jan-karel.nl

FAIR Kwantitatieve Risico Analyse: Bereken Cyberrisico in Euro's

Hoeveel kost een cyberincident jouw organisatie werkelijk? De meeste risicoanalyses blijven steken bij vage labels als "hoog" of "midden". Het FAIR-model doorbreekt die patstelling door cyberrisico's te vertalen naar concrete bedragen in euro's. Onze FAIR Kwantitatieve Risico Analyse tool past dit internationaal erkende model toe zodat je precies weet wat de verwachte jaarlijkse schade is -- en welke beveiligingsinvesteringen zich terugverdienen.

Wat is de FAIR Kwantitatieve Risico Analyse tool?

Onze FAIR-tool is een online cybersecurity risicoanalyse die het FAIR-model (Factor Analysis of Information Risk) toepast om de financiele impact van cyberdreigingen te berekenen. In plaats van risico's in te delen in abstracte categorieen, berekent de tool twee kernmetrieken:

  • Annual Loss Expectancy (ALE) -- het verwachte totale verlies per jaar door een specifiek dreigingsscenario, uitgedrukt in euro's.
  • Single Loss Expectancy (SLE) -- het verwachte verlies bij een enkel incident, zodat je weet wat er op het spel staat als het misgaat.

De tool combineert dreigingsfrequentie, kwetsbaarheid, impactfactoren en bestaande beveiligingsmaatregelen tot een compleet financieel risicoprofiel. Het resultaat is een analyse die directies, bestuurders en financieel verantwoordelijken begrijpen, omdat het risico in hun taal spreekt: euro's.

Of je nu een CISO bent die budget wil onderbouwen, een IT-manager die prioriteiten moet stellen, of een ondernemer die wil weten waar de grootste risico's liggen: deze tool geeft je de cijfers die je nodig hebt om weloverwogen beslissingen te nemen.

Methodologie: het FAIR-model uitgelegd

FAIR is de enige internationale open standaard voor kwantitatieve informatierisico-analyse, beheerd door het FAIR Institute en gepubliceerd als OpenFAIR door The Open Group. Het model wordt erkend door toonaangevende frameworks en organisaties:

  • ISACA -- integreert FAIR in COBIT en RiskIT als aanbevolen kwantitatieve methode.
  • NIST -- het Cybersecurity Framework noemt kwantitatieve risicoanalyse als best practice voor mature organisaties.
  • ISO 31000 -- FAIR is volledig compatibel met deze internationale standaard voor risicomanagement.

De FAIR-decompositie

Het kernprincipe van FAIR is de decompositie van risico in meetbare componenten. Risico wordt gedefinieerd als:

Risico = Loss Event Frequency (LEF) × Loss Magnitude (LM)

De Loss Event Frequency wordt verder opgesplitst in Threat Event Frequency (hoe vaak doet een dreiging zich voor?) en Vulnerability (hoe waarschijnlijk is het dat de dreiging tot een daadwerkelijk verlies leidt?). De Loss Magnitude wordt uitgesplitst in Primary Loss (directe kosten zoals herstel, downtime en vervanging) en Secondary Loss (indirecte kosten zoals boetes, reputatieschade en klantverlies).

Door elke factor apart in te schatten en vervolgens te combineren, ontstaat een betrouwbaardere schatting dan wanneer je risico als geheel probeert in te schatten. Onze tool gebruikt Monte Carlo-achtige schattingen om niet alleen een puntschatting te geven, maar ook inzicht in de bandbreedte van mogelijke uitkomsten.

