetsbaarheid in een informatiesysteem, brandgevaar of onhandigheid van een medewerker. Een medewerker kan per ongeluk belangrijke data verwijderen. Een medewerker kan ook verleid worden om een bestand te openen waardoor een hacker toegang krijgt tot jouw waardevolle bedrijfsmiddelen of kroonjuwelen.

Er zijn verschillende methoden om risico’s te identificeren:

  • Ten eerste kun je kijken naar wat je al eens bent tegengekomen in je bedrijf. Bijvoorbeeld het verliezen van bestanden of een stroomstoring.
  • Ook voor jouw onderneming geldende wet- en regelgeving kan risico’s aan het licht brengen. Zo kan bijvoorbeeld de Algemene Verordening Gegevensbescherming (AVG) het risico op een datalek concreet maken.
  • Weet dat er ook partijen zijn die je kunnen helpen om je risico's in kaart te brengen. Dit zijn bijvoorbeeld consultants, accountants, boekhouders of juridisch adviseurs.

Stap 3 - Analyseer de gevonden risico’s

Wanneer je een beeld hebt van de risico’s die een gevaar vormen voor je kroonjuwelen, kom je bij de stap om de risico’s te analyseren. Als de gebeurtenis zich voltrekt, wat voor gevolg brengt dat dan met zich mee? En hoe groot is de kans dat het risico zich voordoet?

Een inzicht krijgen in de kans en gevolgen is niet altijd even makkelijk. Denk bijvoorbeeld aan de gevolgen van reputatieschade. De kans dat het gebeurt is misschien niet zo groot, maar als het gebeurt, en klanten vertrouwen je niet meer, kan het schadebedrag snel oplopen.

Om de kans en gevolgen beter te kunnen bepalen, kun je gebruik maken van een kwalitatieve of een kwantitatieve methode.

  • Kwalitatief
    Bij een kwalitatief beeld praat je niet direct in cijfers en bedragen. Je kunt in het geval van een kwetsbaarheid bijvoorbeeld kijken of het makkelijk is om deze te misbruiken. Daarnaast kan je denken aan het motief dat een hacker kan hebben. Om zo’n kwalitatieve methode in kaart te brengen kan je termen als ‘Laag’, ‘Medium’ of ‘Hoog’ gebruiken om de kans en gevolgen weer te geven.
  • Kwantitatief
    In het geval van een kwantitatief beeld praat je wel in cijfers en bedragen. Je kunt formules gebruiken om zowel de kans, als de gevolgschade te bepalen. Om aan deze cijfers te komen, kun je bijvoorbeeld naar statistieken uit het verleden kijken. Hoe vaak heb je het afgelopen jaar bijvoorbeeld een stroomstoring gehad waardoor de computersystemen het niet meer deden? Is dat er één of geen, dan zul je dit anders inschatten dan wanneer dit twintig keer is gebeurd.

Vaak worden boven genoemde methoden samen gebruikt. De uitkomsten zullen je helpen in de volgende stap om te bepalen welke actie passend is.

Stap 4 - Besluit wat je gaat doen

Nu je de risico’s in kaart hebt en een beeld hebt van de kans en de gevolgen, kun je overgaan tot het nemen van besluiten. Iedere keuze kan geld kosten. Daarom is het belangrijk om goed te bedenken waar je in investeert. Een hulpmiddel hierbij is deze risicomatrix waarbij je een indicatie krijgt van te nemen acties per risico.

Er zijn 4 mogelijke acties die je kunt nemen bij een risico. Deze vier acties variëren per kans en gevolg. Let op: dit is een versimpeling. Er zijn methodes waarbij tenminste 9, 16 of zelfs 25 of meer vakjes worden gebruikt. In dit geval gaat het om de basis:

  1. Accepteren: je weet dat je een risico loopt maar je accepteert het risico. In dit vak gaat het vaak om risico’s met een kleine kans en kleine gevolgen.
  2. Oplossen (of mitigeren): je neemt maatregelen waardoor je het risico zoveel mogelijk beperkt en mogelijk zelfs kunt uitsluiten. In dit vak plaats je risico’s met een grote kans en kleine gevolgen. Bijvoorbeeld: maak een back-up om het verlies van bestanden te voorkomen.
  3. Overdragen: je verschuift het risico naar een ander door bijvoorbeeld een verzekering af te sluiten. Een goed voorbeeld hiervan is een brandverzekering. Plaats in dit vak de risico’s met een kleine kans maar met grote gevolgen.
  4. Stoppen: je voert de activiteiten waarop je een risico loopt, niet meer uit. In dit vak horen risico’s met een grote kans én grote gevolgen.

Risicoanalyse voor een NIS2-organisatie?

NIS2-organisaties moeten een beleid inzake risicoanalyse en beveiliging van informatiesystemen hebben. De Europese NIS2-richtlijn schrijft dit voor. Een beleidsplan voor risicoanalyses is een document dat weergeeft hoe je organisatie omgaat met het uitvoeren van risicoanalyses. Lees welke aspecten hier onderdeel van uitmaken.

Hoe hierna verder?

Na het nemen van besluiten ben je er nog niet. Het is van belang om risico’s van tijd tot tijd opnieuw te bekijken. De markt, jouw bedrijf, maar ook de technologie staat niet stil. Het kan dus zijn dat jouw omgeving of jouw bedrijf is veranderd waardoor er nieuwe risico’s zijn ontstaan of bestaande risico’s in kans of gevolg veranderd zijn. Wees je hiervan bewust! Bespreek je (digitale) risico’s daarom periodiek met jouw bedrijfsadviseur, partner(s), accountant en anderen die hierin een rol spelen.

Risicoklasse en bijpassende beveiligingsmaatregelen

Wil je weten welke beveiligingsmaatregelen passen bij jouw organisatie? Bekijk dan eens de Risicoklassenindeling voor Digitale Veiligheid. Dit is een risicoclassificatiemodel voor het midden- en kleinbedrijf. Aan de hand van 11 vragen maken we een inschatting hoe groot het risico op een cyberincident is. Deze inschatting bepaalt in welke risicoklasse (1 t/m 4) je organisatie valt en welke maatregelen er genomen moeten worden om je digitale veiligheid op orde te hebben.

Benieuwd in welke risicoklasse jouw organisatie ingedeeld wordt? Doorloop in enkele minuten deze gratis tool en ontvang meteen een handige inventarisatie van beveiligingsmaatregelen.

Weet wat je moet doen als er een cyberincident is

Zorg dat je medewerkers weten wat ze moeten doen en met wie contact moet worden opgezocht. Als je systemen niet meer reageren, ben je blij dat je de contactgegevens van je IT-leveranciers op een poster of handout hebt staan.