Hans van der Net werkt al zestien jaar bij Rabobank en bewoog in die tijd vrijwel altijd op de grens van IT en business. In zijn huidige rol combineert hij twee petten: hij is verantwoordelijk voor securitystrategie en beleid en is daarnaast Deputy CISO. Die combinatie houdt hem scherp, omdat beleid pas echt betekenis krijgt als je ziet hoe de organisatie beweegt wanneer het spannend wordt.
Die uitvoeringskant komt nergens zo duidelijk naar boven als tijdens cybercrisisoefeningen. Hans is binnen Rabobank verantwoordelijk voor de cybersecurity crisisprocessen en daarmee ook voor het organiseren van de oefeningen. En zodra je het over oefenen hebt, gaat het bij hem niet over een losse tabletop op vrijdagmiddag, maar over structuur, ritme en herhaling. Want een crisis is zelden een moment. Het is een periode waarin je onder druk moet kunnen blijven navigeren.
Niet ‘één crisisteam’, maar lagen met druk om te handelen en druk om te beslissen
Bij Rabobank is crisismanagement opgebouwd in lagen. Het Crisis Operation Team (COT) identificeert het probleem het lost het technisch op. Daarboven zit het Crisis Management Team (CMT) dat beslissingen neemt, de business betrekt en communicatie en mandaat organiseert. In een bank loopt dat verder door naar aanvullende crisisstructuren tot en met Managing Board niveau.
Hans is verantwoordelijk voor de onderste twee lagen, het security COT en het security CMT. Die gelaagdheid is niet alleen organisatorisch, het laat teams op het juiste niveau acteren. Dat is waar het vaak mis gaat: teams blijven te lang in de oplosmodus hangen terwijl de situatie vraagt om het nemen van besluiten.
Oefeningen draaien volgens Hans dus niet om de inhoud van een aanval: “Scenario’s moeten realistisch zijn, anders haakt de groep af. Je ziet nog wel dat mensen zeggen dat dit nooit zou gebeuren, en dan ontspoort je oefening. Maar eigenlijk begint het echte werk pas daarna, want het scenario is vooral een middel. Het scenario zorgt voor de druk, de spanning en de dynamiek. Maar de leerdoelen zijn: ken je de structuur? Weet je welke stappen je moet zetten? Wanneer moet je escaleren?”
Wissels binnen crisisteams zijn onvermijdelijk. “Juist daarom zijn oefeningen zo belangrijk. De eerste crisis waar je mee te maken krijgt is altijd de spannendste.” Rabobank maakt daarom bewust een mix van ervaren en onervaren teamleden. Er is onboarding voor nieuwkomers, met uitleg over verwachtingen en hulpmiddelen. “De echte dynamiek komt pas op tafel op het moment dat je in zo’n crisis belandt. Oefenen haalt die spanning naar voren op een moment dat het nog mag.”
Waar het vaak misgaat: geen mandaat pakken
Het oplosteam doet meestal waar het voor is opgesteld. Het gaat fout wanneer teams te lang laag in de organisatie blijven en vergeten om de managementlaag op tijd aan te haken. “Het oplosteam is geneigd om laag in de crisisorganisatie te blijven, in plaats van management support te halen daarboven. Om dan te zeggen: nú gaan we besluiten nemen, zó gaan we communiceren.” Daarmee raakt hij de kern van crisisvolwassenheid. Niet wie het snelst een patch uitrolt wint, maar wie het snelst communiceert zodat de rest kan uitvoeren.
Zodra een crisisteam actief wordt, staat de rest van de organisatie aan de deur. “Iedereen wil helpen. Iedereen heeft vragen. Iedereen heeft een mening. Als je daar geen structuur in aanbrengt, verlies je overzicht. Je moet dan duidelijke kaders geven en aangeven: ga op je handen zitten, anders wordt het niet meer overzichtelijk.”
Tegelijkertijd waarschuwt hij voor te veel afschermen. Dan ontstaat ruis en onzekerheid. Daarom moet communicatie strak en volgens afspraak verlopen. “We snappen dat jullie vragen hebben, over een uur komen we naar buiten en laten we je meer weten. En daar moet je je dan ook aan houden.”
Een crisis vraagt om snelle besluiten, terwijl de natuurlijke reflex in IT is om eerst alle feiten te willen hebben. Hans noemt die reflex begrijpelijk, maar gevaarlijk. “In een crisis heb je geen informatie. Daarom draait het om structuur en ritme. Een vaste agenda, heldere rollen en een volgorde waarin je van dreiging naar impact naar besluiten gaat.” Het doel daarvan is om niet eindeloos te blijven praten, terwijl je eigenlijk zou moeten handelen.
“Oefen zonder consequenties, of leer het live, mét consequenties”
Wanneer organisaties zeggen dat ze ‘geen tijd hebben om te oefenen’, zegt Hans: “Je volgende crisis is altijd dichterbij dan je zou willen. Dus of je oefent het een keer zónder consequenties, of je leert het tijdens een echte crisissituatie, mét consequenties.”
En het blijft niet bij crisismanagement alleen. Oefeningen leggen ook dagelijkse zwaktes bloot, zoals informatie die niet vindbaar is of afhankelijkheden die niet duidelijk zijn. “Dat zijn learnings die je ook in de dagelijkse werkzaamheden meeneemt.” Dat is volgens Hans de echte business case: oefenen maakt niet alleen je crisisrespons beter, maar ook je operatie volwassener.