Hoe werkt de tool? 4 stappen naar financieel risico-inzicht

1

Dreigingsscenario kiezen

Je begint met het selecteren van een specifiek dreigingsscenario dat je wilt analyseren. De tool biedt zes scenario's die samen het belangrijkste deel van het cyberrisicoplandschap dekken:

  • Ransomware-aanval -- versleuteling van systemen met losgeldeisen.
  • Datalek (extern) -- ongeautoriseerde toegang tot gevoelige gegevens door externe aanvallers.
  • Insider threat -- bewuste of onbewuste schade door eigen medewerkers.
  • DDoS-aanval -- overbelasting van systemen met als doel operationele verstoring.
  • Supply chain compromis -- aanval via een leverancier of toeleveringsketen.
  • Phishing/BEC-fraude -- social engineering gericht op financiele fraude.

Vervolgens schat je de frequentie in: van zeer onwaarschijnlijk (eens per 10 jaar) tot zeer waarschijnlijk (meerdere keren per jaar). FAIR begint altijd met het specifieke dreigingsscenario omdat verschillende dreigingen fundamenteel andere risicoprofielen hebben. Een ransomware-aanval heeft een ander frequentie- en impactpatroon dan een DDoS-aanval.

2

Kwetsbaarheid beoordelen

In de tweede stap beoordeel je het kwetsbaarheidsniveau van je organisatie voor het gekozen scenario. Dit varieert van zeer laag (uitgebreide maatregelen) tot zeer hoog (minimale beveiliging). Daarnaast geef je aan hoe snel een incident gedetecteerd zou worden: van direct (minuten) tot zeer langzaam (maanden).

De vulnerability factor is een cruciaal onderdeel van het FAIR-model. Een hoge dreigingsfrequentie hoeft niet tot verlies te leiden als de kwetsbaarheid laag is. Denk aan een organisatie die dagelijks phishing-pogingen ontvangt maar door sterke filters en getrainde medewerkers vrijwel nooit daadwerkelijk gecompromitteerd wordt. De detectiesnelheid beïnvloedt de schadeomvang: hoe langer een incident onopgemerkt blijft, hoe groter de potentiele schade.

3

Impact inschatten

De derde stap kwantificeert de mogelijke schade. Je voert je jaaromzet en aantal medewerkers in als schaalfactoren, en selecteert welke impactcategorieen van toepassing zijn:

  • Directe financiele schade -- losgeld, herstelkosten, forensisch onderzoek.
  • Operationele downtime -- productiviteitsverlies en omzetderving.
  • Reputatieschade -- verlies van klantvertrouwen en merkwaarde.
  • Boetes en juridische kosten -- AVG-boetes, rechtszaken, meldplicht.
  • Klant- en contractverlies -- opzeggingen en gemiste opdrachten.
  • Intellectueel eigendom verlies -- diefstal van bedrijfsgeheimen of innovaties.

FAIR onderscheidt primary losses (directe kosten die onmiddellijk optreden) en secondary losses (indirecte kosten die later ontstaan, zoals reputatieschade). Door deze opsplitsing wordt duidelijk dat de totale schade van een cyberincident vaak vele malen groter is dan alleen de directe herstelkosten.

4

Bestaande controls meewegen

In de laatste stap geef je aan welke beveiligingsmaatregelen al ingericht zijn. De tool houdt rekening met tien veelvoorkomende controls:

  • MFA (Multi-Factor Authenticatie)
  • EDR/XDR (Endpoint Detection & Response)
  • Encryptie van data at rest en in transit
  • Backup volgens het 3-2-1 principe
  • Incident Response Plan
  • Security Awareness Training
  • Netwerksegmentatie
  • Vulnerability Management
  • Cyberverzekering
  • DLP (Data Loss Prevention)

Elke control reduceert ofwel de frequentie (preventieve controls zoals MFA verlagen de kans dat een aanval slaagt) ofwel de magnitude (mitigerende controls zoals backups beperken de schade als het misgaat). De tool berekent het gecombineerde effect van je huidige maatregelenpakket op de ALE.

Wat krijg je te zien?

