Blog

Een crisissimulatie uitvoeren in vijf simpele stappen

Een expert presenteert de fasen van een crisissimulatie en de bijbehorende acties om bedrijven voor te bereiden op noodsituaties.

Het crisismanagement noodplan

Organisaties zijn wettelijk verplicht om minstens één keer per jaar een brandoefening te houden. Waarom? Omdat iedereen de noodevacuatieprocedures uit het hoofd moet kennen voor het geval er echt brand uitbreekt, in plaats van in paniek naar de uitgangen te rennen. Maar wat als je in je organisatie in plaats van een brand te maken krijgt met een ernstig incident van een andere aard, zoals een ransomware-aanval? Weet iedereen dan wat het crisis management noodplan is? In de meeste gevallen hebben mensen niet hetzelfde ‘muscle memory’ bij het reageren op dergelijke incidenten als bij het reageren op een brand. Toch zijn er talloze mogelijke incidenten die de continuïteit van je organisatie kunnen bedreigen, zoals cyberaanvallen, systeemuitval, datalekken, logistieke problemen en natuurrampen. 

Wij zijn van mening dat het – net als bij brandoefeningen – belangrijk is om regelmatig jouw crisis management noodplannen voor dergelijke crises te testen en jouw medewerkers te trainen in hun rol en reactievermogen. Op deze manier vergroot je de veerkracht van je organisatie en de kans dat je ongedeerd uit zo’n crisis komt. Een effectieve manier om dit te doen is door middel van crisissimulaties, waar we in deze blogpost dieper op ingaan.

Hoe ziet een crisissimulatie eruit?

Er zijn een paar verschillende manieren waarop een crisissimulatie er in de praktijk uit kan zien, maar in deze blog gaan we dieper in op de meest voorkomende en eenvoudige manier om een crisissimulatie uit te voeren: een table-top simulatie. In zo’n oefening komen deelnemers samen in één ruimte en bespreken ze hun reactie op echt gebeurde of mogelijke risico’s die relevant zijn voor de organisatie. Gewoonlijk zijn er verschillende belanghebbenden betrokken, zoals het managementteam, het beveiligingspersoneel, het IT-team en PR-professionals. Zij moeten beslissingen nemen en reacties coördineren zoals ze dat in een echte crisissituatie zouden doen.

Een simulatie als deze wordt meestal gefaciliteerd door een moderator die de deelnemers door de oefening heen loodst. De rol van deze moderator is belangrijk, omdat hij of zij verantwoordelijk is voor het geven van nieuwe informatie tijdens de simulatie en het faciliteren van discussie waar nodig, waardoor de dynamische aard van een crisis wordt gesimuleerd. Tegelijkertijd zijn ze verantwoordelijk voor het creëren van een veilige en gecontroleerde omgeving voor de deelnemers om hun crisismanagementvaardigheden te testen, zodat de deelnemers niet bang zijn om vragen te stellen of fouten te maken. Dit helpt immers alleen maar om achteraf verbeterpunten te identificeren. Daarom moet een goede moderator van een crisissimulatie over de volgende vaardigheden beschikken:

  • Vakinhoudelijke expertise: het is belangrijk dat de moderator de context en het onderwerp van het crisisscenario begrijpt.

  • Communicatieve vaardigheden: de moderator moet in staat zijn om instructies, nieuwe informatie en feedback duidelijk en beknopt over te brengen aan de deelnemers.

  • Tijdmanagement: hij/zij moet in staat zijn om ervoor te zorgen dat de simulatie op schema loopt.

  • Snel en kritisch denken: de moderator moet realistische consequenties kunnen verbinden aan onverwachte antwoorden van deelnemers.

Studenten van de Erasmus Universiteit Rotterdam volgen een lezing over crisissimulatie, waarbij een expert hun vragen beantwoordt.

