Crisisoefening organiseren
Een goede manier om je voor te bereiden op een (cybersecurity)crisis is door te oefenen. Maar hoe pak je dat aan? Organiseer met het oefenpakket op deze pagina eenvoudig zelf een (jaarlijkse) crisisoefening met jouw schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft.. Je oefent met je crisisteam en ervaart wat een cybercrisis in de praktijk voor impact kan hebben. Je gebruikt hierbij de BOB-methode en je oefent met een (voorbeeld)scenario dat past bij de praktijksituatie van jouw schoolbestuur.
Een crisisoefening helpt je om beter te reageren op een echte cyberaanval. Door te oefenen, weet je als team wat je moet doen en kun je sneller en effectiever handelen in een echte crisissituatie. Dit kan de schade beperken en de tijd verkorten die nodig is om weer normaal te functioneren. Tijdens een oefening kunnen bovendien zwakke punten in de crisisreactie van jouw organisatie aan het licht komen. Misschien is er een gebrek aan kennis of ontbreken er bepaalde procedures. Door deze zwakke plekken te ontdekken, kun je ze aanpakken voordat een echte aanval plaatsvindt.
Oefenen draagt ook bij aan de bewustwording over het belang van informatiebeveiliging binnen jouw organisatie. Een crisisoefening laat collega’s en de bestuurder voelen waarom informatiebeveiliging belangrijk is en wat ze zelf kunnen doen als er iets flink misgaat.
Een cybersecuritycrisis blijft, ondanks de naam, in de praktijk niet beperkt tot de digitale omgeving van een school. Een crisis heeft juist gevolgen voor de fysieke omgeving en voor leerlingen, oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. en medewerkers. In een cybercrisis wordt door ongeautoriseerde acties, vaak met kwaadwillige intenties, inbreuk gedaan op de beveiliging van informatie, systemen, netwerken of diensten. Denk aan phishing, virussen of DDoS-aanvallen. We spreken van een datalekBij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident. wanneer iemand toegang heeft tot persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. zonder dat dit mag of zonder dat dit de bedoeling is.
Oefenen voor beginners en gevorderden
De materialen op deze pagina helpen scholen in elke fase van hun oefentraject. Er is een oefenpakket voor het primair onderwijs en een voor het voortgezet onderwijs. Deze oefenpakketten zijn bedoeld voor scholen die nog niet eerder een crisisoefening hebben gedaan. Het doel van de oefening is van tevoren bepaald. De materialen helpen de deelnemers om de rollen in het crisismanagementteam en de manier van samenwerken te leren kennen. De pakketten bevatten alles wat je als oefenvoorbereider nodig hebt om een korte oefening met je team te doen.
Als jouw organisatie al verder is en mensen bekend zijn met hun rol, bekijk dan de uitgebreide handleiding Crisisoefening organiseren – Aan de slag met je eigen tabletop-oefening. Deze handleiding neemt je mee in het opstellen van oefendoelen, het ontwikkelen van een eigen scenario en het maken van injectsAlle middelen die je gebruikt om het scenario van een crisisoefening verder te laten ontwikkelen.. Hiermee kun je beter inspelen op de situatie bij jouw schoolbestuur.
Wat zegt het Normenkader IBP?
Het Normenkader Informatiebeveiliging en Privacy beschrijft in domein 14 de norm voor crisismanagement. De norm BC.05 schrijft voor dat jouw organisatie crisismanagement heeft ingericht om snel, grondig en gecoördineerd op incidenten te reageren, de gevolgen te verminderen en de dienstverlening binnen een redelijke tijd te herstellen.
Volwassenheidsniveau 3 bij norm BC.05
- Er is een crisismanagementplan dat onderdeel is van het bedrijfscontinuïteitsplan (BCP), waardoor de organisatie de essentiële bedrijfsvoering weer kan oppakken, terwijl het crisismanagementteam zich op de crisis richt.
- Alle betrokkenenDe personen van wie persoonsgegevens worden verwerkt. zijn op de hoogte van hun verantwoordelijkheden tijdens een crisis.
- Er zijn periodiek crisisoefeningen voor crisismanagementteams.
Wie doet wat?
Bij het organiseren en doen van een crisisoefening zijn verschillende mensen betrokken met elk hun eigen taken.
