Simple Scenario gebruik je om scenario's voor de toekomst te verkennen, om ontwikkelingen beter te begrijpen en in context te plaatsen. Dit ondersteunt besluitvorming en biedt handvatten om proactief kansen te benutten en risico’s te identificeren.
Tegen welk probleem loop je aan?
Om passend en proportioneel te reageren op toekomstige ontwikkelingen, wil je houvast hebben om te begrijpen wat nieuwe informatie voor jou betekent. Toekomstige ontwikkelingen hangen inherent samen met grote onzekerheidsfactoren want je weet niet precies wat er gaat gebeuren. Ook bestaat er het risico van tunnelvisie. Op basis van eerdere ervaring en referentiekader kun je jezelf vastpinnen op één toekomstbeeld. Hierdoor kun je nieuwe informatie in het verkeerde perspectief plaatsen en ineffectief reageren.
Als er bijvoorbeeld sprake is van een cyberincident, dan heb je als expert meestal te maken met een grote verscheidenheid aan onzekerheden: hoeveel schade heeft de actor kunnen aanrichten? Hoeveel impact heeft dat op mijn organisatie? Wat is de beste actie en hoe kan ik proactief voorbereid zijn om bij nieuwe informatie snel en effectief te handelen? Er is behoefte aan handvatten om mogelijke ontwikkeling op de juiste manier te appreciëren.
Hoe helpt deze analysetool jou?
Het construeren van simpele scenario’sheeft als doel om gestructureerd verschillende mogelijke toekomsten op te stellen. Omdat je hierdoor zicht creëert op mogelijke ontwikkelingen kun je (nieuwe) informatie op de juiste manier waarderen en in context plaatsen. Dat faciliteert effectieve besluitvorming.
Daarnaast geven scenario’s handvatten om proactief te handelen. Door inzicht te hebben in mogelijke toekomstige ontwikkelingen, ben je nu al in staat om actie te ondernemen. Zo kun je onacceptabele risico’s mitigeren voordat deze zich manifesteren of actie ondernemen om kansen te pakken.
Wie moet deze analysetool gebruiken?
We adviseren dat operationele en tactische rollen in het digitale veiligheidsdomein scenario’s gebruiken met als doel om de tactische en strategische laag in staat te stellen de weloverwogen keuzes te maken. Operationele experts gebruiken scenario’s om nieuwe informatie op de juiste manier te waarderen.
Als voorbeeld,heeft het SOC van een organisatie een incident gedetecteerd en het incidentresponsteam is in actie gekomen. Het bestuur van de organisatie heeft behoefte aan concreet handelingsperspectief: waar staan we nu en hoe gaat dit incident zich ontwikkelen? De CISO roept daarom een groep experts bijeen en stelt scenario’s op. Daardoor kan het bestuur richting geven aan welke scenario’s onacceptabel zijn en dus voorkomen moeten worden. Nieuwe informatie vanuit het incidentresponsteam geeft aanvullend houvast welk scenario manifesteert. Doordat de CISO de scenario’s al heeft klaarliggen, heeft hij al een aantal mogelijke maatregelen voorbereid. Als er sterke aanwijzingen zijn dat het worst case scenario plaatsvindt dan kan hij snel overgaan tot risicobeheersing.
Wanneer gebruik je deze analysetool?
Je maakt gebruik van scenario’s als een situatie nog in ontwikkeling is, voor een risico-analyse en als er besluitvorming aan zit te komen. Je bouwt scenario’s als er sprake is van een situatie met grote onzekerheid over de toekomst terwijl je op korte termijn grote besluiten moet nemen. Een situatie waarbij je stuurt op 50% zicht terwijl je je 100% van de besluiten op nemen, zoals tijdens de Coronacrisis. Scenario’s helpen je om duiding te bieden aan nieuwe informatie in het grotere plaatje.
