Wake-up call – The ENISA Cybersecurity Exercise Methodology inspired by HarmonyQ
Cyberweerbaarheid begint niet op het moment van de aanval, maar in de voorbereiding ervoor. Organisaties die wachten tot een echt incident zich voordoet, ontdekken te laat waar processen vastlopen, waar communicatie stokt en waar rollen onduidelijk zijn. Oefeningen zijn geen theoretische luxe: ze zijn essentieel om mensen, processen en besluitvorming te testen, om lessen te identificeren en om de organisatie sterker te maken vóór de schade echt is. ENISA benadrukt dat duidelijke en begrijpelijke boodschappen medewerkers en stakeholders moeten motiveren om actief deel te nemen, en dat oefeningen gebouwd moeten zijn op realistische, relevante scenario’s die passen bij de eigen dreigingen en kwetsbaarheden.
U vindt hieronder ontnuchterende en realistische oefeningen die uw medewerkers meenemen in wat een echte aanval voor het bedrijf zou betekenen: uitval van systemen, verlies van communicatie, onzekerheid over verantwoordelijkheden en de tastbare schade voor de continuïteit van de onderneming. Juist omdat discussion-based en tabletopoefeningen samenwerking, besluitvorming en communicatie versterken, zijn ze een krachtig middel om samenhang binnen het personeel op te bouwen en cyberrisico’s bespreekbaar én voelbaar te maken.
Wat deze HarmonyQ methodologie heel duidelijk maakt, is dat een oefening niet moet starten bij technologie, maar bij de “waarom”: waarom de organisatie dit moet doen, welke boodschap nodig is om draagvlak te creëren en welk resultaat men wil verbeteren. Tabletopoefeningen zijn bijzonder geschikt wanneer organisaties op een realistische manier willen werken aan betere samenwerking, duidelijkere besluitvorming en praktische paraatheid, zonder meteen te vervallen in complexe technische simulaties. Precies daarom is deze aanpak zo waardevol voor grotere kmo’s.
Stel je een virtual CISO voor die aan tafel zit met vijf grote kmo of MKB-klanten. Geen van die bedrijven is roekeloos. Geen van hen is nalatig. Alle vijf hebben al “iets” gedaan rond cybersecurity. Ze werken met Microsoft 365, hebben back-ups, beschikken over enkele beveiligingsmaatregelen, misschien een MSP, en vaak ook MFA op de meest zichtbare toepassingen. Op papier lijkt alles min of meer onder controle. Maar de vCISO ziet in elke bestuurskamer dezelfde kwetsbaarheid terugkeren: men investeert in tools, maar laat precies die ene activiteit liggen die zou aantonen of het bedrijf in de praktijk ook echt overeind blijft onder druk. Men heeft management, IT, operations en sleutelmedewerkers nooit echt samen laten nadenken over een realistische verstoring. Men heeft nooit getest wie beslist, wie communiceert, wie herstelt, wie escaleert en wie ervoor zorgt dat het bedrijf blijft functioneren wanneer het vertrouwde clouddashboard plots niet meer beschikbaar is.
Daar zit de wake-up call. De gemiste kans is niet nog een extra tool. De gemiste kans is dat men zijn mensen niet betrekt in kleine, realistische tabletopoefeningen die aannames omzetten in feiten.
De vCISO stelt daarom geen grote, dure crisissimulatie voor. Integendeel. Hij kiest voor iets dat kleiner, directer en in de praktijk vaak confronterender is: een reeks gerichte tabletopsessies, elk opgebouwd rond één herkenbare bedrijfsschok. Geen theoretische show, maar oefeningen die dicht aansluiten bij de realiteit van dagelijkse bedrijfsvoering.
De eerste oefening start op een maandagochtend. Microsoft 365 is niet beschikbaar. Outlook hapert. SharePoint is onbereikbaar. Teams werkt onstabiel. Het filesysteem waarvan iedereen dacht dat het “er gewoon altijd is”, blijkt plots veel dieper verweven met de dagelijkse werking dan men had beseft. De oefening gaat niet over de schuldvraag en ook niet over de kans dat Microsoft ooit uitvalt. Ze draait om een veel fundamentelere vraag: hoe werkt het bedrijf verder wanneer zijn vertrouwde samenwerkingsplatform wegvalt? Kan sales nog offertes versturen? Kan finance nog factureren? Kan customer service klanten correct opvolgen? Kan het management nog beslissen en coördineren?
De vCISO legt de vinger op de wonde: is er een echt Plan B? Niet in een policy op papier, maar operationeel. Is er een alternatieve communicatielijn? Zijn kritieke documenten op een andere manier bereikbaar? Kunnen afdelingen verder werken zonder SharePoint of Teams? Bestaat er een duplicaatomgeving of noodstructuur waarop men tijdelijk kan overschakelen? Plots wordt voor iedereen zichtbaar dat “we hebben cloud” niet hetzelfde is als “we zijn veerkrachtig”.
De tweede oefening begint met een bericht van CERT. Er zijn aanwijzingen dat Azure AD-credentials van de organisatie op het dark web circuleren. Er is nog geen bevestigde inbraak. Nog geen zichtbaar misbruik. Maar precies genoeg informatie om nervositeit, twijfel en tijdsdruk te creëren. En daar verandert de sfeer in de ruimte. Wat eerst nog als een technisch incident kon worden gezien, wordt nu een bestuursprobleem.
