Key Assumptions Check
Key Assumptions Check gebruik je om aannames in een analyse expliciet en toets de zekerheid hiervan. Dit ondersteunt foutherkenning en blinde vlekken.
Tegen welk probleem loop je aan?
In het digitale veiligheidsdomein werken we continu op basis van een onvolledige informatiepositie. Het wordt van ons als experts gevraagd om de gaten in informatiepositie in te vullen. Zonder het door te hebben doe je dit deels op basis van aannames. Aannames zorgen ervoor dat je snel stappen kan zetten in het analyseproces, maar als later blijkt dat één van je aannames niet klopt dan kan dat negatieve gevolgen hebben omdat je op basis van onjuiste interpretatie van informatie handelde. Ga je er tijdens een risicoanalyse bijvoorbeeld vanuit dat jouw systemen goed up-to-date worden gehouden? Dan wordt het een lastig verhaal als jouw organisatie getroffen wordt door een ransomware-aanval, waarbij gebruik is gemaakt door meerdere al bekende kwetsbaarheden. Er is uitgegaan van een aanname ("we zijn beveiligd") zonder die kritisch te bekijken. Die aanname werd niet getest of uitgesproken en niemand stelde er vragen bij.
Hoe helpt deze analysetool jou?
De Key Assumptions Check heeft als doel om aannames in een analyseproces expliciet te maken en om deze te beoordelen op mate van zekerheid. Dit proces stelt je in staat om gemaakte aannames te herkennen en te controleren. Hierdoor kun je blinde vlekken ontdekken en ben je voorbereid als de situatie (en daarmee de aannames) veranderen.
Wie moet deze analysetool gebruiken?
De Key Assumptions Check is nuttig voor iedereen die beslissingen neemt of voorbereidt in onzekere, complexe of risicovolle situaties met een onvolledige informatie positie. Bijvoorbeeld:
- Beleidsmakers of besluitvormers kunnen nagaan of de aannames rust realitisch en houdbaar zijn.
- Analististen en onderzoekers die zich bezighouden met inlichtingenwerk, risicomanagement of scenario-analyse worden gedwongen om kritisch te kijken naar impliciete aannames die onbewust meespelen.
- Bij project en programmamanagers betrokken zijn grote projecten om de aannames expliciet te maken en om zo duidelijk te maken waar er extra informatie of monitoring nodig is.
Wanneer gebruik je deze analysetool?
Deze techniek wordt idealiter toegepast aan het begin van een analyseproces. Het is vooral waardevol wanneer de situatie onzeker is, wanneer er veel op het spel staat, of wanneer eerdere analyses mogelijk zijn beïnvloed door groepsdenken of tunnelvisie. Daardoor kun je deze techniek ook inzetten tijdens een herziening of evaluatie van een bestaande analyse.
Door gebruik van de Key Assumption Check wordt een analyse objectiever wat de extra tijdsinvestering het waard maakt. Natuurlijk zijn er ook analyses voorstelbaar waarbij aannames minder problematisch zijn en een Key Assumption Check achterwege kan worden gelaten. Desalniettemin is het altijd goed om jezelf af te vragen: klopt het wat ik denk of zeg?
Met welke randvoorwaarden moet je rekening houden?
- Wees bewust van je houding. Het is belangrijk om een open en kritische houding te hebben, waarbij ook eigen overtuigingen en aannames ter discussie mogen staan.
- Zorg ervoor dat mensen zich vrij en veilig voelen. Teamleden moeten zich vrij voelen om aannames ter discussie te stellen en er moet een veilige sfeer zijn waarin twijfel en kritisch denken worden aangemoedigd.
- Neem tijd en ruimte om stil te staan bij aannames. Een goede Key Assumptions Check kost tijd. Je moet de ruimte krijgen om even na te denken.
- Heb toegang tot relevante informatie. Om aannames te controleren moet je weten waar ze op gebaseerd zijn (gegevens, bronnen, ervaring). Zonder die informatie kun je niet goed beoordelen of de aanname nog klopt.
- Zorg voor diversiteit in het team. Mensen met verschillende achtergronden of expertises zien andere aannames. Diversiteit helpt om blinde vlekken op te sporen.
Hoe gebruik je deze analysetool?
Bij een Key Assumptions Check breng je met een kleine, diverse groep de belangrijkste aannames in een analyse in kaart. In een workshop van 2 uur schetsen de deelnemers eerst individueel een aantal aannames. Gezamenlijk verkennen de deelnemers overlappen in deze aannames en beoordelen ze welke aannames terecht zijn gedaan. Als resultaat van de workshop heb je een overzicht van de belangrijkste aannames met inzicht in o.a. hun betrouwbaarheid en onderbouwing.
Voorbeeldcasus
Je werkt bij een groot bedrijf als expert op het gebied van cybersecurity. Er wordt onbesproken vanuit gegaan dat het bedrijf geen aantrekkelijk doelwit is voor hackers, omdat het geen geheime technologie heeft en weinig in het nieuws komt. Daarom houden jullie het budget voor cyberweerbaarheid beperkt en besluiten bepaalde systemen niet te beveiligen.
Je hebt de opdracht gekregen om het risicoprofiel voor de organisatie te herzien. Zijn er bepaalde dreigingen of te beschermen belangen die over het hoofd zijn gezien? Het bestuur zou dit graag willen weten, omdat ze bezig zijn met het maken van de budgetten van volgend jaar en ze meer zekerheid willen hebben.