Skip to content

Risico analyse

Als ICT’er werk je samen met organisaties, bedrijven en/of ondernemers. Misschien ben je zelf wel misschien ondernemer. Hierbij maak je gebruik van kansen, maar er treden ook bedreigingen op. Een risico is een onzekere gebeurtenis in de toekomst die invloed kan hebben op een onderneming (Digital trust center, z.d.). Met een risicoanalyse breng je interne en/of externe risicofactoren in kaart. De sleutel bij het beheersen van risico’s is om bewuste keuzes te maken, bijvoorbeeld voor meer digitale veiligheid.

Bij risico’s spelen interne factoren zoals het eigen bewustzijn over veiligheid en de (on)ervarenheid van je team een rol. Bij externe risico’s gaat het bijvoorbeeld om wet- en regelgeving of nieuwe technische of economische ontwikkelingen. Het kan raadzaam zijn om eerst een SWOT-analyse (Scharwachter, 2023) te doen. Zo breng je voor je team of (eigen) bedrijf in kaart te wat je strengths (S) en weaknesses (W) zijn en wat in je omgeving de Opportunities (O) en Threads (T) zijn.

Nadat je een SWOT-analyse hebt gemaakt kun je middels een vier-stappenplan je risico’s in kaart brengen. Deze kan in een apart rapport (mag als markdown-bestand op GitLab) opgenomen worden in je project, of onderdeel vormen van een plan van aanpak, adviesrapport, stageverslag of scriptie (Scharwachter en Benders, 2023). Afhankelijk van de context, kun je eventueel je risicoanalyse focussen op bijvoorbeeld het halen van een deadline of het besparen van geld.

Stappenplan

Hieronder volgt het stappenplan beheersing risico’s:

Stap 1

Bepaal wat je wilt beschermen

  • Wat is van waarde voor jouw team of organisatie?
  • Zijn dit bijvoorbeeld (klant)gegevens of kennisproducten zoals software?

Stap 2

Identificeer de risico’s

  • welke risico’s zijn er bij de “kroonjuwelen” van hoge waarden?
  • Zitten er kwetsbaarheden in het systeem dat je bouwt voor hacking of andere malafide praktijken?
  • Kun je door onervarenheid per ongeluk data of software verwijderen?

Hiervoor is het belangrijk om te kijken naar eerdere ervaringen van jou of je omgeving met wat er mis kan gaan op ICT-gebied. Ook is het goed om je bewust te zijn van wet- en regelgeving als de Algemene Verordening Gegevenesbescherming (AVG) om het risico op een datalek concreet te maken. Vraag het ook aan experts in je omgeving.

Stap 3

Analyseer de gevonden risico’s

  • Stel dat een risico waarheid wordt, wat is dan het gevolg?
  • Hoe groot is de kans dat het risico zich voordoet.

Dit is in feite de kern van je risicoanalyse, die wordt gedefinieerd door de formule:

\[ risico = kans \times gevolg \]

Dus de \(kans\), uitgedrukt in een percentage groter dan nul en kleiner dan \(100\%\) vermenigvuldigd met het \(gevolg\), de impact ALS het risico zich voordoet.

Dit \(gevolg\) kun je uitdrukken in euro’s die het kost om het risico te verhelpen maar ook in verloren tijd om de schade te herstellen.

Denk hierbij ook aan indirecte gevolgen, bijvoorbeeld reputatieschade of claims van klanten als klantgegevens op straat komen te liggen. Als het niet lukt om het risico van een stroomstoring kwantitatief uit te drukken in bijvoorbeeld 20% (als een stroomstoring 1x in de 5 jaar plaatsvindt) x 5 uur (als dat de gemiddelde duur is van het niet kunnen werken door een storing), kun je ook voor een kwalitatieve methode kiezen. Dan kies je bijvoorbeeld drie categorieën Laag, Medium en Hoog in plaats van een kanspercentage en/of het gevolg in geld of tijd. Een mix van kwantitatief en kwalitatief mag ook (Scharwachter en Benders, 2023).

Stap 4

Besluit wat je doet

Kies per risico uit een van deze vier mogelijkheden:

  1. Accepteren - niets doen. Alleen als zowel de kans als het gevolg klein is.
  2. Oplossen - maatregelen treffen om het risico te beperken of uit te sluiten. Dit doe je als de kans groot is, maar het gevolg klein. Denk aan het maken van een back-up.
  3. Overdragen - verschuif het risico naar bijvoorbeeld een verzekering. Dit doe je als de kans klein is, maar het gevolg groot, zoals bij brand in een serverruimte.
  4. Stoppen - activiteiten niet doen als de hiermee gepaard gaande risico’s zowel een grote kans als grote gevolgen hebben. Denk aan het werken met illegale software.
besluitenmatrix
Vier mogelijke acties. Bron: digitaltrustcenter.nl

Risicoanalyse in het agile proces

Net als alles bij agile werken, is ook een risicoanalyse een cyclisch proces. De risico’s van vandaag zijn mogelijk anders als de risico’s over een paar weken. Bespreek je risico’s daarom regelmatig, bijvoorbeeld bij iedere retrospective. Als er nieuwe of veranderende risico’s optreden, bespreek deze dan ook eventueel (opnieuw) met een expert en pas je risicoanalyse aan. Via de Digital trust center-site van het Ministerie van Economische Zaken kun je de risicoklasse van een specifieke or

Oefeningen: risicoanalyse

Quizvraag

Welke maatregel tref je bij de huidige manier van werken in GitLab al (als het goed is) om risico’s omtrent het verlies van de software die je bouwt te voorkomen?

Opdracht 1a.

Vul de Risicoklassenindeling Digitale Veiligheid in op het Digital trust center van de overheid. Je mag hierbij een fictief bedrijf in gedachten nemen, bijvoorbeeld het bedrijf waar je met je project voor werkt, stage hebt gelopen / zou willen lopen / een bijbaan hebt, je eigen (al of niet nog op te richten) bedrijf, …

  • Welke risico’s en maatregelen komen uit het rapport dat je zo genereert?
  • Wat zijn de geadviseerde maatregelen?
  • Kun je wat met deze maatregelen? Waarom wel of waarom niet?

Opdracht 1b.

Download de Lijst van mogelijke risico’s van Scribbr (Scharwachter en Benders, 2023). Kies of je een risicoanalyse op bedrijfsniveau of op projectniveau (zie ook opdracht 2) wilt doen. Beantwoord dezelfde vragen als hierboven.

Opdracht 2.

Maak een SWOT-analyse van je eigen projectteam. Doe op basis hiervan een risicoanalyse, bepaal kans en gevolg van ieder risico en zet dit in een risicomatrix (zie Scharwachter en Benders, 2023) met een kwantitatieve of kwalitatieve schaal (zie hierboven).

  • Wat zijn de grootste risico’s?
  • Zijn er risico’s groter of juist kleiner dan je dacht?
  • Welke maatregel neem je als team per risico?

Bronnen