- Het schoolbestuur zorgt dat er regelmatig wordt geoefend met de juiste betrokkenen. In een crisis is de bestuurder eindverantwoordelijk, daarom neemt de bestuurder zelf ook deel aan de oefening.
- De oefenvoorbereider is degene die de oefening voorbereidt en leidt. De oefenvoorbereider kan zelf niet meedoen, want deze persoon kent het scenario al.
- De waarnemer stelt voorafgaand aan de oefening samen met de oefenvoorbereider een evaluatieplan op. Tijdens de oefening kijkt de waarnemer of de verwachte acties worden ondernomen en of de afgesproken procedures worden gevolgd. De waarnemer kan niet deelnemen aan de oefening en zal ook niet helpen in de spelleiding.
- Het oefenteam is de groep mensen die deelneemt aan de oefening. Het oefenteam bestaat uit de mensen die ook tijdens een échte crisis een rol vervullen. Denk aan de bestuurder als voorzitter van het team, of een communicatiemedewerker als adviseur crisiscommunicatie.
- Optioneel: de responscel is de naam voor de persoon (of groep personen) die de oefenvoorbereider helpt de oefening realistisch te laten verlopen. Zij reageren op de acties van het crisismanagementteam met nieuwe informatie. Bij een kleine oefening kan de oefenvoorbereider zelf respons geven door middel van injects.
Hoe ziet een crisisoefening eruit?
Een crisisoefening bestaat uit een scenario waarmee je oefent en materialen die oefening ondersteunen (injects en rollenkaarten). Het scenario beschrijft wat er tijdens de oefening gaat gebeuren. Het is gemaakt op basis van de doelen die de oefenvoorbereider samen met het management heeft opgesteld. Je kunt het scenario aanpassen aan je eigen situatie en organisatie. Zo kun je bijvoorbeeld oefenen hoe jouw organisatie omgaat met een verstoring in een systeem. Samen met het oefenteam doorloop je dit scenario. Een waarnemer legt vast hoe de oefening gaat en welke leerpunten er zijn. Na de oefening bespreekt het oefenteam hoe het is gegaan, deelt de waarnemer de leerpunten en spreek je met elkaar af.
Aan de slag
Om een crisisoefening te organiseren doorloop je de volgende stappen.
Stap 1: Wijs een oefenvoorbereider aan
Als oefenvoorbereider bereid je de oefening voor, stel je samen met het management oefendoelen op en werk je het scenario uit. Daarnaast begeleid je het crisismanagementteam vóór en tijdens de oefening en leid je het team door een scenario. Je doet zelf niet mee aan de oefening. Deze taak kan bijvoorbeeld worden uitgevoerd door de ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker., iemand die verantwoordelijk is voor de fysieke veiligheid of de crisiscoördinator.
Oefen je voor het eerst met je crisisteam, dan maak je ook kennis met de BOB-methode. Dit is een veelgebruikte methode om tijdens een crisis snel een overzicht van de situatie te krijgen en om de juiste besluiten te nemen.
In het oefenpakket is een instructieboekje opgenomen voor oefenvoorbereiders. Het helpt je op weg bij het organiseren van de oefening. Het pakket ondersteunt beginnende teams ook met de BOB-methode.
Stap 2: Stel een oefenteam samen en wijs rollen en verantwoordelijkheden toe
De exacte samenstelling van het crisismanagementteam is afhankelijk van het soort crisis en de situatie. Daarom is het beter om te werken met rollen dan met functies. Bepaal per specifieke crisis zelf welke functionaris welke rol kan vervullen. Afhankelijk van de situatie verschilt de benodigde inhoudelijke expertise. Zorg dat mensen weten welke rol ze hebben en laat ze oefenen met hun rol en met elkaar.
De rollen die nodig zijn in een crisismanagementteam zijn:
- (Technisch) voorzitter
- Secretaris
- Informatiecoördinator
- Adviseur (crisis)communicatie
- Inhoudelijk adviseur/expert
- Observator/waarnemer
Lees op kennisnet.nl meer over hoe je een crisismanagementteam samenstelt.
