- Stappenplan
- |
- Informatiebeveiliging en privacy
- |
- po
- vo
- mbo
Een crisisoefening organiseren op school
Een crisisoefening helpt je om beter te reageren op een echte cyberaanval. Door te oefenen, weet je als team wat je moet doen en kun je sneller en effectiever handelen in een echte crisissituatie. Dit kan de schade beperken en de tijd verkorten die nodig is om weer normaal te functioneren. Tijdens een oefening kunnen bovendien zwakke punten in de crisisreactie van jouw organisatie aan het licht komen. Misschien is er een gebrek aan kennis of ontbreken er bepaalde procedures. Door deze zwakke plekken te ontdekken en aan te pakken, ben je goed voorbereid op een eventuele echte aanval.
Door de redactie
Bewustwording
Oefenen draagt ook bij aan de bewustwording over het belang van informatiebeveiliging binnen jouw organisatie. Een crisisoefening laat collega’s en de bestuurder voelen waarom informatiebeveiliging belangrijk is en wat ze zelf kunnen doen als er iets misgaat.
Tool: crisisoefeningpakket
Organiseer met het oefenpakket eenvoudig zelf een (jaarlijkse) crisisoefening met jouw schoolbestuur. Je oefent met je crisisteam en ervaart wat een cybercrisis in de praktijk voor impact kan hebben. Je gebruikt hierbij de BOB-methode en je oefent met een (voorbeeld)scenario dat past bij de praktijksituatie van jouw schoolbestuur. De pakketten bevatten alles wat je als oefenvoorbereider nodig hebt om een korte oefening met je team te doen.
Opzet crisisoefening
Een crisisoefening bestaat uit een oefenscenario en materialen die de oefening ondersteunen. Denk aan zogeheten injects en rollenkaarten. Het scenario beschrijft wat er tijdens de oefening gaat gebeuren. Het is gemaakt op basis van de doelen die de oefenvoorbereider samen met het management heeft opgesteld. Je kunt het scenario aanpassen aan je eigen situatie en organisatie. Zo kun je bijvoorbeeld oefenen hoe jouw organisatie omgaat met een verstoring in een systeem. Samen met het oefenteam doorloop je dit scenario. Een waarnemer legt vast hoe de oefening gaat en welke leerpunten er zijn. Na de oefening bespreekt het oefenteam hoe het is gegaan, deelt de waarnemer de leerpunten en maak je afspraken met elkaar over de gewenste aanpak. We lichten hieronder stap voor stap toe hoe je een crisisoefening organiseert.
-
Stap 1: Stel een oefenteam samen
De exacte samenstelling van het crisismanagementteam is afhankelijk van het soort crisis en de situatie. Daarom is het beter om te werken met rollen als oefenvoorbereider dan met functies als ict-coordinator. Bepaal per specifieke crisis zelf welke functionaris welke rol kan vervullen. Afhankelijk van de situatie verschilt de benodigde inhoudelijke expertise. Zorg dat mensen weten welke rol ze hebben en laat ze oefenen met hun rol en met elkaar. De volgende rollen zijn betrokken bij een crisisoefening:
- Het schoolbestuur zorgt dat er regelmatig wordt geoefend met de juiste betrokkenen. In een crisis is de bestuurder eindverantwoordelijk, daarom neemt de bestuurder zelf ook deel aan de oefening.
- De oefenvoorbereider bereidt de oefening voor, stelt samen met het management oefendoelen op en werkt het scenario uit. Daarnaast begeleidt de oefenvoorbereider het crisismanagementteam vóór en tijdens de oefening en leidt het team door een scenario. Een oefenvoorbereider doet zelf niet mee aan de oefening. De oefenvoorbereider is vaak de ict-coördinator, iemand die verantwoordelijk is voor de fysieke veiligheid of de crisiscoördinator.
- De waarnemer stelt voorafgaand aan de oefening samen met de oefenvoorbereider een evaluatieplan op. Tijdens de oefening beoordeelt de waarnemer of de verwachte acties worden ondernomen en de afgesproken procedures worden gevolgd. De waarnemer kan niet deelnemen aan de oefening en zal de oefenvoorbereider ook niet helpen bij de spelleiding.
- Het oefenteam is de groep mensen die deelneemt aan de oefening. Het oefenteam bestaat uit de mensen die ook tijdens een échte crisis een rol vervullen. Denk aan de bestuurder als voorzitter van het team, of een communicatiemedewerker als adviseur crisiscommunicatie.
- De responscel is de naam voor de persoon (of groep personen) die de oefenvoorbereider helpt de oefening realistisch te laten verlopen. Zij reageren op de acties van het crisismanagementteam met nieuwe informatie. De responscel is een optionele rol. Bij een kleine oefening kan de oefenvoorbereider zelf respons geven door middel van injects.
-
Stap 2: Wijs rollen en verantwoordelijkheden toe
De rollen die nodig zijn in een crisismanagementteam zijn:
- (Technisch) voorzitter
- Secretaris
- Informatiecoördinator
- Adviseur (crisis)communicatie
- Inhoudelijk adviseur/expert
- Observator/waarnemer
-
Stap 3: Bepaal het doel van de oefening
Bepaal waar je de nadruk op wilt leggen bij de oefening. Oefen je voor het eerst? Dan ligt je focus waarschijnlijk op teamleden bekendmaken met hun rol en verantwoordelijkheden. Heb je al een crisismanagementplan? Dan kun je je richten op het volgen van de vastgelegde processen. Leg tijdens de oefening de nadruk op maximaal drie van deze aspecten:
- Rollen en verantwoordelijkheden
- Het crisismanagementproces
- Teamdynamiek
- Besluitvorming
- Crisiscommunicatie
-
Stap 4: Evalueer de crisisoefening
Bespreek na het uitvoeren van de oefening met de oefenvoorbereider hoe het team de oefening heeft doorlopen en met de crisis is omgegaan. Waar liggen verbeterpunten en wat ging er juist goed? Stel actiepunten op, leg vast wie met welk punt aan de slag gaat en op welke termijn dit gebeurt. Ga ook na of je op basis van de oefening je crisismanagementplan moet aanpassen (dit is meestal onderdeel van je businesscontinuïteitsplan).
