Icon info
NL
EN
https://www.antwerpmanagementschool.be/nl/
Home
https://www.antwerpmanagementschool.be/nl/inzichten
Inzichten
https://www.antwerpmanagementschool.be/nl/blog/on-improving-the-adoption-of-cyber-risk-quantification
Over het verbeteren van de adoptie van…
Terug naar overzicht
Cyber risk quantification catalyst for cybersecurity improvement ylm
Digitaal & IT

Over het verbeteren van de adoptie van cyberrisico-kwantificatie

Cyberrisico behoort tot de belangrijkste ondernemingsrisico’s. Om die risico’s te identificeren, moeten organisaties een meer assertieve aanpak hanteren voor het beheren van cyberrisico’s, niet alleen voor de effectiviteit van hun cyberprogramma, maar ook voor het voortbestaan en concurrentievoordeel van hun bedrijf. Cybersecurity is een bedrijfsprobleem, en bestuurders en zakelijke leiders moeten begrijpen wat de waarschijnlijkheid en de potentiële impact zijn van een cyberincident op het vermogen van hun organisatie om producten of diensten te leveren, evenals op de merkwaarde [1].

Organisaties verschuiven steeds meer naar een risicogebaseerde aanpak van informatieveiligheid en operationeel risico, aangezien naleving van regelgeving op zichzelf onvoldoende bescherming biedt [2]. Risicomijdend zijn is niet genoeg. Ze moeten de zichtbare, inherente en stille risico’s in hun verweven technologiestacks en portfolio’s begrijpen. Bedrijven moeten beter inzicht krijgen in de financiële waarde van cybersecurity en deze gebruiken in hun voordeel. Dit artikel bouwt voort op uitgebreid design science-onderzoek aan de Antwerp Management School. Het brengt nieuwe inzichten en een Minimal Viable Product waarmee professionals kunnen beginnen hun risico’s te kwantificeren en hun volledige portfolio te beheren.
door Yuri Bobbert, Jesus Caetano, Jesus Caetano | 24 september 2025
Share item
Cyber risk quantification catalyst for cybersecurity improvement ylm

Wat is het probleem?

Hoewel uitdagend, blijkt een kwantitatieve benadering van cyberrisico’s effectiever te zijn in cybersecuritymanagement. Deze biedt de noodzakelijke waarde-informatie die inherent is aan elk risico, zodat bedrijven weloverwogen beslissingen kunnen nemen over hun cyberinvesteringen, hun risicoblootstelling kunnen monitoren en inzicht krijgen in de ROI van hun beveiligingsportfolio. Volgens The Future of Cyber survey (Deloitte, 2019) [3] gebruikt 50% van de deelnemende C-level executives kwantitatieve risicotools, terwijl de andere helft vertrouwt op de ervaring van hun cyberleiders of maturity-assessments.

Het kwantificeren van de financiële impact van een risicogebeurtenis stelt organisaties in staat om met vertrouwen vragen te beantwoorden zoals:

  • “Hoeveel moeten we investeren in cybersecurity?”

  • “Wat is de return on investment?”

  • “Hebben we voldoende cyberverzekeringsdekking?” [4]

Aangezien cyberrisico in de toekomst mogelijk niet eens meer verzekerbaar is [5], moeten bedrijven hun blootstelling aan cyberrisico financieel begrijpen en kwantificeren om de beste risicobeheerstrategie te bepalen.

Om de effectiviteit van het risicobeheerproces vast te stellen, moeten organisaties hun huidige risicomanagementtechnieken versterken door cyberrisico-kwantificatie te integreren, zodat ze de noodzakelijke beveiligingsinvesteringen kunnen berekenen en de resulterende risicoreductie kunnen inschatten [6].

Belangrijkste geïdentificeerde problemen:

  • Zwakke communicatie vormt de belangrijkste barrière tussen bedrijfsleiders en de cybersecurityfunctie [7].

  • Bedrijven hebben moeite met het meten en monitoren van cyberrisico [8].

  • Risicokwantificatie in cybersecurity is relatief nieuw vergeleken met sectoren zoals Verzekeringen en Financiën [9].

  • Voor veel organisaties zijn modellen en technieken voor risicokwantificatie een esoterisch onderwerp [10].

Conclusie van het probleem: Het gebrek aan duidelijke richtlijnen, meetbaarheid en effectiviteit van cyberrisico-kwantificatie leidt tot een lage adoptie door managers. Het blijft een black box en een esoterisch onderwerp voor niet-experts.

Greenwashing

Uit literatuuronderzoek blijkt dat hoewel 89% van de C-suite executives stelt dat cybersecurity een topprioriteit is, de budgetverdeling vaak de echte prioriteiten van een organisatie weerspiegelt. Gemiddeld wordt slechts 0,5% van de omzet besteed aan cybersecurity [11].

