Alternative Future Analyses gebruik je om scenario's voor de toekomst te verkennen op basis van belangrijke drijfveren. Dit wordt niet gebruikt om de toekomst te voorspellen, maar om de toekomstrichtingen te verkennen. Dit ondersteunt beslisvorming door tijdig te kunnen reageren.
Tegen welk probleem loop je aan?
Vaak word je in het werkveld van digitale weerbaarheid gedwongen om keuzes te maken met implicaties op de langere termijn. Om goede besluiten te kunnen nemen, wil je inzicht hebben hoe de toekomst er mogelijk uit zou kunnen zien. Daarnaast wil je zo zeker mogelijk zijn dat je niet verrast wordt door nieuwe ontwikkelingen. Daarom is het wenselijk de “unknown unknowns” vroegtijdig te identificeren. Dit zijn factoren waarvan je je zich niet realiseerde dat ze belangrijk of invloedrijk waren voordat je ze ziet.
Een voorbeeld: een CISO moet een jaarplan opstellen voor het aankomende kalenderjaar. Zo’n jaarplan is cruciaal om de juiste (financiële) middelen te verkrijgen van de organisatie. De CISO begrijpt dat hij niet precies weet hoe het komende jaar eruit gaat zien. Dus weet de CISO dat hij een beeld moet creëren over hoe de sector en de organisatie er over ~5 jaar uit gaat zien. Ook wil hij toetsen welke aannames hij nu al doet die wellicht niet blijken te kloppen.
Hoe helpt deze analysetool jou?
Een alternative future analysis is een manier van analyseren waarbij je verschillende scenario’s maakt die omschrijven hoe situatie eruit kan zien in de toekomst. Een scenario is een kort verhaal over een mogelijke toekomst. De scenario’s worden bedacht aan de hand van belangrijke drijfveren, zoals veranderingen in wetgeving, economie of veiligheid. Het is niet het doel om één juiste toekomstvoorspelling te doen, maar om te laten zien dat er meerdere richtingen zijn waarin de toekomst zich kan bewegen.
Daarnaast helpen scenario’s je om te omschrijven hoe je vanaf het heden naar een scenario toe zou kunnen bewegen. Je kan inventariseren welke signalen/indicatoren er voor een specifiek scenario waarneembaar worden, op het moment dat dit scenario zich aan het manifesteren is. Door zulke signalen in een vroeg stadium te herkennen, maak je het mogelijk om erop te reageren.
Wie moet deze analysetool gebruiken?
Deze techniek wordt meestal toegepast door grotere projectorganisaties. Het is een intensieve methode die expertise vereist. Daarnaast helpt het ontwikkelen en goed toepassen van alternative future analysis analisten in het veiligheid en inlichtingenveld om concrete signalen te destilleren. Beleidsmakers en bestuurders gebruiken deze techniek om besluitvorming vorm te geven en te faciliteren.
In ons voorbeeld wil de CISO inzicht creëren in de ontwikkelingen die mogelijk de digitale weerbaarheid van de sector beïnvloeden. Daardoor kan hij de beleidsmakers binnen zijn organisatie in staat stellen om in te zien welke middelen vrij gemaakt dienen te worden om de organisatie goed voor te bereiden op deze veranderingen.
Wanneer gebruik je deze analysetool?
Je gebruikt deze methode vooral als je weinig informatie hebt, of als de situatie ingewikkeld en onduidelijk is. Dat is bijvoorbeeld zo bij het maken van beleid voor de komende jaren, of bij het voorbereiden op crisissituaties.
Met welke randvoorwaarden moet je rekening houden?
Een ervaren begeleider is sterk aan te raden. Alternatieve future analysis vergt expertise om goed uit te voeren. Ook moet je uitgebreid de tijd nemen om de juiste duiding te bieden.
Hoe gebruik je deze analysetool?
Nadat je het doel van de analyse gedefinieerd hebt, bepaal je de twee meest cruciale drijfveren. Deze twee drijfveren kun je daarna in een 2x2 matrix plotten. Door de extremen van deze drijfveren vast te stellen, kun je de scenario’s omschrijven van de eindtoestand als beide drijfveren zich daadwerkelijk voordoen. Hiermee heb je de scenario’s omschreven en kun je daarna aandacht besteden aan het bepalen van de mogelijke indicatoren dat zo’n scenario aan het plaatsvinden is.
Bepaal duidelijk het onderwerp en het doel van de analyse.
