Simple Scenario

Simple Scenario gebruik je om scenario's voor de toekomst te verkennen, om ontwikkelingen beter te begrijpen en in context te plaatsen. Dit ondersteunt besluitvorming en biedt handvatten om proactief kansen te benutten en risico’s te identificeren.

Tegen welk probleem loop je aan?

Om passend en proportioneel te reageren op toekomstige ontwikkelingen, wil je houvast hebben om te begrijpen wat nieuwe informatie voor jou betekent. Toekomstige ontwikkelingen hangen inherent samen met grote onzekerheidsfactoren want je weet niet precies wat er gaat gebeuren. Ook bestaat er het risico van tunnelvisie. Op basis van eerdere ervaring en referentiekader kun je jezelf vastpinnen op één toekomstbeeld. Hierdoor kun je nieuwe informatie in het verkeerde perspectief plaatsen en ineffectief reageren.

Als er bijvoorbeeld sprake is van een cyberincident, dan heb je als expert meestal te maken met een grote verscheidenheid aan onzekerheden: hoeveel schade heeft de actor kunnen aanrichten? Hoeveel impact heeft dat op mijn organisatie? Wat is de beste actie en hoe kan ik proactief voorbereid zijn om bij nieuwe informatie snel en effectief te handelen? Er is behoefte aan handvatten om mogelijke ontwikkeling op de juiste manier te appreciëren.

Hoe helpt deze analysetool jou?

Het construeren van simpele scenario’s heeft als doel om gestructureerd verschillende mogelijke toekomsten op te stellen. Omdat je hierdoor zicht creëert op mogelijke ontwikkelingen kun je (nieuwe) informatie op de juiste manier waarderen en in context plaatsen. Dat faciliteert effectieve besluitvorming.

Daarnaast geven scenario’s handvatten om proactief te handelen. Door inzicht te hebben in mogelijke toekomstige ontwikkelingen, ben je nu al in staat om actie te ondernemen. Zo kun je onacceptabele risico’s mitigeren voordat deze zich manifesteren of actie ondernemen om kansen te pakken.

Wie moet deze analysetool gebruiken?

We adviseren dat operationele en tactische rollen in het digitale veiligheidsdomein scenario’s gebruiken met als doel om de tactische en strategische laag in staat te stellen de weloverwogen keuzes  te maken. Operationele experts gebruiken scenario’s om nieuwe informatie op de juiste manier te waarderen.

Als voorbeeld, heeft het SOC van een organisatie een incident gedetecteerd en het incidentresponsteam is in actie gekomen. Het bestuur van de organisatie heeft behoefte aan concreet handelingsperspectief: waar staan we nu en hoe gaat dit incident zich ontwikkelen? De CISO roept daarom een groep experts bijeen en stelt scenario’s op. Daardoor kan het bestuur richting geven aan welke scenario’s onacceptabel zijn en dus voorkomen moeten worden. Nieuwe informatie vanuit het incidentresponsteam geeft aanvullend houvast welk scenario manifesteert. Doordat de CISO de scenario’s al heeft klaarliggen, heeft hij al een aantal mogelijke maatregelen voorbereid. Als er sterke aanwijzingen zijn dat het worst case scenario plaatsvindt dan kan hij snel overgaan tot risicobeheersing.

Wanneer gebruik je deze analysetool?

Je maakt gebruik van scenario’s als een situatie nog in ontwikkeling is, voor een risico-analyse en als er besluitvorming aan zit te komen. Je bouwt scenario’s als er sprake is van een situatie met grote onzekerheid over de toekomst terwijl je op korte termijn grote besluiten moet nemen. Een situatie waarbij je stuurt op 50% zicht terwijl je je 100% van de besluiten op nemen, zoals tijdens de Coronacrisis. Scenario’s helpen je om duiding te bieden aan nieuwe informatie in het grotere plaatje.

Voortbordurend op het eerdere voorbeeld, besluit de CISO om scenario’s te gaan bouwen zodra duidelijk is dat de organisatie gecompromitteerd is. Op dat moment is er nog veel onduidelijk, zoals de uiteindelijke mate van diepgang van de aanval of de mate van exfiltratie van cruciale informatie. Toch wil de CISO daarop voorbereid zijn. Daarom bouwt de CISO scenario’s om nieuwe informatie snel te kunnen plaatsen en om onderbouwde besluitvorming te faciliteren.

Met welke randvoorwaarden moet je rekening houden?

Het bouwen van simpele scenario’s is relatief laagdrempelig. Er is geen facilitator nodig en deze techniek kan ook door één individu toegepast worden. Het is daarom primair van belang om de uitgevoerde stappen en logica te documenteren. Dat zorgt ervoor dat er een herleidbaar pad is tot eindresultaten. Zorg ervoor dat je goed nadenkt over de belangrijkste factoren die invloed hebben op de situatie. Probeer creatief te denken en verschillende richtingen te verkennen.

Hoe gebruik je deze analysetool?

Nadat je helder gedefinieerd hebt op welk centraal vraagstuk je vooruit wilt blikken middels scenario’s, is de eerste stap om de factoren te bepalen die de belangrijkste redenen/drijfveren zijn die de toekomst bepalen. Nadat je deze in zicht hebt, kun je een aantal scenario’s ontwikkelen. Door de drijfveren te plotten op de scenario’s, creëer je inzicht in de mogelijke toekomsten.

Voorbeeldcasus

We blijven voortbouwen op het eerdere voorbeeld. Het SOC van een organisatie heeft een incident gedetecteerd en het incidentresponsteam is in actie gekomen. Het bestuur van de organisatie heeft behoefte aan concreet handelingsperspectief: waar staan we nu en hoe gaat dit incident zich ontwikkelen? De CISO roept daarom een groep experts bijeen en stelt scenario’s op.