Na het doorlopen van de vier stappen genereert de tool een compleet financieel risicoprofiel:

  • Annual Loss Expectancy (ALE) -- het verwachte jaarlijkse verlies in euro's. Dit is het kernresultaat waarmee je securitybudgetten en investeringsbeslissingen onderbouwt.
  • Single Loss Expectancy (SLE) -- het verwachte verlies per incident. Essentieel voor het bepalen van de impact van een enkel incident op je organisatie.
  • Frequentie-analyse -- een overzicht van de geschatte kans dat het dreigingsscenario zich daadwerkelijk voordoet, rekening houdend met je kwetsbaarheid en controls.
  • Risicomatrix -- een visuele weergave van je risicopositie op basis van frequentie en impact.
  • Impact breakdown per categorie -- een uitsplitsing van de verwachte schade over de zes impactcategorieen, zodat je ziet waar de grootste financiele gevolgen liggen.
  • Control savings -- een berekening van hoeveel risicoreductie je huidige beveiligingsmaatregelen opleveren, uitgedrukt in euro's.

Gratis rapport: direct inzicht in je cyberrisico

Wat bevat het gratis rapport?

Het gratis PDF-rapport bevat de kernresultaten van je FAIR-analyse. Je ontvangt een overzichtelijk document met de berekende ALE en SLE, de risicomatrix, en de belangrijkste aanbevelingen om je risico te verlagen. Dit rapport is direct geschikt om te delen met management en collega's voor risico-communicatie.

  • ALE- en SLE-berekening in euro's
  • Visuele risicomatrix
  • Top aanbevelingen op basis van je profiel
  • Geschikt voor management-presentaties

Premium analyse: de volledige FAIR-decompositie

Premium FAIR Analyse -- € 89 excl. BTW

Het premium rapport gaat aanzienlijk dieper en levert een boardroom-ready analyse die je direct kunt gebruiken voor investeringsbeslissingen en risicoverantwoording.

  • Volledige FAIR-decompositie -- alle factoren (TEF, vulnerability, LEF, primary loss, secondary loss) uitgewerkt met onderbouwing.
  • Confidence intervals -- betrouwbaarheidsintervallen rond de ALE en SLE, zodat je niet alleen de verwachte waarde kent maar ook het best-case en worst-case scenario.
  • Primaire en secundaire verliescomponenten -- gedetailleerde uitsplitsing van directe kosten (herstel, downtime, forensics) en indirecte kosten (reputatie, boetes, klantverlies).
  • Kosten-batenanalyse per maatregel -- voor elke beveiligingsmaatregel een berekening van de verwachte investering versus de risicoreductie, inclusief Return on Security Investment (ROSI).
  • Risicoreductiescenario's -- meerdere scenario's die laten zien hoeveel je ALE daalt bij het implementeren van specifieke maatregelcombinaties.
  • Boardroom-ready PDF -- professioneel opgemaakt rapport met grafieken, tabellen en executive summary, direct presenteerbaar aan directie en bestuur.

Gratis vs. premium vergelijking

Onderdeel Gratis Premium
ALE- en SLE-berekening
Risicomatrix
Top aanbevelingen
Volledige FAIR-decompositie
Confidence intervals
Primaire en secundaire verliescomponenten
Kosten-batenanalyse per maatregel met ROI
Risicoreductiescenario's
Boardroom-ready PDF

Veelgestelde vragen

Wat is het FAIR-model?

FAIR staat voor Factor Analysis of Information Risk en is de enige internationale open standaard voor kwantitatieve informatierisico-analyse. Het model is ontwikkeld door Jack Jones en wordt beheerd door het FAIR Institute. In tegenstelling tot kwalitatieve methoden die risico's indelen in categorieen als hoog, midden en laag, berekent FAIR het verwachte financiele verlies in euro's. Dit doet het door risico te decomponeren in meetbare factoren: dreigingsfrequentie, kwetsbaarheid en verliesomvang.

Wat is het verschil tussen FAIR en kwalitatieve risicoanalyse?

