Risicorapport

    Drie perspectieven op de risk posture van uw organisatie - proactief, reactief en structureel

    Drie weergaven van risico

    Het risicorapport brengt drie complementaire perspectieven samen, elk beschikbaar als tabblad:

    Risicoregister - een proactieve weergave van alle geïdentificeerde risico's over uw applicaties. Bekijk hoe risico's zijn verdeeld per categorie, status en behandelstrategie. De naast elkaar geplaatste inherente en residuele heatmaps tonen of uw maatregelen daadwerkelijk het risico verminderen. Aankomende beoordelingsdata worden gemarkeerd zodat niets veroudert.

    Risicoblootstelling - een reactieve weergave die de financiële impact van actieve bevindingen berekent. Elke openstaande bevinding wordt gekoppeld aan een bedrijfsproceswaarde en een ernstvermenigvuldiger om een monetair blootstellingsbedrag te produceren. De meter toont hoeveel van uw risicobereidheid is verbruikt.

    Bedrijfsimpact - een structurele weergave van de weerbaarheid van uw organisatie. Het analyseert maatregeldekking, identificeert single points of failure, en rangschikt afdelingen en processen op samengestelde risicoscore.

    Risicoblootstelling: wat het toont

    Het tabblad Risicoblootstelling biedt een realtime weergave van de cyberrisicoblootstelling van uw organisatie. Het aggregeert alle actieve bevindingen, berekent de financiële blootstelling die elk vertegenwoordigt, en vergelijkt het totaal met uw gedefinieerde risicobereidheid. Het resultaat is één bruikbaar dashboard dat toont of uw risico binnen het budget valt of dit overschrijdt.

    Risicobereidheid

    De risicobereidheid is het totale risicobudget dat uw organisatie bereid is te accepteren, uitgedrukt als een monetaire waarde. De standaardwaarde is 1.000.000 (een miljoen in uw workspacevaluta). Deze waarde is configureerbaar door superadmins via de risico-instellingenpagina.

    Beschouw de risicobereidheid als een plafond: zolang uw totale risicoblootstelling onder de risicobereidheid blijft, opereert u binnen aanvaardbare grenzen.

    Hoe risicoblootstelling wordt berekend

    Voor elke actieve bevinding (die Open, in Onderzoek, in Herstel of Geaccepteerd is) berekent Anzen een blootstellingsbedrag. De blootstelling voor elke bevinding wordt berekend door de financiële waarde van het getroffen bedrijfsproces te vermenigvuldigen met een ernstvermenigvuldiger. Specifiek:

    1. Anzen bekijkt de gekoppelde beheersmaatregel van de bevinding.
    2. Vanuit die beheersmaatregel vindt het het bedrijfsproces met de hoogste waarde (op financiële waarde).
    3. Het vermenigvuldigt vervolgens die financiële waarde met de ernstvermenigvuldiger (een percentage op basis van het ernstniveau van de bevinding).

    De totale risicoblootstelling is de som van alle individuele bevindingsblootstellingen. Bevindingen die niet aan een beheersmaatregel zijn gekoppeld, of waarvan de beheersmaatregel geen gekoppelde bedrijfsprocessen heeft, dragen nul blootstelling bij.

    Ernstvermenigvuldigers

    Elk ernstniveau heeft een configureerbare procentuele vermenigvuldiger die bepaalt hoeveel van de bedrijfsproceswaarde als blootstelling wordt geteld. De standaardwaarden zijn:

    ErnstStandaardvermenigvuldigerVoorbeeld (op een proces van 500.000)
    Kritiek100%500.000
    Hoog75%375.000
    Medium50%250.000
    Laag25%125.000

    Deze vermenigvuldigers zijn configureerbaar per workspace, zodat u ze kunt afstemmen op de risicobeheersmethodologie van uw organisatie.

    Risicobereidheidsbenutting

    De hoofdmetric op het risicorapport is de benutting - het percentage van uw risicobereidheid dat momenteel is verbruikt. Dit wordt berekend door de totale blootstelling te delen door de risicobereidheid.

    Dit wordt gevisualiseerd als een meter. Wanneer de benutting laag is, is de meter groen - uw risico valt ruim binnen het budget. Naarmate de benutting de 100% nadert en overschrijdt, wordt de meter rood, wat aangeeft dat de risicoblootstelling van uw organisatie de risicobereidheid heeft overschreden.

    Actieve risico-items

    Onder de meter toont het rapport een tabel van elke bevinding die bijdraagt aan de blootstelling. Elke rij toont het bevindingnummer, titel, ernst, status, de toegepaste ernstvermenigvuldiger, de gebruikte bedrijfsproceswaarde en het berekende blootstellingsbedrag. Items worden gesorteerd op blootstelling in aflopende volgorde, zodat de grootste risico’s bovenaan staan.

    Het rapport biedt ook een uitsplitsing per ernst, met het aantal en de totale blootstelling per ernstniveau.

    Business Impact-dashboard

    Het Business Impact-tabblad biedt een organisatiebreed overzicht van waar uw bedrijf het meest is blootgesteld. In tegenstelling tot het Risicoblootstelling-tabblad (dat zich richt op actieve bevindingen), analyseert het Business Impact-dashboard uw gehele bedrijfsproceslandschap - de BIV-classificatie, asset-afhankelijkheden, maatregeldekking en openstaande bevindingen - om een samengesteld risicobeeld te vormen.

    BIV-classificatie scoring

    Elk bedrijfsproces kan worden beoordeeld op drie dimensies met een schaal van 1–5:

    Beschikbaarheid (B) - Hoe verstorend is downtime? Een beoordeling van 5 betekent dat elke minuut telt (bijv. een e-commerce checkout). Een 1 is een kwartaalrapport.

