Risico analyse
Bij een risico analyse breng je risico in kaart bijvoorbeeld in de vorm van een risico matrix. Er zijn veel verschillende risci analyses zo is er een voor bedrijven, projecten, cybersecurity risico analyses. Doordat je de risicos in kaart hebt kun je keuzes maken op basis van de risicos, zo kan je niet door gaan met een project om dat er een grote kans is dat het niet haalbaar is.
Een risico analyse bestaat meestal uit een:
- Inleiding
- Risicos
- Maatregels
- Conclusie
Meestal heb je stakeholders die betrokken zijn bij de risisco analyse zo kunnen het managers, medewerkers, management er voorbeelden van zijn.
Wij kunnen een risisco analyse opstellen door naar de volgende punten te kijken:
- Het doel en scope
- Risisco's in kaart brengen
- Kans x Impact
- Maatregels
- Evaluatie en updaten
Voor mijn project heb ik een cybersecurity risico analyse gemaakt, dit gaat dieper in de risicos van bijvoorbeeld cybersecurity incidenten / kwetsbaarheden dan in plaats van een project/bedrijf. Omdat wij ook meer voor de website/cybersecurity kant zijn en niet echt bedrijf consultants.
Risico analyse cybersecurity project
Wij kunnen de impact schatten door naar de risisco te kijken en de gevolgen, zo kan een gevolg van een risico hoog zijn omdat de medewerkers niet meer kunnen werken. Bij de impact schaal maken wij gebruik van laag/middel/hoog.
Bij de analyse is er gekeken naar hoe het terwerking gaat bij het bedrijf. Zo weten wij dat ze veel met gmail gebruiken, zo hebben hun devices geen antivirus / EDR (een EDR zou ik ook niet aanraden omdat er geen team is achter dit.) De devices hebben geen backups en de wifi is open.
Voorbeeld:
| Risico | Kans | Impact | Toelichting |
|---|---|---|---|
| Datalek (phishing) | Middel | Hoog | Vrijwilligers klikken op phishing email en lekken inloggegevens. |
| Ransomware aanval | Laag | Hoog | Systemen worden gelocked waardoor er mogelijke dataverlies is. |
| Geen backup | Middel | Middel | Geen back up, gegevens kunnen niet worden gerecovered na een incident. |
| Geen wifi wachtwoord | Hoog | Middel | Externe kunnen het netwerkverkeer onderscheppen of systemen binnendringen. |
Feedback: Meer toelichten en ook de reden geven waarom iets een kans/impact heeft.
| Oorzaak | Kans | Impact | Risico | Toelichting | Fix |
|---|---|---|---|---|---|
| Vrijwilligers klikken op phishing email en lekken inloggegevens | Middel | Hoog | Datalek. | De kans op dat de klikken op een link is niet hoog maar ook niet laag omdat ze vaak veel via outlook doen. De impact als er een datalek is hoog omdat het over gebruikersinformatie gaat waarbij de dorpshuis het volgens de wet veilig moet stellen. | Phishing/security awareness training & email filtering |
| Oorzaak | Kans | Impact | Risico | Toelichting | Fix |
|---|---|---|---|---|---|
| Vrijwilligers hebben een admin account op het bibliotheek PC zonder wachtwoord | Laag | Hoog | Ransomware aanval/Datalek | De kans is klein omdat er een aanvaller echt fysiek moet zijn bij de PC om iets te runnen, de impact is hoog omdat er data gestolen kan worden of de systemen kunnen gelocked worden. | Standard user account gebruiker, en wachtwoord toevoegen aan de accounts. |
| Oorzaak | Kans | Impact | Risico | Toelichting | Fix |
|---|---|---|---|---|---|
| Het wifi netwerk heeft geen wachtwoord, iedereen kan er op | Hoog | Middel | Externe kunnen het netwerkverkeer onderscheppen of systemen binnendringen. | Er is geen wachtwoord voor het wifi netwerk waardoor mogelijk aanvallers binnen het netwerk kunnen komen zonder enige skills of contact met mensen waardoor de kans ook groter is. De impact is moeilijk te schatten omdat dit meer een entry methode is, dus als er andere devices zijn die kwetsbaar zijn zal dit een grotere impact hebben. | Wifi wachtwoord toevoegen, en 2 aparte netwerken hebben. |
Feedback: Meer linken met wetgeving
AVG: Organisaties zijn verplicht het melden van datalekken naar de AP, en ze moeten hierbij dit ook melden aan de mensen waarbij hun data van gelekt is en welke datalek er gelekt is. Door het beveiligen van de systemen zorgt het er voor dat er minder datalekken zijn. Dit zal er ook voor zorgen dat de bedrijf ook mogelijk minder boetes gaat krijgen.
Bronvermelding
Propedeuse, T. (z.d.-d). Risico analyse - Knowledgebase. https://knowledgebase.hbo-ict-hva.nl/2_professional_skills/toekomstgericht_organiseren/organisatorische_context/risico_analyse/
Scharwächter, V. (2023, 23 februari). Een perfecte risicoanalyse voor je opdrachtgever. Scribbr. https://www.scribbr.nl/modellen/risicoanalyse/
Stappenplan risicoanalyse. (z.d.). Digital Trust Center (Min. Van EZ). https://www.digitaltrustcenter.nl/stappenplan-risicoanalyse
Nationaal Cyber Security Centrum. (2025, 28 maart). Basisprincipe 1: Breng je risico’s in kaart. Wat Kun Je Zelf Doen? | Nationaal Cyber Security Centrum. https://www.ncsc.nl/wat-kun-je-zelf-doen/basisprincipes/breng-je-risicos-in-kaart
Datalek: wel of niet melden. (2024, 24 december). Autoriteit Persoonsgegevens. https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/datalek-wel-of-niet-melden