Oefenen baart kunst
De medewerkers in jouw organisatie spelen een belangrijke rol in het beheersen van een cyberincident of -crisis. Door regelmatig te oefenen met (fictieve) incidenten bouwen jouw medewerkers ervaring op en kunnen zij effectief handelen. Zonder te oefenen loop je het risico dat je alles op papier tot in de puntjes hebt uitgedacht, maar in praktijk serieus tekort schiet. Maar hoe pak je zo’n oefening effectief aan? Welke oefenvormen zijn er en waar begin je? In deze publicatie lees je meer over het belang van oefenen en krijg je concrete handvatten om een succesvolle oefening te organiseren.
Doelgroep: |
Deze publicatie is tot stand gekomen met bijdragen van: Het Cyberchain Resilience Consortium (CCRC), De Nederlandse Bank (DNB), TCT Rijk, Digital Trust Center, Ministerie van Onderwijs, Cultuur & Wetenschap, Eye security, Esoxit, Het Normo. |
Achtergrond: wat is oefenen?
Oefenen is het in de praktijk brengen van wat je hebt geleerd in een gecontroleerde en veilige omgeving. Jij en jouw medewerkers bouwen hiermee ervaring op en kunnen daarmee effectiever handelen tijdens een cyberincident. Door regelmatig te oefenen zorg je er bijvoorbeeld voor dat back-ups snel teruggezet kunnen worden na een ransomware-aanval, er effectief wordt gecommuniceerd bij een datalek en er geen steken vallen bij het managen van een cybercrisis. Er zijn verschillende vormen om te oefenen, zoals:
Oefenen en testen In de praktijk worden de termen ‘oefenen’ en ‘testen’ soms als synoniemen door elkaar gebruikt. Er is overlap, maar er zit een verschil in focus. Oefenen draait om het (nagenoeg altijd bewust) in praktijk brengen van (beveiligings-)maatregelen om de ervaring hiermee te vergroten, waar testen draait om het beoordelen van de effectiviteit, efficiency en kwaliteit van getroffen beveiligingsmaatregelen. Zie oefenen als het maken van een proefexamen, waar testen het examen is. |
Stap 1. Schets een oefenplan
Als je net begint met oefenen, moet jouw organisatie hier wellicht nog aan wennen. Misschien heb je maar een beperkt budget om hiermee te starten en moet je nog bewijzen dat oefenen nuttig is. Dat is op zich geen probleem: ook met beperkte middelen kun je effectief oefenen. Daarbij is het wel belangrijk dat je jouw oefeningen prioriteert en afstemt op de behoeftes, doelstellingen en capaciteiten van jouw organisatie.
Om te beginnen met oefenen moet je eerst zicht hebben op het doel en de scope van jouw (eerste) oefening. Gebruik de onderstaande vragen om hier een beeld bij te vormen. Het helpt om deze vragen samen met jouw belangrijkste stakeholders, bijvoorbeeld de eigenaren van beheersprocessen, door te nemen en vervolgens samen te vatten in een (hoog-over) oefenplan.
Waar wil ik (als eerste) mee oefenen?
Oefenen is het meest doeltreffend als de oefening zich richt op zaken waar jouw organisatie nog beperkt ervaring mee heeft. Wat is voor jouw organisatie het meest doeltreffend? Denk hierbij aan:
- De (belangrijkste) risico’s van jouw organisatie en de maatregelen die deze mitigeren.
- Een overzicht van incidenten en de tijdens-het-incident uitgevoerde activiteiten. Als je een activiteit al vaak uitvoert in praktijk, dan hoef je deze niet uitgebreid te oefenen.
- Een overzicht van eerder uitgevoerde oefeningen en de daaruitvolgende oefenresultaten en verbeterpunten.
- Recente veranderingen in de processen die relevant zijn voor jouw digitale weerbaarheid en die je met een oefening in praktijk wil brengen.
Wat wil ik bereiken door te oefenen?
Er zijn verschillende redenen om te oefenen. Denk vooraf na over de leerdoelen die je wilt realiseren, zoals:
Wie moet er betrokken zijn?
De leerdoelen behaal je alleen als je de relevante stakeholders hebt betrokken. Maak een overzicht van alle relevante stakeholders en betrek ze bij het vormgeven en uitvoeren van de oefening.
Is mijn organisatie ‘klaar’ om te oefenen?
Oefenen is het meest effectief als de deelnemers al zijn getraind voor hun rol. Mochten de medewerkers nog niet voldoende op de hoogte zijn van hun rol en wat er van hen verwacht wordt, zet dan eerst in op training en opleiding.