    Integriteit (I) - Hoe kritiek is het dat gegevens nauwkeurig en ongewijzigd blijven? Financiële rapportage (5) versus een interne wiki (1).

    Vertrouwelijkheid (V) - Hoe gevoelig zijn de gegevens? Klantfinanciële data (5) versus openbare informatie (1).

    Het BIV-totaal is de som van alle drie waarden (maximaal 15). Processen met een BIV-totaal van 12 of hoger worden als kritiek beschouwd - het dashboard markeert deze als ze geen maatregeldekking hebben.

    Risico per afdeling

    De entiteit-heatmap rangschikt elke afdeling (entiteit) op een samengestelde risicoscore. De score wordt berekend als:

    risico_score = (gem_BIV × 3) + ((100 − dekking%) × 0,5) + (open_bevindingen × 10)

    Waarbij:

    • gem_BIV - het gemiddelde BIV-totaal over alle bedrijfsprocessen van deze entiteit. Een hoger BIV betekent dat de afdeling kritiekere workflows beheert.
    • dekking% - het percentage configuratie-items van de entiteit dat door minimaal één maatregel wordt gedekt. Lage dekking verhoogt de score.
    • open_bevindingen - het aantal actieve bevindingen gekoppeld aan maatregelen die de processen van deze entiteit beschermen. Elke open bevinding voegt 10 punten toe.

    Het resultaat is een score waarbij hoger = meer risico. Afdelingen met kritieke processen, slechte maatregeldekking en actieve bevindingen stijgen naar de top.

    Meest blootgestelde processen

    Deze tabel rangschikt elk bedrijfsproces op blootstellingsscore, berekend als:

    blootstelling = (BIV_totaal × 5) + ((1 − dekkingsratio) × 30) + (open_bevindingen × 15)

    Waarbij:

    • BIV_totaal - B + I + V (max 15). Een proces beoordeeld als 5/5/5 levert 75 punten op uit BIV alleen.
    • dekkingsratio - het aandeel CI's van het proces dat door minimaal één maatregel wordt gedekt (0,0 tot 1,0). Een volledig onbeschermd proces voegt 30 punten toe.
    • open_bevindingen - actieve bevindingen op maatregelen gekoppeld aan dit proces. Elk voegt 15 punten toe.

    Elke rij toont de individuele B-, I- en V-beoordelingen (kleurgecodeerd: rood voor 4–5, geel voor 3, grijs voor 1–2), assetaantal, maatregelaantal en openstaande bevindingen - zodat u direct ziet waarom een proces hoog scoort.

    Single Points of Failure

    Een Single Point of Failure (SPOF) is een configuratie-item dat gekoppeld is aan twee of meer bedrijfsprocessen. Als dat asset uitvalt, worden meerdere bedrijfsuitkomsten tegelijk getroffen.

    SPOFs worden gerangschikt op twee criteria: het aantal getroffen processen (meer = erger), en het gecombineerde BIV-totaal over alle getroffen processen (hoger = kritischer). Een databaseserver die zowel financiële rapportage (BIV 12) als klantauthenticatie (BIV 15) ondersteunt, is kritischer dan een printserver voor twee laagwaardige workflows.

    Het dashboard toont van elke SPOF de hostnaam, het aantal getroffen processen, de gecombineerde BIV-score en de namen van alle afhankelijke processen.

    Maatregeldekking-overzicht

    Vier kernmetrieken geven u een snelle gezondheidscheck:

    • Bedrijfsprocessen - totaal aantal actieve processen in uw workspace.
    • Met maatregelen - processen gedekt door minimaal één maatregel. Het doel is 100% voor kritieke processen.
    • Kritiek onbeschermd - processen met een BIV-totaal ≥ 12 die nul maatregelen hebben. Dit zijn uw hoogste prioriteitsgaten - kritieke workflows zonder governance.
    • Achterstallige testen - maatregeltesten die hun einddatum hebben overschreden zonder te zijn afgerond. Achterstallige testen geven aan dat maatregelen mogelijk niet meer effectief zijn.

    Hoe asset-afhankelijkheden worden opgelost

    Het dashboard lost alle configuratie-items op die aan een bedrijfsproces zijn gekoppeld door drie paden te volgen:

    • Directe koppeling - CI's direct gekoppeld aan het bedrijfsproces (nuttig voor infrastructuur die niet bij een specifieke applicatie hoort).
    • Via bedrijfsstappen - CI's gekoppeld aan individuele stappen binnen de procesworkflow (vanuit de Procesmodelleur).
    • Via applicaties - CI's gekoppeld aan applicaties die aan het proces zijn gekoppeld. Dit is het meest voorkomende pad: een server (CI) draait een applicatie, en die applicatie ondersteunt een bedrijfsproces.

    Alle drie paden worden consistent gevolgd in de entiteit-heatmap, blootgestelde processen en SPOF-detectie. Dit zorgt ervoor dat geen enkele afhankelijkheid wordt gemist, ongeacht hoe uw CMDB is gestructureerd - of u CI's nu direct koppelt, via workflowstappen, of via de applicatielaag.

    Risico-instellingen

    Superadmins kunnen de risicobereidheid en ernstvermenigvuldigers configureren via de risico-instellingenpagina. Wijzigingen worden direct van kracht - het rapport herberekent bij elk verzoek met de huidige configuratie. Niet-superadmingebruikers kunnen het rapport bekijken maar de instellingen niet wijzigen.