Stap 3: Voer de crisisoefening uit
Tijdens het managen van een crisis is het essentieel om focus aan te brengen en prioriteiten te stellen. Bij het uitvoeren van een oefening is dit net zo belangrijk. De focus van de oefening is afhankelijk van de vooraf opgestelde oefendoelen. Beperk de oefendoelen en breng focus aan, waar ligt de hoogste prioriteit? Oefen je voor het eerst, dan ligt je focus waarschijnlijk op teamleden bekendmaken met hun rol en verantwoordelijkheden. Heb je al een crisismanagementplan, dan kun je focussen op het volgen van de vastgelegde processen.
Leg tijdens de oefening de focus op maximaal drie van deze aspecten:
- Rollen en verantwoordelijkheden
- Het crisismanagementproces
- Teamdynamiek
- Besluitvorming
- Crisiscommunicatie
Oefen je voor het eerst? Gebruik dan de materialen uit het oefenpakket om de crisisoefening uit te voeren.
Stap 4: Evalueer hoe de crisisoefening ging
Bespreek met de oefenvoorbereider hoe het team de oefening heeft doorlopen en hoe het met de crisis is omgegaan. Waar liggen verbeterpunten en wat ging er juist goed? Stel actiepunten op, leg vast wie ze oppakt en op welke termijn ze zijn gedaan. Bekijk ook je crisismanagementplan en pas dit aan op basis van de bevindingen uit deze oefening. Heeft jouw schoolbestuur nog geen crisismanagementplan? Gebruik de inzichten uit de oefening voor het opstellen van het plan.
Hou rekening met
Incidentmanagement
Een incident gaat altijd vooraf aan een crisis, maar is nog beperkt qua omvang en impact. Het is daarom belangrijk om niet alleen te oefenen met een crisis, maar ook hoe je met (ernstige) incidenten omgaat als onderdeel van je crisisvoorbereiding. Denk na over welke (cybersecurity)incidenten op jouw school tot een crisis kunnen leiden. Bespreek dit en bereid je erop voor, bijvoorbeeld met het oefenpakket op deze pagina.
Tips en adviezen
- Is er nu een crisis? Neem contact op met School-CERTSchool-CERT is een sectoraal CERT. CERT staat voor Computer Emergency Response Team en is een gespecialiseerd team van ict-professionals, dat in staat is snel te adviseren in het geval van een cybersecurityincident. School-CERT is er voor het bekostigd primair- en voortgezet onderwijs in Nederland.
Heeft jouw school te maken met een groot cybersecurityincident? Neem dan direct contact op met School-CERT. Dit kan ook als je (nog) geen deelnemer bent van School-CERT. Bel onder kantoortijden naar 0800 321 22 33 of mail naar support@kennisnet.nl - Nog geen crisismanagementplan? Begin toch met oefenen!
Om te voldoen aan volwassenheidsniveau 3 bij norm BC.05 moet je een crisismanagementplan hebben. Heb je dit plan nog niet, of heb je bepaalde processen nog niet vastgelegd? Dan kun je toch starten met het organiseren van een oefening. Het oefenpakket biedt een laagdrempelige manier om te starten. De uitkomst van de oefening en de evaluatie zijn goede inspiratiebronnen voor een crisismanagementplan. Het crisismanagementplan kun je vervolgens gebruiken als onderdeel van je bedrijfscontinuïteitsplan.
Verdieping
Tools en voorbeelddocumenten
Ga je voor het eerst aan de slag met een crisisoefening? Gebruik dan het oefenpakket. Hierin vind je een instructieboekje en alle materialen die je nodig hebt om te oefenen. Elk oefenpakket bevat de volgende materialen:
- Instructieboekje – CRISIS! De school is gehackt
- Presentatie
- Injects
- Rollenkaartjes
- Format voor eigen injects
Ben je al verder en wil je zelf een scenario ontwikkelen voor een crisisoefening? Gebruik dan de handleiding Crisismanagementoefening organiseren.
Heb je een vraag of opmerking over deze pagina? Stuur een mail naar oefenen@kennisnet.nl of stel je vraag in het Netwerk IBP.
Deze pagina maakt onderdeel uit van het ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.
Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Het programma stimuleert ook dat leveranciersAanbieders van ict- of leermiddelen. hun productportfolio in lijn brengen met het normenkader. Zo kunnen scholen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.