Voortbordurend op het eerdere voorbeeld, besluit de CISO om scenario’s te gaan bouwen zodra duidelijk is dat de organisatie gecompromitteerd is. Op dat moment is er nog veel onduidelijk, zoals de uiteindelijke mate van diepgang van de aanval of de mate van exfiltratie van cruciale informatie. Toch wil de CISO daarop voorbereid zijn. Daarom bouwt de CISO scenario’s om nieuwe informatie snel te kunnen plaatsen en om onderbouwde besluitvorming te faciliteren.
Met welke randvoorwaarden moet je rekening houden?
Het bouwen van simpele scenario’s is relatief laagdrempelig. Er is geen facilitator nodig en deze techniek kan ook door één individu toegepast worden. Het is daarom primair van belang om de uitgevoerde stappen en logica te documenteren. Dat zorgt ervoor dat er een herleidbaar pad is tot eindresultaten. Zorg ervoor dat je goed nadenkt over de belangrijkste factoren die invloed hebben op de situatie. Probeer creatief te denken en verschillende richtingen te verkennen.
Hoe gebruik je deze analysetool?
Nadat je helder gedefinieerd hebt op welk centraal vraagstuk je vooruit wilt blikken middels scenario’s, is de eerste stap om de factoren te bepalen die de belangrijkste redenen/drijfveren zijn die de toekomst bepalen. Nadat je deze in zicht hebt, kun je een aantal scenario’s ontwikkelen. Door de drijfveren te plotten op de scenario’s, creëer je inzicht in de mogelijke toekomsten.
Bepaal duidelijk het hoofdprobleem en het doel.
Maak een lijst van krachten, factoren en gebeurtenissen die invloed kunnen hebben.
Deel deze krachten en factoren in vijf tot tien groepen in.
- Groepeer factoren die bij elkaar horen. Dit noemen we de drijfveren. Deze drijfveren zijn de belangrijkste factoren die bepalen hoe het probleem zich kan ontwikkelen.
Geef elke drijfveer een naam en schrijf er kort bij wat het betekent.
Maak een schema (matrix) met de krachten aan de linkerkant en scenario’s bovenaan.
Best case scenario
Worst case scenario
Most likely scenario
Wildcard scenario
Drijfveer I
Drijfveer II
Drijfveer III
Drijfveer IV
Drijfveer V
Maak minstens vier verschillende toekomstscenario’s.
a. Een beste scenario
b. Een slechtste scenario
c. Een meest waarschijnlijke scenario
d. Een extra scenario met andere mogelijkheden
Geef elke drijfveer voor elk scenario een waarde:
+ wanneer de drijfveer een sterke of positieve invloed heeft op dat dit scenario plaatsvindt
– wanneer de drijfveer een zwakke of negatieve invloed heeft op dat dit scenario plaatsvindt
0 of leeg als er geen invloed is van de drijfveer op dit scenario
Kijk nog eens goed naar de lijst met drijfveren.
- Zijn ze duidelijk?
- Mist er iets belangrijks?
- Zijn er drijfveren die in elk scenario hetzelfde blijven? Als dit het geval is dan kun je deze drijfveer beter weglaten. Het is in dat geval een universele kracht die weinig voorspellende gave heeft over de toekomst.
Controleer of je genoeg verschillende scenario’s hebt.
- Heb je alleen gedacht aan wat waarschijnlijk is?
- Wat als een veronderstelling fout is?
- Zou dat tot een ander scenario leiden?
Schrijf voor elk scenario een kort verhaal (ongeveer één pagina).
- Beschrijf hoe die toekomst eruitziet.
- Laat zien hoe de krachten samen werken in dat scenario.
Schrijf per scenario wat de uitkomsten van zo’n scenario aan impact heeft voor iemand die een beslissing moet nemen.
Optioneel
Bedenk een lijst van signalen of aanwijzingen (‘indicatoren’) per scenario. Deze indicatoren hebben als taak om indicatief te zijn dat specifiek dat scenario aan het materialiseren is.
Deze helpen om te zien of een scenario misschien werkelijkheid aan het worden is en je er dus snel op kan redeneren.
Kijk periodiek naar de indicatoren en vergelijk ze met de werkelijkheid om te controleren of de conclusies en passende besluitvorming nog in lijn lopen met de scenario’s.
