blog

Quantitative Risk Analyse

jan-karel

4 min read
Quantitative Risk Analyse
Photo by Micaela Parente / Unsplash

Dit herken je onderhand wel. Er zijn twee soorten organisaties:

  1. Organisaties die hun cybersecurityrisico’s beschrijven met woorden als “hoog”, “middel” en “laag”.
  2. Organisaties die dezelfde onzekerheid pakken, er een Excel-model overheen leggen, en dan zeggen: “Dit risico is € 3,7 miljoen per jaar.”

Die tweede groep kijkt je daarna aan alsof jij nu onder de indruk moet zijn, want er staat een euroteken voor. En niets zegt “wetenschap” zoals een euroteken.

Quantitative Risk Analyse (QRA) is de poging om risico’s uit de wereld van emoties (“dit voelt eng”) te trekken en in de wereld van beslissingen te duwen (“dit kost ons waarschijnlijk X”). Het is een bewonderenswaardig streven. Want ja: bestuurders begrijpen geld. Geld is een taal. Misschien de enige taal die zelfs op vrijdagmiddag nog wordt gesproken.

Maar QRA heeft ook een bijwerking: het wekt de illusie van precisie.

En die illusie is in cybersecurity even gevaarlijk als “admin/admin” op een internet-facing portal.

Wat QRA eigenlijk probeert te doen

In simpele woorden: QRA probeert drie vragen te beantwoorden:

  1. Hoe vaak kan dit misgaan?
  2. Hoe erg is het als het misgaat?
  3. Wat is dan het verwachte verlies per periode?

In klassiek risicoland krijg je termen als:

  • SLE (Single Loss Expectancy): verlies per incident
  • ARO (Annual Rate of Occurrence): hoe vaak per jaar
  • ALE (Annual Loss Expectancy): SLE × ARO

Het is een heerlijk eenvoudig model, alsof de wereld zich gedraagt als een nette wiskundesom. In werkelijkheid gedraagt de wereld zich meer als een kat: onvoorspelbaar, eigenwijs, en soms gooit hij dingen van tafel omdat hij daar zin in heeft.

Moderne QRA (bijv. in de geest van FAIR) probeert daarom iets realistischer te zijn: met verdelingen, scenario’s, waarschijnlijkheden en vaak Monte Carlo-simulaties (de beroemde techniek waarbij je een computer duizend keer “wat als?” laat spelen en dan doet alsof je nu grip hebt).

Dat kán ook echt grip geven. Maar alleen als je het goed doet.

Waarom QRA aantrekkelijk is (en waarom iedereen er verliefd op wordt)

1) Het maakt security ineens “business”

Als je zegt: “We hebben een hoog risico op data-exfiltratie,” krijg je knikjes.
Als je zegt: “Dit scenario heeft een P50 verlies van € 600.000 en een P90 van € 4 miljoen,” krijg je budget.

QRA is de vertaler tussen tech-angst en bestuursgeld. En dat is handig, want “angst” is geen goed investeringsplan, maar “verwacht verlies” wel.

2) Het dwingt je om aannames uit te spreken

Een kwalitatieve matrix laat je wegkomen met vage taal. QRA niet. QRA zegt:

  • hoe vaak denk je dat dit gebeurt?
  • hoe lang lig je plat?
  • wat kost een uur downtime écht?
  • hoe groot is de kans op boete, claims, churn?
  • hoeveel records? welke herstelkosten?

Dat is pijnlijk. Maar nuttig. Want volwassenheid begint vaak met het hardop zeggen van dingen die je liever vaag houdt.

3) Het maakt prioritering mogelijk op basis van impact

Als je alles “hoog” noemt, is niets hoog. Dan is je strategie: paniek egaliseren. QRA kan helpen om te zeggen: “Dit risico is groot in euro’s, dat risico is groot in emotie, maar kleiner in echte schade.” Niet dat emotie irrelevant is—maar je moet ergens beginnen.

Waarom QRA ook een valkuil is

En waarom je niet moet doen alsof het een waarzegger is....

