Qualitative Risk Analyse
Hoe je onzekerheid netjes in drie hokjes stopt en daarna verrast bent dat het ontsnapt...
Er zijn in organisaties twee grote drijfveren:
- We willen controle.
- We hebben geen tijd.
En precies op het kruispunt van die twee staat qualitative risk analysis: de kunst om te zeggen “dit risico is hoog” zonder dat iemand de vraag stelt: “Hoe hoog dan precies, en vergeleken met wat?”
Qualitative risk analyse is risico’s beoordelen met woorden en categorieën in plaats van met euro’s, kansverdelingen en ingewikkelde simulaties. Je krijgt dan dingen als:
- Kans: laag / middel / hoog
- Impact: laag / middel / hoog
- Risico: rood / oranje / groen
En dat voelt heerlijk overzichtelijk. Het is alsof je het universum in een kast hebt gezet en er stickers op hebt geplakt. De stickers zijn bovendien vaak in stoplichtkleuren, want niets zegt “professionele besluitvorming” zoals een rood vakje.
Waarom het bestaat (en waarom het eigenlijk best slim is)
Qualitative risk analyse bestaat omdat de wereld te complex is om overal cijfers op te plakken. En omdat, eerlijk gezegd, veel organisaties al moeite hebben met het invullen van hun assetlijst zonder dat iemand “Definitief_final_v9” zegt.
De voordelen zijn echt:
1) Snelheid: je krijgt beweging
Je kunt in korte tijd met stakeholders door risico’s heen en:
- prioriteiten stellen,
- eigenaars aanwijzen,
- en acties starten.
In het echte leven is “redelijk snel iets doen” vaak beter dan “perfect modelleren tot het incident zich meldt”.
2) Begrijpelijkheid: iedereen kan meedoen
Je hoeft geen statistiek te spreken. Je kunt met business, IT, security, compliance en audit om tafel en iedereen snapt wat “hoog” ongeveer betekent.
En in organisaties is “iedereen snapt het” een zeldzame superkracht.
3) Het dwingt gesprekken af die anders niet gebeuren
Als je vraagt:
- “Wat is de impact als dit systeem een dag uitvalt?”
dan komen verhalen boven tafel, afhankelijkheden, verborgen processen, en soms de zin: - “Oh, dat draait nog? Daar hangt onze hele facturatie aan.”
Dat is waardevol. Risk analyse als zaklamp.
Waarom het óók een probleem is
En waarom het vaak eindigt als compliance-theater met kleurcodes...
Qualitative risk analyse heeft een aantal klassieke valkuilen, en ze zijn bijna allemaal menselijk.
1) “Hoog” betekent voor iedereen iets anders
Voor de business kan “hoog” betekenen: “Kost omzet, klanten worden boos.”
Voor IT: “Ik krijg een weekendincident.”
Voor compliance: “Boete, melding, reputatie.”
Voor security: “Aanvaller komt binnen en blijft zitten.”
Dus je zit in een meeting waar iedereen “hoog” zegt en iedereen iets anders bedoelt. Dat is geen gedeelde taal, dat is karaoke.
2) De matrix-loterij: 3×3 of 5×5 maakt je niet wijzer
Er is een mythe dat een 5×5 matrix “volwassener” is dan een 3×3 matrix, alsof risico’s ineens beter worden zodra je meer vakjes tekent.
In werkelijkheid betekent meer vakjes vaak alleen:
- meer discussie over het verschil tussen “3” en “4”,
- en meer schijnprecisie (“dit is duidelijk een 4, niet een 3!”)
alsof het hier om natuurkunde gaat en niet om inschatting.
3) Bias: de luidste stem wint
Qualitative analyses zijn gevoelig voor:
- hiërarchie (de baas vindt het laag, dus het is laag),
- recentheid (we hadden laatst phishing, dus alles is phishing),
- optimisme (“dat gebeurt ons niet”),
- schaamte (“laten we dit niet rood maken, dat staat slecht”).
En zo verandert “risk analysis” soms in “reputatie management”.
4) Alles wordt rood (of alles wordt groen)
Twee extreme uitkomsten komen vaak voor:
- Alles is rood: dan is er geen prioriteit meer, alleen paniek.
- Alles is groen: dan is er geen probleem meer, alleen fantasie.
Beide uitkomsten zijn even nutteloos. Een risicomodel dat je niet helpt kiezen is geen model. Het is een moodboard.
5) Het mist vaak context: exposure en exploitability verdwijnen
Een qualitative matrix vergeet soms de nuance waar aanvallers van leven:
- Staat het systeem aan internet?
- Is er een bekende exploit?
- Is het een kroonjuweel of een hobbyproject?
- Hoe snel kunnen we herstellen?
Zonder dat wordt impact een gevoel en kans een gok.
Hoe je qualitative risk analysis wél volwassen doet (zonder jezelf voor de gek te houden)
De truc is niet “afschaffen”, maar beter organiseren.
1) Spreek definities af (ja, dat is saai — daarom werkt het)
Maak een woordenboekje. Echt.
Voor “impact” definieer je bijvoorbeeld:
- Hoog: > €X omzetverlies per dag, wettelijke melding, langdurige downtime, grote klantimpact
- Middel: beperkte klantimpact, interne processen verstoord, herstel binnen 24 uur
- Laag: ongemak, workaround mogelijk, herstel binnen 3 dagen
Voor “kans” definieer je:
- gebaseerd op exposure, known exploits, history, control maturity
Niet op buikgevoel.
Als je dit niet doet, is het stoplicht een disco.
2) Voeg “exposure” toe als aparte dimensie
Veel organisaties krijgen betere beslissingen door naast impact ook te kijken naar:
- blootstelling (internet-facing, privileged access, kroonjuwelen)
- exploitability (bekend, makkelijk, actief misbruikt)
Dit maakt de matrix meer “aanval-realistisch”.
3) Gebruik scenario’s, geen abstracties
“Risico op cyberaanval” is niet bruikbaar. Dat is alsof je zegt “risico op weer.”
Maak het concreet:
- “Credential theft → admin toegang → ransomware”
- “Cloud misconfig → data exposure”
- “Supplier compromise → code signing misbruik”
Scenario’s maken het gesprek eerlijker en de acties beter.
4) Koppel elk rood vakje aan een eigenaar en een actie
Een risico zonder owner is een wens.
Een risico zonder actie is decor.
Dus:
- owner (lijn 1),
- kader/advies (lijn 2),
- toetsing (lijn 3)
en een datum. Anders blijft het rood tot de zon uitgaat.
5) Combineer met meetbare signalen waar het kan
Qualitative hoeft niet “niet meetbaar” te zijn. Je kunt het voeden met:
- patch SLA’s,
- MFA coverage,
- backup restore tests,
- incident response oefenfrequentie,
- phishing click rates,
- asset inventory completeness.
Dan wordt “hoog” niet alleen een gevoel, maar een weerspiegeling van je volwassenheid. Tenminste....