Kwalitatieve methoden maken gebruik van risicomatrices met kleuren (groen, geel, rood) en waarschijnlijkheidsschalen van “Zeldzaam” tot “Bijna Zeker”, en impactschalen van “Onbeduidend” tot “Ernstig.” Toch beantwoorden deze methoden niet de cruciale vragen van stakeholders, zoals:

  • Welke kritieke risico’s moeten eerst worden aangepakt?

  • Wat zijn de potentiële verliezen van dergelijke dreigingen?

  • Welke risicobeperkende maatregelen leveren de meeste voordelen op?

  • Wat is ons grootste risico?

Kwalitatieve methoden zijn bovendien vatbaar voor interpretatie, bias en manipulatie, bijvoorbeeld greenwashing of lemon reporting: groen van buiten, maar rood van binnen.

Voordelen van risicokwantificatie

Onze onderzoeksdata tonen de volgende voordelen wanneer risico’s kwantitatief worden gemaakt en de onderliggende data feitelijker zijn:

  • Verbeteren van besluitvorming: Met gekwantificeerde data hoeven organisaties minder te vertrouwen op interpretatie, emoties of trends. Cyberinvesteringen kunnen worden gestuurd op basis van kerncijfers zoals ROSI (Return on Security Investment).

  • Meer objectiviteit en nauwkeurigheid: Bedrijven kunnen risico’s uitdrukken in geld, tijd en betrouwbaarheidsintervallen. Dit vermindert onzekerheid en maakt discussies doelgerichter.

  • Betere communicatie met bestuur en management: In plaats van technische rapportages krijgen leiders inzicht in economische modellen, wat zorgt voor evenwichtigere besluitvorming.

  • Effectiviteit van het cyberprogramma meten: Kwantificatie biedt data over de mate van risicoreductie door specifieke maatregelen, waardoor budgetten beter gericht kunnen worden.

Enquête-resultaten: risicokwantificatie verrijkt besluitvorming

Uit onze enquête blijkt dat de meeste respondenten het kwantificeren van de belangrijkste risico’s en de totale blootstelling als (zeer) belangrijk beschouwen. Dit toont een groeiend bewustzijn dat meten en kwantificeren cruciaal zijn voor effectief risicobeheer.

Hoewel de meerderheid een zekere vorm van risicoanalyse uitvoert, is kwantificatie nog geen standaard. Dit bevestigt dat kwalitatieve methoden nog breed worden toegepast en dat kwantificatie uitdagend blijft [17].

Figure 1 Questionnaire results: left respondents’ level in the organization and right their backgrounds

Figuur 1: Questionnaire results: left respondents’ level in the organization and right their backgrounds

Een kernbevinding: alle respondenten geloofden dat risicokwantificatie de besluitvorming verrijkt en bedrijven helpt meer waarde uit hun investeringen te halen.

Conclusies

Onze enquête laat zien dat managers de waarde van cyberrisico-kwantificatie inzien en het minder complex vinden dan gedacht. Op basis daarvan hebben wij een Minimum Viable Product (MVP) ontwikkeld om risicobeoordelingen op een kwantitatieve manier uit te voeren, terwijl waardevolle interactie tussen risicoprofessionals en asset-owners wordt gestimuleerd.

Figure 2 Screenshot of Expert Panel session for validating the MVP

Figuur 2: Screenshot van de Expert Panel-sessie voor de validatie van het MVP

Dit MVP kan dienen als praktisch en toegankelijk startpunt voor bedrijven om risicokwantificatie te adopteren. Volgens feedback van Douglas Hubbard is dit, gebaseerd op het FAIR-model, een interessante oplossing om de adoptie door managers te faciliteren.

Onze onderzoeksresultaten tonen duidelijk een groeiende interesse, maar implementatie vereist blijvende educatie en ondersteuning om cyberrisico-kwantificatie goed te integreren. Wij hopen dat dit onderzoek een waardevolle bron is voor organisaties die deze stap willen zetten richting data-gedreven besluitvorming in cybersecurity.

EINDNOOT: Dit onderzoek is uitgevoerd binnen de Executive Master in IT Risk and Cybersecurity aan de Antwerp Management School. Voor meer informatie over dit programma, neem contact op met Program Director Arnella: https://www.antwerpmanagementschool.be/en/program/master-class-cyber-security-management


References

[1] IBM Security. (2021). Cost of a Data Breach Report 2021.

[2] Fair Institute. (2022). The Importance and Effectiveness of Cyber Risk Quantification. https://www.fairinstitute.org/what-is-fair

[3] Deloitte. (2019). The future of cyber survey 2019.