Kwalitatieve risicoanalyse werkt met subjectieve labels die voor iedereen iets anders betekenen. Wat de ene risicomanager als "hoog" beoordeelt, noemt de andere "midden". FAIR elimineert deze subjectiviteit door risico's uit te drukken in euro's. Dit heeft drie voordelen: risico's worden objectief vergelijkbaar, investeringen zijn te onderbouwen met een business case, en communicatie met bestuurders wordt eenvoudiger omdat je in hun taal spreekt.

Hoe betrouwbaar is de Annual Loss Expectancy (ALE)?

De ALE is een statistische verwachtingswaarde, geen voorspelling van exact wat er gaat gebeuren. De betrouwbaarheid hangt direct samen met de kwaliteit van de inputgegevens. Door gebruik te maken van Monte Carlo-simulaties levert FAIR niet alleen een puntschatting op, maar ook betrouwbaarheidsintervallen. Het premium rapport toont deze intervallen, zodat je weet dat de ALE bijvoorbeeld met 90% zekerheid tussen 50.000 en 250.000 euro ligt. Deze bandbreedte is waardevoller dan een schijnbaar precieze maar ongefundeerde schatting.

Wie gebruikt het FAIR-model?

FAIR wordt wereldwijd ingezet door organisaties in alle sectoren. Grote financiele instellingen, verzekeraars, overheden en technologiebedrijven passen het model toe voor risicomanagement en compliancerapportages. Het FAIR Institute telt duizenden leden in meer dan 100 landen. In Nederland groeit de adoptie met name in de financiele sector, gezondheidszorg en bij organisaties die onder NIS2 vallen. Het model wordt erkend door ISACA, het NIST Cybersecurity Framework en is compatibel met ISO 31000.

Hoe vertaal ik een FAIR-analyse naar investeringsbeslissingen?

De ALE geeft het verwachte jaarlijkse verlies zonder extra maatregelen. Stel dat je ALE voor ransomware 150.000 euro bedraagt en een combinatie van EDR en backups deze met 60% reduceert. De jaarlijkse risicoreductie is dan 90.000 euro. Als de jaarlijkse kosten van die maatregelen 40.000 euro bedragen, is de Return on Security Investment (ROSI) 125%. Het premium rapport berekent deze ROSI automatisch per maatregel, zodat je een objectieve prioritering hebt voor je securitybudget.

Is FAIR geschikt voor het mkb?

Zeker. Hoewel FAIR oorspronkelijk is ontwikkeld voor grote organisaties met dedicated risicoteams, is het model schaalbaar. Onze tool vereenvoudigt de FAIR-methodologie zodat je zonder specialistische kennis een kwantitatieve risicoanalyse kunt uitvoeren. Juist voor mkb-organisaties is het waardevol om te weten dat het verwachte jaarlijkse verlies door ransomware bijvoorbeeld 80.000 euro bedraagt, zodat een investering van 15.000 euro in beveiligingsmaatregelen bedrijfseconomisch onderbouwd is.

Wat is het verschil tussen SLE en ALE?

De Single Loss Expectancy (SLE) is het verwachte verlies bij een enkel incident. De Annual Loss Expectancy (ALE) is het verwachte totale verlies per jaar. De relatie is: ALE = SLE × jaarlijkse frequentie. Een concreet voorbeeld: als een datalek naar verwachting 200.000 euro kost (SLE) en de kans op een datalek 0,3 per jaar is, dan bedraagt de ALE 60.000 euro. De SLE is belangrijk voor incidentplanning en verzekeringsdekking, terwijl de ALE de basis vormt voor jaarlijkse budgettering.

Gratis

FAIR Analyse starten

Bereken direct het verwachte financiele verlies door cyberdreigingen. Ontvang je ALE, SLE en risicomatrix in een overzichtelijk PDF-rapport.

Start gratis analyse
Premium

Volledige FAIR-decompositie

Ontvang confidence intervals, kosten-batenanalyse per maatregel met ROI, risicoreductiescenario's en een boardroom-ready PDF voor € 89.

Start premium analyse