Simple Scenario
| Voorbereidingstijd | 4 - 8 uur |
| Uitvoeringstijd | 2 - 4 uur |
| Moeilijkheidsgraad | Beginner |
| Uitvoeringsvorm | Groep |
Tegen welk probleem loop je aan?
Je wilt goed kunnen inschatten wat nieuwe informatie betekent, maar dat is lastig omdat de toekomst onzeker is. Daardoor kun je snel in één denkrichting blijven hangen en nieuwe signalen verkeerd interpreteren. Bij een cyberincident weet je bijvoorbeeld niet meteen hoeveel schade er is, wat de impact is of welke actie het beste is. Daarom heb je houvast nodig om ontwikkelingen goed te begrijpen en er effectief op te reageren.
Hoe helpt deze analysetechniek jou?
Door eenvoudige scenario’s te maken krijg je grip op verschillende mogelijke toekomsten. Je kunt nieuwe informatie daardoor beter plaatsen en weloverwogen beslissingen nemen. Scenario’s helpen je bovendien om vooruit te denken: je ziet eerder welke risico’s je moet aanpakken en welke kansen je kunt benutten.
Wie moet deze analysetechniekgebruiken?
We adviseren operationele en tactische teams om scenario’s te gebruiken zodat bestuurders betere keuzes kunnen maken. Scenario’s helpen experts om nieuwe informatie goed te duiden. Bij een incident, zoals een SOC‑melding, geeft de CISO met vooraf uitgewerkte scenario’s het bestuur direct inzicht in mogelijke ontwikkelingen. Zo kan snel worden bepaald welke scenario’s onacceptabel zijn en welke maatregelen nodig zijn wanneer het worstcasescenario dreigt.
Wanneer gebruik je deze analysetechniek?
Je gebruikt scenario’s wanneer een situatie nog onzeker is, je een risicoanalyse maakt of belangrijke besluiten moet nemen. Scenario’s helpen je om nieuwe informatie snel te plaatsen en beter te begrijpen wat er kan gebeuren. In het voorbeeld bouwt de CISO scenario’s zodra duidelijk is dat er een compromis is, zodat hij ondanks veel onzekerheden toch voorbereid is en onderbouwde besluiten kan nemen.
Met welke randvoorwaarden moet je rekening houden?
Simpele scenario’s bouwen is laagdrempelig: je hebt geen facilitator nodig en één persoon kan het al doen. Het belangrijkste is dat je de stappen en je redenatie goed vastlegt, zodat duidelijk blijft hoe je tot je conclusies komt. Denk na over de factoren die echt invloed hebben op de situatie en verken creatief verschillende richtingen.
Hoe gebruik je deze analysetechniek?
Bepaal eerst het centrale vraagstuk waar je vooruit op wilt kijken. Daarna identificeer je de belangrijkste drijfveren die de toekomst bepalen. Op basis daarvan ontwikkel je meerdere scenario’s. Door deze drijfveren in de scenario’s te plaatsen, krijg je inzicht in mogelijke toekomsten.
1. Bepaal duidelijk het hoofdprobleem en het doel.
2. Maak een lijst van krachten, factoren en gebeurtenissen die invloed kunnen hebben.
3. Deel deze krachten en factoren in vijf tot tien groepen in.
Groepeer factoren die bij elkaar horen. Dit noemen we de drijfveren. Deze drijfveren zijn de belangrijkste factoren die bepalen hoe het probleem zich kan ontwikkelen.
4. Geef elke drijfveer een naam en schrijf er kort bij wat het betekent.
5. Maak een schema (matrix) met de krachten aan de linkerkant en scenario’s bovenaan.
6. Maak minstens vier verschillende toekomstscenario’s.
a. Een beste scenario
b. Een slechtste scenario
c. Een meest waarschijnlijke scenario
d. Een extra scenario met andere mogelijkheden
7. Geef elke drijfveer voor elk scenario een waarde:
+ wanneer de drijfveer een sterke of positieve invloed heeft op dat dit scenario plaatsvindt
– wanneer de drijfveer een zwakke of negatieve invloed heeft op dat dit scenario plaatsvindt
0 of leeg als er geen invloed is van de drijfveer op dit scenario
8. Kijk nog eens goed naar de lijst met drijfveren.
- Zijn ze duidelijk?
- Mist er iets belangrijks?
- Zijn er drijfveren die in elk scenario hetzelfde blijven?
Als dit het geval is dan kun je deze drijfveer beter weglaten. Het is in dat geval een universele kracht die weinig voorspellende gave heeft over de toekomst.
9. Controleer of je genoeg verschillende scenario’s hebt.
- Heb je alleen gedacht aan wat waarschijnlijk is?
- Wat als een veronderstelling fout is?
- Zou dat tot een ander scenario leiden?
10. Schrijf voor elk scenario een kort verhaal (ongeveer één pagina).
- Beschrijf hoe die toekomst eruitziet.
- Laat zien hoe de krachten samen werken in dat scenario.