Sommige mensen denken dat crisissimulaties per definitie lange, ingewikkelde en dure oefeningen zijn. Dit is niet het geval! Een table-top simulatie kan zo eenvoudig zijn als het gebruik van alleen een whiteboard en een marker, of zo ingewikkeld als het gebruik van een volledig digitaal platform, en alles daar tussenin. Dit betekent ook dat je zelf de duur van de simulatie kunt bepalen. Zolang je de tips volgt die verderop in deze blog staan, ben je klaar om een succesvolle crisissimulatie te houden, ongeacht de tools of het platform dat je besluit te gebruiken.

Diensten

Meer weten over onze crisissimulaties?

Foto van Rudy Spinola, Managing Partner bij Behaav.

Een crisissimulatie organiseren 

Wil je je eigen crisissimulatie organiseren, maar weet je niet waar je moet beginnen? We hebben de belangrijkste stappen in de voorbereiding en uitvoering van zo’n oefening hieronder op een rijtje gezet.

Stap 1 | Doelstellingen 

Voordat je begint met het ontwikkelen van je crisissimulatie, moet je antwoord geven op één centrale vraag: wat is het doel van de simulatie? Waarom voer je een simulatie uit en wat wil je ermee bereiken? Is het bedoeld als een leuke en leerzame teambuildingoefening, of als een grondige test van je crisis management noodplan? Wie of wat probeer je te testen? Natuurlijk is het doel van de oefening van invloed op hoe de oefening er in de praktijk uit zal zien. Zorg ervoor dat iedereen op de hoogte is van het doel voordat je daadwerkelijk begint met de simulatie om verwarring te voorkomen.

Stap 2 | Ontwerp

Als het doel van de simulatie is gedefinieerd, kun je beginnen met het ontwikkelen van je crisisscenario’s. Hoe realistischer je scenario, hoe beter. Hoe realistischer je scenario, hoe beter. Welke processen of diensten zijn absoluut essentieel voor je organisatie? En wat als daar iets mee gebeurt? Welke belanghebbenden zouden erbij betrokken zijn. Wat zou een realistisch scenario kunnen zijn waarbij deze processen of diensten worden getroffen? Als je deze vragen als centraal uitgangspunt neemt bij het ontwikkelen van een crisisscenario, dan heb je de belangrijkste elementen gedekt. Wees niet bang om buiten de gebaande paden te denken: een echte crisis is vaak een combinatie van verschillende onwaarschijnlijke gebeurtenissen.

Stap 3 | Stakeholders

Zodra je het doel hebt gedefinieerd en je scenario(‘s) hebt ontwikkeld, moet je de stakeholders identificeren die moeten deelnemen. Stel dat het doel van je simulatie het testen van je crisis management noodplan is. Wie zijn de mensen die betrokken zijn bij dit plan? Is het haalbaar om al deze mensen tegelijk te trainen, of wil je je bijvoorbeeld alleen richten op het management? Dit is belangrijk om in gedachten te houden bij het ontwerpen van je simulatie.

Stap 4 | Basisregels

Het is belangrijk om duidelijke basisregels op te stellen. Hoe lang duurt de simulatie? Wie is verantwoordelijk voor welke rol? Op welke manier stemt je team voor het nemen van belangrijke beslissingen? Is er een structuur in het discussie- en communicatieproces? Het is belangrijk dat iedereen het eens is over deze regels voordat de simulatie begint.

Stap 5 | Evaluatie

Ten slotte – en dit is het belangrijkste – moet je een manier implementeren om de prestaties van mensen tijdens de simulatie te evalueren. Wat waren de sterke en zwakke punten? Was er nog iets onduidelijk? Heb je hiaten gevonden in het crisis management noodplan? Een grondige evaluatie is een essentieel onderdeel van een succesvolle crisissimulatie. Je moet een debriefingsessie faciliteren waarin alle deelnemers hun eigen ervaringen kunnen delen en de geleerde lessen kunnen identificeren. Tegelijkertijd moeten deelnemers hun feedback kunnen geven over de simulatie zelf, zodat je de ervaring voor de deelnemers voortdurend kunt verbeteren.

