Naar hoofdinhoud
CYBER RISK QUANTIFICATION

Drukt je risicobeeld uit in een kleur. De board vraagt om een afweging in euro's.

Risico is een bandbreedte, geen score. Uitgedrukt in euro's, de eenheid waarin de rest van de strategie wordt gewogen.

Open FAIRNIS2DORAISO 27001

Risico in euro's € 320.000

Met sturing op euro'sZonder kwantificering
KaderOpen FAIR (O-RT en O-RA), de internationale standaard voor cyberrisico in financiële termen, NIS2 art. 21, DORA, Cbw
Voor wieBestuur, CFO, CISO, audit- en risicocommissie
DoorlooptijdEerste onderbouwd scenario in euro's 3-5 weken, herhaalbaar risicobeeld 8-12 weken

Kernuitdagingen

Het probleem is niet de dreiging. Het is dat de board een kleur krijgt waar ze een beslissing wil.

Je risicobeeld komt als een rood-oranje-groene matrix de bestuurstafel op. Maar een kleur ordent risico niet, en de investering erachter is niet te verdedigen.

90%

risicoparen niet eenduidig te vergelijken

Een kleur ordent risico niet betrouwbaar

Een kwalitatieve matrix kan van willekeurige risicoparen het overgrote deel niet eenduidig vergelijken, en kan een kleiner risico hoger plaatsen dan een groter. Het is een nuttig communicatiemiddel, maar het zegt niets over hoeveel.

Cox, What's Wrong with Risk Matrices, Risk Analysis (2008), peer-reviewed.

64%

board-alignment met de CISO

Het gesprek loopt langs elkaar heen

Jij levert volwassenheidsscores en incidentcijfers, de board wil strategische afweging en investeringsefficiëntie. Twee eenheden voor hetzelfde probleem. Board-alignment met de CISO daalde van 84 naar 64 procent.

Proofpoint Voice of the CISO 2025, n=1.600.

80%

incidenten ondanks een control die had moeten stoppen

Investeringen zonder zicht op wat ze wegnemen

Een groen patch- of volwassenheidspercentage zegt niet of de blootstelling kleiner is geworden. Het overgrote deel van de incidenten gebeurt ondanks een control die het had moeten tegenhouden, dus telt of de control werkt, niet of hij er is.

Orde van grootte; Nagomi 2025, vendor-onderzoek.

De vraag voor het bestuur

Zijn we materieel blootgesteld, en in welke orde?

Toezicht en bestuur vragen niet welke kleur het risico heeft. Ze vragen of er genoeg gebeurt, wat de afweging is, en in welke orde van grootte we blootstaan. Dat is het verschil tussen een kleur op papier en een onderbouwde bandbreedte die een toezichthouder en een verzekeraar accepteren.

Het verschil

Een kleur op papier, of een onderbouwde afweging.

Niet of je risico scoort, maar of je het uitdrukt in bandbreedtes en scenario's met aannames die je kunt navragen, en of het een beslissing scherper maakt.

Klassieke risicobeoordelingMet Radian

Een kleur of een volwassenheidsscore

Likelihood en impact subjectief op een schaal van 1 tot 5, geplot op een matrix. Niet vergelijkbaar tussen scenario's en niet te wegen tegen de rest van de strategie.

Eenheid

Een bandbreedte in euro's

Verlies als bandbreedte per scenario, in dezelfde eenheid waarin de board de rest weegt. Geen alles-of-niets, maar een afweging tussen scenario's.

Subjectief scoren als zekerheid

Een cijfer dat de schijn van precisie wekt, of een schok-bedrag zonder bandbreedte. De aannames eronder blijven onzichtbaar en zijn niet te toetsen.

Schatting

Gekalibreerd schatten met aannames

Een geïnformeerde schatting met bandbreedte, betrouwbaarheid en expliciete aannames. Geen waarheid, wel navolgbaar en te verdedigen aan de bestuurstafel.

De control bestaat

Effectiviteit wordt gemeten in of een maatregel is ingericht. Wat de maatregel aan blootstelling wegneemt in euro's, blijft onbeantwoord.