Maak regelmatig een rapport: welk scenario lijkt nu te gebeuren, en waarom?
Voorbeeldcasus
We blijven voortbouwen op het eerdere voorbeeld. Het SOC van een organisatie heeft een incident gedetecteerd en het incidentresponsteam is in actie gekomen. Het bestuur van de organisatie heeft behoefte aan concreet handelingsperspectief: waar staan we nu en hoe gaat dit incident zich ontwikkelen? De CISO roept daarom een groep experts bijeen en stelt scenario’s op.
De CISO bepaalt dat het hier gaat om het begrijpen van wat er gebeurd is en om zijn bestuurders goed handelingsperspectief te geven als de situatie wijzigt.
De groep gaat aan de slag en probeert te begrijpen wat de krachten, factoren en gebeurtenissen zijn die invloed hebben op het vervolg van de cyberaanval.
De gehele opbrengst wordt geclusterd in specifieke drijfveren die besluitvorming beïnvloeden.
Maak een schema (matrix) met de krachten aan de linkerkant en scenario’s bovenaan.
Best case scenario
Worst case scenario
Most likely scenario
Wildcard scenario
Is de aanvaller nog actief in het netwerk?
+
-
+
0
Zijn de back-ups veilig?
+
-
+
-
Is er publieke aandacht voor de aanval?
-
-
-
-
Zien we neveneffecten, bijvoorbeeld dat onze ketenpartners aangevallen zijn?
+
-
0
+
Zijn onze kritieke systemen geraakt?
+
-
-
+
Op basis van deze scores, worden de volgende scenario’s duidelijk:
a. Best case scenario: de aanvaller is niet meer actief in het netwerk, de back-ups zijn nog veilig, er is beperkt publieke aandacht voor de casus, de kritieke systemen zijn niet geraakt en de ketenpartners merken ook geen effecten.
b. Het worst case scenario is in deze situatie andersom, waarbij de actor nog actief is en de kroonjuwelen van de organisaties geraakt heeft.
c. Het most likely scenario omvat een gemixte situatie: de actor is niet meer actief in het netwerk, maar er zijn al wel kritieke systemen aangetast. De back-ups zijn veilig.
d. Het wildcard scenario wijst op een situatie waarbij de kritieke systemen vooralsnog veilig zijn, maar de actor nog steeds actief is in het netwerk. Deze situatie is dus erg volatiel.
Het team beoordeelt de drijfveren nog een keer goed.
Ze concluderen dat in alle gevallen de publieke aandacht een negatief effect heeft. Daarom besluiten ze om deze drijfveer te verwijderen: het heeft geen unieke waarde om duiding te bieden aan één scenario.
De scenario’s worden nog een keer besproken en de groep is tevreden met de voorlopige opbrengst.
De CISO schrijft een eindrapport. Elk scenario wordt in één pagina door de CISO omschreven. Daarmee wordt de situatie tastbaarder voor de ontvanger, in dit geval de bestuurders van de organisatie.
Daarnaast omschrijft de CISO de impact voor de bestuurder. Hierin omschrijft de CISO welke acties er aangeraden worden in een specifieke situatie. Stel dat de back-ups gecompromitteerd zijn, wat moet de bestuurder dan doen? Welke maatregelen zijn er?
Tenslotte houdt de CISO actief contact met het incidentresponsteam. Gedurende het onderzoek, wordt steeds duidelijk dat het most likely scenario aan het plaatsvinden is. Daardoor kan het bestuur daar passend op reageren: back-ups worden op tijd hersteld en de kritieke systemen van de organisatie tijdelijk geïsoleerd. Daardoor beperken ze de schade van de aanval.
Pherson, R. H., & Heuer Jr, R. J. (2019). Structured analytic techniques for intelligence analysis. Cq Press.
Krueger, R. A., Casey, M. A., Donner, J., Kirsch, S., & Maack, J. N. (2001). Social analysis: selected tools and techniques. World Dev, 36, 4-23. Link: SDP-36-libre.pdf
Diaper, D., & Stanton, N. (Eds.). (2003). The handbook of task analysis for human-computer interaction.