Welke capaciteit heb ik (nodig)?
Een simpele tabletop-oefening gericht op basiscrisiscommunicatie vereist minder capaciteiten van jouw organisatie dan een meerdaagse, organisatie-overstijgende praktijksimulatie. Weet wat je van je organisatie kunt vragen om een passende oefenvorm uit te tekenen. Denk niet alleen aan geld en middelen, maar ook welke tijdsinspanning je van de deelnemers en faciliterende medewerkers vraagt.
Welke risico’s accepteer ik?
Elke activiteit ,ook oefeningen, kunnen risico’s inhouden. Verschillende vormen van oefenen brengen andere risico’s met zich mee. Een oefening op basis van een tabletop brengt geen significante risico’s voor de bedrijfsvoering. Het ‘live’ overschakelen op noodstroom kan er echter voor zorgen dat de bedrijfsvoering stil komt te liggen indien dit niet vlekkeloos gaat. Breng deze risico’s samen met de relevante stakeholders goed in kaart en beschrijf hoe je deze kunt mitigeren. Laat risico-eigenaren de oefening goedkeuren.
Stap 2. Ontwikkel de oefening en voer deze uit
Als je de contouren van de oefeningen hebt geschetst, dan kan je de oefening ontwikkelen en vervolgens in praktijk brengen. Maak hierbij gebruik van de volgende good practices.
Win expertise in Het ontwerpen en begeleiden van een succesvolle oefening vergt expertise en capaciteit. Heb je deze elementen niet (direct) beschikbaar in jouw organisatie? Overweeg dan of het voor jouw organisatie handiger is om de expertise zelf op te bouwen en/of een commerciële partij te betrekken: • Er zijn (commerciële) aanbieders die zich specialiseren in het geven van trainingen en het houden van oefeningen. Ook als je zelf voldoende expertise hebt, maar kampt met een gebrek aan capaciteit om een (grote) oefening voor te bereiden, dan kan een externe aanbieder een uitkomst zijn. Zorg er uiteraard voor dat die aanbieder jou kan leveren wat je zoekt, op basis van jouw hoog-over oefenplan. |
Stap 3. Opvolging van de oefening
Neem de tijd om na de oefening stil te staan bij wat er goed ging en wat er in het vervolg beter kan. Op deze manier rond je de oefening op een prettige manier af en krijgen de deelnemers (en jij als organisator) de nodige input om te leren. Denk aan de volgende acties.
Evalueer de oefening
Geen enkele oefening is perfect. Geef de deelnemers de ruimte om te reflecteren op de oefening zelf. Wat was er goed geregeld aan de oefening, en wat kon er beter? Hebben de deelnemers bereikt wat zij wilden? En heeft het geleid tot het beoogde leerdoel? Houd ruimte aan het einde van de oefening om direct erna feedback te verzamelen in een groepssetting. Geef daarnaast de ruimte om aanvullende reflecties te geven in de dagen erna.
Maak een verbeterplan met concrete acties
Op basis van de bevindingen en ervaringen krijg je zicht op onvolkomenheden in jouw (beheers-)processen en maatregelen. Welke processen hebben extra aandacht nodig? Is er bijvoorbeeld onvoldoende communicatie tussen verschillende teams tijdens incidentrespons? Zijn er bepaalde technische maatregelen die onvolkomen zijn ingericht? Of zijn er juist hiaten in de training en opleiding die medewerkers hebben gevolgd?
Bespreek deze bevindingen met de aanwezigen tijdens de afsluiting van de oefening. Bespreek de bevindingen ook na de oefening met de relevante stakeholders en formuleer samen een verbeterplan. Prioriteer de verbeteracties en zorg er voor dat belangrijke (en afdeling-overstijgende) verbeteracties in managementrapportages terechtkomen, zodat bestuur en directie betrokken blijven.
Maak van oefenen een cyclisch proces
Oefenen is een activiteit die een bewezen bijdrage levert aan de digitale weerbaarheid van jouw organisatie. Zie oefenen dus ook niet als een eenmalige activiteit, maar als een cyclisch proces waarin je stapsgewijs werkt aan het versterken van je cyberweerbaarheid. Gebruik de handvatten uit paragraaf ‘schets een oefenplan’ om dit zo effectief mogelijk te blijven doen, waar je na verloop van tijd meer en meer kunt bouwen op jouw eerdere oefenervaring. Overweeg daarnaast een oefenkalender te maken, waarop je een aantal elementen vast inroostert, zoals een jaarlijkse crisisoefening.