Dit is een cruciale stap en vraagt veel aandacht van de organisator. Zorg dat de scope en het hoofddoel helder gedefinieerd is. Zorg er daarnaast voor dat je mogelijke aannames expliciet maakt.
Bepaal daarnaast een horizon. Normaliter zal dit over maximaal 5 jaar tijd gaan.
Brainstorm welke krachten, factoren of gebeurtenissen belangrijk zijn voor de toekomst van dit onderwerp. De kernvraag hierbij is welke factoren het meeste invloed gaan hebben op het onderwerp over de komende periode, bijvoorbeeld dus de komende vijf jaar.
Bundel de geïdentificeerde factoren tot maximaal twee kritieke drijfveren.
Als dit niet lukt, kies dan de twee meest cruciale factoren.
Let op dat de twee kritieke drijfveren aan de volgende eisen voldoen. Ze moeten:
i. elkaar uitsluiten,
ii. alomvattend zijn,
iii. onvoorzien zijn,
iv. fundamenteel van aard zijn en
v. een spectrum vormen.
Bepaal voor elke van de twee drijfveren, wat de twee uitersten. De uitersten van “conflict” zijn: oorlog versus vrede. Let op dat je de extremen noteert: “weinig conflict” is geen uitkomst.
6. Elk schema heeft kwadranten, waarin je een ander scenario beschrijft.
7. Bedenk bij elk kwadrant een verhaal dat uitlegt hoe de toekomst er in dat scenario uitziet.
8. Stel hierna een hypothetische tijdlijn vast. Omschrijf hierin op chronologische basis welke gebeurtenissen je verwacht dat plaatsvinden onderweg naar het eindstadium van het scenario.
9. Omschrijf de implicaties van de scenario’s. Bedenk wat besluitvormers kunnen doen om slechte scenario’s te voorkomen of goede scenario’s mogelijk te maken.
10. Maak en controleer een lijst met signalen (indicatoren) die je helpen om te zien welk scenario werkelijkheid wordt.
11. Houd die signalen regelmatig in de gaten.
12. Houd de juiste besluitvormers op de hoogte van de voortgang zodat zij tijdig kunnen handelen als een bepaald scenario zich aan het manifesteren is.
Voorbeeldcasus
De CISO uit ons voorbeeld werkt in de auto-industrie en wil inzicht creëren in de toekomst van de digitale weerbaarheid van de sector. Daarom heeft hij een hoofdvraag ontwikkeld waar hij met zijn team aan wil gaan werken: “Welke factoren, tendensen of variabelen zijn er waarvan het voorstelbaar is dat ze de digitale weerbaarheid in mijn industrie over 5 jaar veranderen?”
Dit kostte de CISO ongeveer twee uur. Deze tijd heeft de expert bewust ervoor genomen om helder te definiëren wat de termijn is waarop er vooruitgekeken moet worden en om de begrippen te definiëren.
Als tweede stap, bepaalt de CISO welke expertise er nodig is om hier inzicht in te geven. Daarom nodigt hij de cyberexperts uit zijn organisatie uit en een aantal outsiders: een jurist, een ervaren adviseur uit de praktijk en een bestuurder. Deze experts zorgen ervoor dat ze bij de sessie zijn en de onderzoeksvraag van tevoren gekregen hebben.
De workshop start met een clustered brainstorm. De CISO vraagt de deelnemers om antwoorden op de hoofdvraag op post-its te schrijven. Dit gebeurt in stilte en de deelnemers krijgen hier 20 tot 30 minuten voor.
Vervolgens verzamelt de CISO de antwoorden en vraagt de groep om te reflecteren. Zijn er drijfveren die we gemist hebben? De antwoorden van de andere deelnemers werken inspirerend en in 15 minuten noemen de deelnemers aanvullende factoren.
Daarna clusteren de deelnemers de antwoorden. Hierbij onderscheiden ze een aantal cruciale factoren die van invloed zijn op de digitale weerbaarheid van de sector, namelijk:
Geopolitieke spanningen in Europa
Leveringszekerheid in de toeleveringsketen
Wet- en regelgeving
Technologische ontwikkelingen zoals AI
De impact van klimaatverandering
Hierna is het zaak om deze factoren terug te brengen tot twee cruciale drijfveren. Hierbij stelt de CISO als kernvraag aan de groep: ‘welke van deze factoren zien we als het meest kritiek voor de digitale weerbaarheid voor onze sector?’
De techniek die de CISO hiervoor inzet dat is een rangschikkingstechniek. De deelnemers moeten daarin op individuele basis hun rangschikking bepalen. De hoogste score dat is de belangrijkste factor volgende deelnemer.