Controls

De control vertaald naar impact

We vertalen dekking, capability en betrouwbaarheid van je controls naar financiële impact, zodat je twee investeringen vergelijkt op wat ze werkelijk wegnemen.

Een dashboard vol bedragen

Het cijfer wordt het doel. Een rapport met getallen dat de CISO zelf naar boven moet vertalen en dat geen keuze scherper maakt.

Doel

Het cijfer dient de beslissing

We modelleren om een keuze scherp te maken: welke investering neemt de meeste blootstelling weg, wat kan wachten, wat is de afweging. Het getal is een middel.

Hoe het werkt

Van een kleur op de bestuurstafel naar een afweging die standhoudt.

Links wat in de kwantificering gaat, in het midden de volgorde die diagnosticeert en verdedigt, rechts wat je overhoudt. Je bestaande risk register en rapportage blijven staan.

Wat erin gaat
Asset-register en bedrijfskritikaliteit
Dreigingsscenario's en aanvalsmethoden
Het ontwerp van je controls
De werkende effectiviteit van die controls
Schattingen van verliesgebeurtenis-frequentie
Schattingen van verliesomvang
Signalen over blootstelling en exposure
voedt›››
Vijf stappen, doorlopend
Het kaderWelke beslissing het cijfer scherp maaktWaar je materiële blootstelling zit
01
Diagnosticeer
Welke risico's er in euro's werkelijk toe doen en welke beslissing dat ondersteunt. Geen model dat wordt uitgerold, maar een toets van waar het op aankomt.
02
Druk uit
In bandbreedtes en scenario's met expliciete aannames, niet in een precies bedrag dat zekerheid suggereert.
03
Verdedig
Elke aanname als geïnformeerde schatting, geen waarheid: de bandbreedte, de betrouwbaarheid en de bron erbij, navraagbaar aan de bestuurstafel.
04
Kwantificeer
De effectiviteit van je controls, dekking, capability en betrouwbaarheid, vertaald naar financiële impact, zodat investeringen vergelijkbaar worden.
05
Herhaal
Een doorlopende cyclus die stuurt waar je toetst en wat je investeert: het landschap verandert, het risicobeeld beweegt mee.
Doorlopend
levert›››
Wat je overhoudt
Een verliesbandbreedte in euro's per scenario
Geannualiseerd verlies met een betrouwbaarheidsinterval
Huidige situatie afgezet tegen de toekomstige
Prioritering naar wat per euro de meeste blootstelling wegneemt
Een beslissing die de board kan wegen
Een verdedigbare set aannames, navolgbaar en getoetst
Input voor de investerings- en governance-cyclus

Het onderscheid

Diagnose vóór model

De scherpste val van dit domein: een platform of een FAIR-model uitrollen en het cijfer tot doel maken, in plaats van te beginnen bij welke beslissing het scherper moet maken.

Daarom beginnen onze architecten bij de diagnose. Niet welk model wij draaien, maar welke risico's er in euro's werkelijk toe doen en welke keuze het cijfer scherper maakt. Het model is een denkstructuur, geen aanbod.

Geen platform, maar de diagnose en de discipline

Je bestaande risk register en rapportage blijven staan. Wij bepalen welke risico's er in euro's toe doen, drukken ze uit in bandbreedtes met aannames, en houden dat herhaalbaar. Een model is een middel, geen doel.

Een doorlopende dienst, geen project

Je krijgt onze expertise zonder zelf een model en een methode op te bouwen. Wij draaien de cyclus; de besluiten over accepteren, mitigeren of overdragen en het eigenaarschap blijven bij jou.

Onze seniors voeren ook het board-gesprek

De markt levert een rapport dat de CISO zelf naar boven moet vertalen. Dezelfde senior die het cijfer opbouwt, bespreekt het met de board en de CFO en verdedigt de aannames.

Aan de slag

Geeft je huidige risicobeeld de board iets te beslissen?

Geen modelleerproject van maanden. Eén gesprek waarin we bepalen welke risico's er in euro's werkelijk toe doen, en of je huidige risicobeeld de board een afweging geeft of alleen een kleur.

Plan een gesprek

30 minuten met een senior, geen pitch.

Gesprek aanvragenBel direct088 - 163 23 25