De ene inject volgt op de andere: een waarschuwing van CERT, een verdachte login vanuit een ongebruikelijke locatie, een leverancier die vraagt of samenwerking nog veilig is, een directielid dat wil weten of de raad van bestuur geïnformeerd moet worden, een privacyverantwoordelijke die vraagt of persoonsgegevens mogelijk betrokken zijn. De organisatie beseft ineens dat dit geen louter IT-vraagstuk is. Dit is een oefening in leiderschap, besluitvorming, juridische afweging, communicatie en escalatie. Wie neemt de leiding? Wie mag een beslissing nemen? Wanneer wordt extern gecommuniceerd? Wie beslist of accounts worden geblokkeerd? Wie overlegt met de IT-partner? De oefening toont in enkele uren wat in veel bedrijven jarenlang verborgen blijft: de kloof tussen technische maatregelen en bestuurlijke paraatheid.
De derde oefening legt een andere blinde vlek bloot. Stel dat alle cloudtoepassingen zonder MFA als verdacht worden beschouwd. Niemand mag nog uitgaan van vertrouwen in bestaande wachtwoorden. De organisatie moet opnieuw controle krijgen. Dan komt een ongemakkelijke realiteit aan het licht: welke applicaties zijn nu eigenlijk écht kritiek? Wie is eigenaar van welke adminaccounts? Welke accounts zijn gedeeld? Welke toepassingen vormen het kloppende digitale hart van het bedrijf? Welke processen vallen als eerste stil wanneer toegang verloren gaat? En vooral: in welke volgorde moeten wachtwoorden worden vernieuwd zodat het bedrijf gecontroleerd en veilig opnieuw op gang komt?
Hier introduceert de vCISO het idee van de digitale hartslag van de onderneming. Niet als modieuze term, maar als praktische oefening. Wat zijn de digitale systemen zonder welke het bedrijf ophoudt te functioneren? ERP, CRM, mail, identity, finance, productieplanning, klantportalen, documentbeheer, back-upbeheer — welke daarvan moeten binnen enkele uren hersteld zijn, en welke kunnen wachten? Deze oefening maakt duidelijk dat wachtwoordresetten geen administratieve taak is, maar een crisisproces. Het vereist eigenaarschap, prioritering, coördinatie en vertrouwen in de volgorde van herstel.
De vierde oefening gaat nog een stap verder en raakt een gevoelig punt in bijna elke kmo: back-up wordt vaak gezien als geruststelling, maar zelden echt getest als bewijs van veerkracht. De vCISO draait het perspectief om. Hij vraagt niet: “Hebben jullie back-ups?” Hij vraagt: “Zijn jullie zeker dat jullie met die back-ups echt kunnen overleven?” Eén kritisch systeem is corrupt. Eén back-up lijkt beschikbaar. Eén restorepad lijkt mogelijk. Maar hoe zeker is men dat die back-up zuiver is, volledig is, recent genoeg is en bruikbaar is binnen de tijd die de business nog kan verdragen?
Wie valideert de integriteit van de restore? Wie geeft toestemming om terug te zetten? Wie bevestigt dat de herstelde data betrouwbaar genoeg zijn om opnieuw te werken? Wie controleert of afhankelijkheden met andere applicaties niet alsnog voor uitval zorgen? Op dat moment wordt voor de deelnemers duidelijk dat veerkracht niet zit in het hebben van een back-uptool, maar in het kunnen aantonen dat herstel betrouwbaar, tijdig en bestuurbaar is.
Dat is precies waarom deze oefeningen zo krachtig zijn. Niet omdat ze spectaculair zijn, maar omdat ze geloofwaardig zijn. Ze zijn herkenbaar. Ze lijken op gebeurtenissen die morgen echt kunnen plaatsvinden. En omdat ze klein en gefocust zijn, zijn ze haalbaar voor grotere kmo’s. Het management hoeft geen volledige crisisstaf vrij te maken voor weken voorbereiding. IT hoeft geen ingewikkelde technische aanval na te bootsen. Toch leveren deze oefeningen vaak meer waarheid op dan een stapel policies of dashboards.
Voor die vijf klanten van de vCISO wordt de boodschap dan ook heel concreet. Jullie missen geen “training” in de klassieke zin van het woord. Jullie missen de kans om als organisatie samen te leren denken en handelen onder druk. Jullie missen de kans om te testen of er echt een Plan B bestaat bij uitval van Microsoft 365. Jullie missen de kans om te ontdekken hoe snel en gecontroleerd jullie kunnen reageren op gelekte identiteiten. Jullie missen de kans om te bepalen hoe jullie alle wachtwoorden van niet-MFA-cloudapplicaties prioritair en beheerst vernieuwen. Jullie missen de kans om jullie digitale hartslag in kaart te brengen en te bewijzen dat back-up niet alleen bestaat, maar ook echte operationele weerbaarheid biedt.
Zo wordt de ENISA template plots veel meer dan een richtlijn. Het wordt een managementinstrument. Een manier om met beperkte inspanning zeer tastbare inzichten te krijgen. Een manier om bestuur, IT en business rond dezelfde tafel te brengen. Een manier om aannames te vervangen door antwoorden. En vooral: een manier om vandaag te oefenen, zodat men morgen niet voor het eerst moet nadenken wanneer vertrouwen, toegang, cloudbeschikbaarheid of herstelzekerheid plots wegvallen.
De echte wake-up call van de vCISO is dus niet: “jullie hebben meer cybersecurity nodig.”
De echte wake-up call is: jullie moeten leren inoefenen hoe het bedrijf blijft functioneren wanneer de digitale zekerheden waarop iedereen vertrouwt plots verdwijnen.
De echte les is eenvoudig: wie vandaag oefent met kleine, geloofwaardige scenario’s, voorkomt morgen grote, dure verrassingen. Oefenen maakt van een los document geen papieren verplichting, maar een gedeeld verhaal, een gezamenlijke reflex en een concreet actieplan voor echte weerbaarheid.
https://www.enisa.europa.eu/publications/the-enisa-cybersecurity-exercise-methodology