11. Schrijf per scenario wat de uitkomsten van zo’n scenario aan impact heeft voor iemand die een beslissing moet nemen.
Optioneel
12. Bedenk een lijst van signalen of aanwijzingen (‘indicatoren’) per scenario. Deze indicatoren hebben als taak om indicatief te zijn dat specifiek dat scenario aan het materialiseren is.
13. Deze helpen om te zien of een scenario misschien werkelijkheid aan het worden is en je er dus snel op kan redeneren.
14. Kijk periodiek naar de indicatoren en vergelijk ze met de werkelijkheid om te controleren of de conclusies en passende besluitvorming nog in lijn lopen met de scenario’s.
15. Maak regelmatig een rapport: welk scenario lijkt nu te gebeuren, en waarom?
Voorbeeldcasus
We blijven voortbouwen op het eerdere voorbeeld. Het SOC van een organisatie heeft een incident gedetecteerd en het incidentresponsteam is in actie gekomen. Het bestuur van de organisatie heeft behoefte aan concreet handelingsperspectief: waar staan we nu en hoe gaat dit incident zich ontwikkelen? De CISO roept daarom een groep experts bijeen en stelt scenario’s op.
1. De CISO bepaalt dat het hier gaat om het begrijpen van wat er gebeurd is en om zijn bestuurders goed handelingsperspectief te geven als de situatie wijzigt.
2. De groep gaat aan de slag en probeert te begrijpen wat de krachten, factoren en gebeurtenissen zijn die invloed hebben op het vervolg van de cyberaanval.
3. De gehele opbrengst wordt geclusterd in specifieke drijfveren die besluitvorming beïnvloeden.
4. Maak een schema (matrix) met de krachten aan de linkerkant en scenario’s bovenaan.
5. Op basis van deze scores, worden de volgende scenario’s duidelijk:
a. Best case scenario: de aanvaller is niet meer actief in het netwerk, de back-ups zijn nog veilig, er is beperkt publieke aandacht voor de casus, de kritieke systemen zijn niet geraakt en de ketenpartners merken ook geen effecten.
b. Het worst case scenario is in deze situatie andersom, waarbij de actor nog actief is en de kroonjuwelen van de organisaties geraakt heeft.
c. Het most likely scenario omvat een gemixte situatie: de actor is niet meer actief in het netwerk, maar er zijn al wel kritieke systemen aangetast. De back-ups zijn veilig.
d. Het wildcard scenario wijst op een situatie waarbij de kritieke systemen vooralsnog veilig zijn, maar de actor nog steeds actief is in het netwerk. Deze situatie is dus erg volatiel.
6. Het team beoordeelt de drijfveren nog een keer goed.
Ze concluderen dat in alle gevallen de publieke aandacht een negatief effect heeft. Daarom besluiten ze om deze drijfveer te verwijderen: het heeft geen unieke waarde om duiding te bieden aan één scenario.
7. De scenario’s worden nog een keer besproken en de groep is tevreden met de voorlopige opbrengst.
8. De CISO schrijft een eindrapport. Elk scenario wordt in één pagina door de CISO omschreven. Daarmee wordt de situatie tastbaarder voor de ontvanger, in dit geval de bestuurders van de organisatie.
9. Daarnaast omschrijft de CISO de impact voor de bestuurder. Hierin omschrijft de CISO welke acties er aangeraden worden in een specifieke situatie. Stel dat de back-ups gecompromitteerd zijn, wat moet de bestuurder dan doen? Welke maatregelen zijn er?
10. Tenslotte houdt de CISO actief contact met het incidentresponsteam. Gedurende het onderzoek, wordt steeds duidelijk dat het most likely scenario aan het plaatsvinden is. Daardoor kan het bestuur daar passend op reageren: back-ups worden op tijd hersteld en de kritieke systemen van de organisatie tijdelijk geïsoleerd. Daardoor beperken ze de schade van de aanval.
- Pherson, R. H., & Heuer Jr, R. J. (2019). Structured analytic techniques for intelligence analysis. Cq Press.
- Krueger, R. A., Casey, M. A., Donner, J., Kirsch, S., & Maack, J. N. (2001). Social analysis: selected tools and techniques. World Dev, 36, 4-23. Link: SDP-36-libre.pdf
- Diaper, D., & Stanton, N. (Eds.). (2003). The handbook of task analysis for human-computer interaction.
- Hassani, B., & Hassani, B. K. (2016). Scenario analysis in risk management. Springer International Publishing Switzerland. Link: Scenario Analysis in Risk Management: Theory and Practice in Finance | SpringerLink
- Helping CTI Analysts Approach and Report on Emerging Technology Threats and Trends (Part 2). (2024). SANS Institute. Link: https://www.sans.org/blog/helping-cti-analysts-approach-and-report-on-emerging-technology-threats-and-trends-part-2
- Stacey, S. G., Delort-Laval, H., & NATO. (2017). The NATO Alternative Analysis Handbook (Second). Link: https://www.act.nato.int/wp-content/uploads/2023/05/alta-handbook.pdf