Dit leidt tot de volgende scores:
CISO
Cyberexpert
SOC manager
Jurist
Bestuurder
Adviseur
Geopolitieke spanningen in Europa
5
4
3
4
2
5
Leveringszekerheid in de toeleveringsketen
3
3
2
2
3
4
Wet- en regelgeving
4
1
5
5
5
1
Technologische ontwikkelingen zoals AI
1
5
4
1
1
3
De impact van klimaatverandering
2
2
1
3
4
2
Daarna worden de scores opgesteld voor een totaaloverzicht:
Drijfveer
Totaalscore
Geopolitieke spanningen in Europa
23
Leveringszekerheid in de toeleveringsketen
17
Wet- en regelgeving
21
Technologische ontwikkelingen zoals AI
15
De impact van klimaatverandering
14
De vervolgstap is dat de groep de scores gaat bespreken. Waarom zijn we hierop uitgekomen? Zijn er wellicht argumenten te bedenken dat de hier vastgestelde volgorde niet accuraat is? Of kunnen we twee factoren bundelen?
De deelnemers concluderen dat de factoren van leveringszekerheid sterk samenhangen met geopolitieke spanningen. Daarom bundelen ze deze factoren tot: “Invloed van geopolitieke spanningen op leveringszekerheid”. De andere kerndrijfveer is de invloed van wet- en regelgeving.
Daarna splitst de CISO de groep in tweeën. Voor elke van de drijfveren gaat een groep bepalen wat de twee extreme uiterste zijn. Hier krijgen de groepen een half uur de tijd voor. De uitkomsten zijn:
De extremen van ‘invloed van geopolitieke spanningen op leveringszekerheid’ zijn:
Geen internationale handel meer door oorlog in Europa
Bloeiende en open internationale handel door vrede in Europa
De extremen van ‘Wet- en regelgeving’ zijn:
Volledige controle van de staat
Libertarische vrijheid van handelen
De CISO tekent deze assen uit op een 2x2 matrix en presenteert het aan de groep:
Daarna vraag de CISO aan de groep om per kwadrant een scenario uit te werken. Hoe ziet de wereld eruit als beide extremen van een drijfveer uitkomen?
Dit kost per scenario ten minste een uur de tijd, maar des te meer tijd de groep neemt des te beter de scenario’s.
Een voorbeeld daarvan is het volgende scenario, waarbij er een libertarische vrijheid is van handelen voor de organisatie in een situatie waarbij er een bloeiende en open internationale handel is.
Voor deze publicatie werken we vanuit het NCSC het scenario niet in detail uit, maar de effecten van deze drijfveren spreken tot de verbeelding.
Zodra de scenario’s opgesteld zijn, vraagt de CISO aan de groep om ze van passende titels te voorzien.
Hierna beëindigt de CISO deze sessie. De groep is bijna een hele dag bezig geweest. Daarom plant de CISO een week later een vervolgsessie in.
In deze vervolgsessie gaat dezelfde groep aan de slag. Per scenario nemen ze anderhalf tot twee uur de tijd om de volgende vraag te beantwoorden: welke fictieve tijdlijn zien we per scenario? Oftewel, welke evenementen (en wanneer) zouden we zien plaatsvinden als blijkt dat een van de vier scenario’s uit aan het komen is?
De uitkomsten hiervan noemen we indicatoren.
Ook hier hebben we vanuit het NCSC besloten om dit niet in detail uit te werken, aangezien dit zeer context afhankelijk is.
De CISO neemt de resultaten mee en presenteert ze aan het bestuur. Het bestuur neemt de resultaten mee in hun bedrijfsplanning.
De CISO zorgt er daarnaast voor dat de geïdentificeerde indicatoren gemonitord worden door het CISO-office. Op periodieke basis onderzoekt een expert of er indicatoren zijn die zich in de praktijk voorgedaan hebben. Zodra dat gebeurt, dan wordt de CISO geïnformeerd. Op die manier kan het bedrijf snel en effectief reageren en heeft de organisatie een beter begrip van wat externe gebeurtenissen betekenen voor het bedrijf.
Pherson, R. H., & Heuer Jr, R. J. (2019). Structured analytic techniques for intelligence analysis. Cq Press.
Krueger, R. A., Casey, M. A., Donner, J., Kirsch, S., & Maack, J. N. (2001). Social analysis: selected tools and techniques. World Dev, 36, 4-23. Link: SDP-36-libre.pdf