[4] Metric Stream. (2022). A Comprehensive Guide to Cyber Risk Quantification: Blog. https://www.metricstream.com/l...

[5] Financial Times. (2022). Cyber attacks set to become ‘uninsurable’, says Zurich chief. https://www.ft.com/content/63e...

[6] Orlando, A. (2021). Cyber risk quantification: Investigating the role of cyber value at risk. Risks, 9(10). https://doi.org/10.3390/risks9...

[7] McKinsey. (2019). Perspectives on transforming cybersecurity. Digital McKinsey and Global Risk Practice.

[8] Harvard Business Review. (2022). Organizations Struggle to Measure and Monitor Cyber Risk. Harvard Business Review . https://hbr.org/sponsored/2022...

[9] van Wieren, M., Doerr, C., Jacobs, V., & Pieters, W. (2016). Understanding Bifurcation of Slow VersusFast Cyber-Attackers (G. Livraga, V. Torra, A. Aldini, F. Martinelli, & N. Suri, Eds.). Springer International Publishing. https://doi.org/10.1007/978-3-...

[10] Hubbard, D. W. (2012). The Failure of Risk Management (D. W. Hubbard, Ed.). John Wiley & Sons, Inc. https://doi.org/10.1002/978111...

[11] Jones, D. (2022). Quantifying the risk of cybersecurity | Security Magazine. Security Magazine. https://www.securitymagazine.c...

[12] Hubbard, D., Clinton, J., & Triplett, A. (2016). HDR Opinion Survey of Quantitative Risk Assessment Methods. www.hubbardresearch.com

[13] Boehm, J., Curcio, N., Merrath, P., Shenton, L., & Stähle, T. (2019, October 8). The approach to risk-based cybersecurity | McKinsey. https://www.mckinsey.com/capab...

[14] Bobbert, Y., & Butterhoff, M. (2020). Leading in Digital Security Twelve ways to combat the silent enemy.

[15] Etoom, A. (2023, April 23). Strategising cybersecurity: Why a risk-based approach is key | World Economic Forum. World Economic Forum. https://www.weforum.org/agenda...

[16] Minar, M. (2021). How to risk balance your investments in cybersecurity | EY Switzerland. Ernst & Young. https://www.ey.com/en_ch/cyber...

[17] Volkan, E. (2021). Qualitative and Quantitative Risk Analysis Techniques. https://engage.

[18] Hubbard, D. W., & Seiersen, R. (2016). How to Measure Anything in Cybersecurity Risk. Wiley. https://doi.org/10.1002/978111...

Deel artikel

Over de auteurs

Yuri Bobbert
Bekijk profiel
1727559619039
Bekijk profiel

Jesus Caetano

VP Security, Barry Callebaut

Gerelateerde content

Picture1
Blog Artikel

Performance Management in Information Security

Organizations often struggle with effective cybersecurity performance management due to the lack of standardized metrics, siloed security practices, and difficulty quantifying cybersecurity initiatives' value. Many businesses fail to tie cybersecurity performance directly to organizational goals, leading to gaps in resource allocation, risk mitigation, and strategic planning. This results in poor visibility into the effectiveness of cybersecurity measures and an inability to adapt quickly to emerging threats.
Yuri Bobbert
door Yuri Bobbert | 24 september 2025
Digitaal & IT
AMS Op weg naar digitaal 1
Blog Artikel

De dubbele uitdaging van digitale transformatie: toegankelijkheid en duurzaamheid

Digitale transformatie brengt kansen, maar ook uitdagingen. Terwijl AI steeds meer energie verbruikt, blijft een groot deel van de Belgen digitaal kwetsbaar. Hoe zorgen we voor inclusieve én duurzame technologie?
door Steven De Haes, Jan Beyne, Hans De Backer | 24 september 2025
Digitaal & IT
Digital IT bestuurskamer
Blog Artikel

Hoezo blijft IT-kennis een blinde vlek in raden van bestuur?

Digitalisering is al lang geen nieuw fenomeen meer en speelt een cruciale rol in de groei van vrijwel elke organisatie, van innovatie in het bedrijfsmodel tot klantgerichtheid en operationele efficiëntie. Toch zien veel organisaties anno 2024 IT nog steeds als een apart, operationeel team dat simpelweg moet draaien en niet als een belangrijk strategisch onderdeel van elk bedrijf. Dit terwijl onderzoek van MIT Sloan Management Review aantoont dat digitaal onderlegde bestuurskamers essentieel zijn voor financieel succes.
door Steven De Haes, Rob Fijneman - Professor IT Auditing, TIAS School for Business and Society | 24 september 2025
Digitaal & IT
Home

Blijf op de hoogte van onze AMS inzichten


Ontvang updates van ons onderzoek