1) Garbage in, garbage out — maar dan met extra zelfvertrouwen

Als je je input baseert op giswerk, krijg je output die eruitziet als wetenschap en net zo betrouwbaar is als een horoscoop.

En cybersecurity-input is vaak… tja… lastig. Hoe vaak wordt jouw specifieke organisatie getroffen door een specifieke aanval, met een specifieke impact, in de komende 12 maanden?

Dat is alsof je vraagt: “Hoeveel keer zal er volgende week precies iemand op deze stoeptegel struikelen?” Je kunt een schatting maken, maar als iemand je dan een antwoord geeft met twee decimalen, moet je wegrennen.

2) Schijnprecisie: getallen met te veel cijfers

Het grootste signaal dat QRA verkeerd wordt gebruikt is wanneer iemand zegt:

“Het verwachte jaarlijkse verlies is € 3.742.118,50.”

Die vijftig cent maakt het af. Die vijftig cent is het moment waarop je weet: niemand begrijpt onzekerheid meer. Het is alsof iemand zegt: “We denken dat er morgen 73,4% kans is op chaos.” Dat is geen kansinschatting, dat is decoratie.

Goede QRA praat in bandbreedtes en percentielen:

  • P50, P90
  • minimum / maximum plausibel
  • confidence en onzekerheid expliciet

Een getal zonder onzekerheid is geen inzicht. Het is een slogan.

3) Je meet vaak vooral wat meetbaar is, niet wat belangrijk is

Downtime-uren kun je vrij goed kwantificeren. Reputatieschade? Klantvertrouwen? Strategische schade? Juridische nasleep? Dat is moeilijker, dus dat verdwijnt vaak uit het model of wordt een willekeurige factor.

Dan krijg je een model dat perfect is in het meten van het deel dat je toch al kon zien, en zwak in het deel dat je eigenlijk wilde begrijpen.

4) QRA kan misbruikt worden als uitstelmechanisme

Sommige organisaties gebruiken QRA niet om te beslissen, maar om te vertragen:

“Voordat we MFA overal uitrollen, willen we eerst een kwantitatieve analyse.”

Dat is alsof je zegt: “Voordat we een rookmelder ophangen, willen we eerst de exacte financiële waarde berekenen van brand.”

Hang die rookmelder op. Daarna mag je modelleren.

Hoe je QRA wél volwassen doet (zonder jezelf voor de gek te houden)

1) Werk met scenario’s, niet met “het algemene risico”

Definieer concrete scenario’s:

  • “Ransomware op productieomgeving via gestolen credentials”
  • “Data-exfiltratie via misconfiguratie in cloud storage”
  • “Supply chain incident door compromised CI/CD token”

Hoe concreter, hoe minder fantasie, hoe beter je input.

2) Gebruik ranges en verdelingen, geen single-point estimates

Vraag niet: “Wat kost dit?”
Vraag: “Wat is een plausibel minimum, meest waarschijnlijk, en plausibel maximum?”

Het is het verschil tussen een foto en een weerbericht.

3) Gebruik percentielen (P50/P90) voor besluitvorming

Bestuurders houden van één getal. Geef ze er gerust één, maar dan een verstandig getal:

  • P50: “de mediane verwachting”
  • P90: “als het tegenzit, zit het zó tegen”

En leg uit dat P90 niet “paniek” is, maar “voorbereiding”.

4) Kalibreer met data waar het kan, en wees eerlijk waar het niet kan

Gebruik:

  • eigen incidenthistorie
  • sectorcijfers (met voorzichtigheid)
  • downtime-kosten uit finance/operations
  • volumes (records, transacties, klanten)

En waar je moet gokken: zeg dat je gokt. Een expliciete gok is waardevoller dan een verborgen gok met een grafiek eromheen.

5) Gebruik QRA als gesprekstool, niet als waarheid

De waarde van QRA is vaak niet het eindgetal, maar het gesprek dat het afdwingt:

  • “Wacht, waarom denken we dat herstel 2 dagen duurt?”
  • “Omdat we het nooit getest hebben.”
  • “Ah. Dus de control is: herstel testen.”

Dat is volwassenheid: QRA als zaklamp, niet als orakel.