Als je al deze stappen in acht neemt, heb je alle middelen in handen om een succesvolle en effectieve crisissimulatie uit te voeren.

Tijdens een crisissimulatie bespreken teamleden de doorlopen scenario's en evalueren zijn mogelijke verbeteringen.

Voordelen van crisissimulaties

Nu weet je hoe je een succesvolle crisissimulatie moet voorbereiden en uitvoeren. De belangrijkste vraag moeten we nog voor je beantwoorden: wat levert het op? Hieronder hebben we een aantal van de belangrijkste voordelen van crisissimulaties op een rijtje gezet, die laten zien waarom je zou moeten overwegen om ze op te nemen in het beveiligingsbeleid van je organisatie. 

  1. Testen van incident response plannen

    Allereerst helpen crisissimulaties bij het testen van de incidentbestrijdingsplannen van jouw organisatie. Het schrijven van een incident response plan is één ding, het in de praktijk brengen is iets anders. Weet iedereen wat zijn rol is tijdens een incident? Welke partijen moeten worden betrokken en wanneer neem je contact met hen op? Wie coördineert de crisis management processen? Wie neemt de uiteindelijke beslissingen? Al deze vragen en nog veel meer komen aan het licht tijdens een echte crisissimulatie, terwijl het antwoord misschien niet altijd voor de hand ligt. Dit sluit mooi aan bij het onderstaande voordeel van crisissimulaties.

  2. Het identificeren van kwetsbaarheden

    Een crisissimulatie is een geweldige manier om mogelijke hiaten, zwakheden of onzekerheden in de reactie van je organisatie op een crisis aan het licht te brengen. Deze inzichten zijn zeer waardevol om hiaten aan te pakken en verbeteringen aan te brengen, zodat je beter voorbereid bent wanneer je met een echte crisis te maken krijgt.

    In de loop van de geschiedenis zijn er talloze voorbeelden van crises geweest waarbij latere onderzoeken aan het licht brachten dat de bestaande incident response plannen ontoereikend of onjuist getest waren, waardoor de reactie op noodsituaties werd belemmerd en de crisis verergerde. Enkele bekende voorbeelden zijn de reactie op orkaan Katrina of de kernramp in Fukushima. Met consistente en betere training (crisissimulaties!) zou de crisisrespons waarschijnlijk beter zijn geweest en had de impact van deze rampen kleiner kunnen zijn.

  3. Ontwikkeling van vaardigheden en bewustwording

    Een crisissimulatie kan een geweldig hulpmiddel zijn om je werknemers te trainen in hun rollen en verantwoordelijkheden tijdens een crisis, terwijl het ook kritisch denken onder druk stimuleert. Des te meer simulaties medewerkers doorlopen, des te vertrouwder ze worden met hun taken tijdens een noodsituatie én hoe groter de kans dat ze op de juiste manier zullen reageren tijdens een echte crisis. Bovendien laat een crisissimulatie werknemers de mogelijke schade zien als het misgaat, waardoor het belang van goede veiligheidsmaatregelen wordt benadrukt. Dit zal op zijn beurt hun security awareness vaardigheden vergroten en veilig gedrag in de toekomst stimuleren.

  4. Teambuilding

    Crisissimulaties zijn niet alleen een nuttig trainingsmiddel, maar ook een leuke teambuildingsactiviteit. Ze vereisten goede coördinatie, communicatie en besluitvorming onder druk, wat de teamcohesie en het zelfvertrouwen bevordert. 

Conclusie: crisissimulaties verbeteren de veiligheid en weerbaarheid

In deze blog hebben we laten zien waarom wij geloven dat crisissimulaties een effectieve, leuke en interactieve manier zijn om de veiligheid en weerbaarheid van het crisis management in je organisatie te verbeteren. Door regelmatig crisissimulaties uit te voeren, zorg je ervoor dat mensen een ‘muscle memory’ ontwikkelen in het reageren op ernstige incidenten die je organisatie bedreigen. Want als je iets nooit hebt geoefend, waarom zou je dan verwachten dat alles meteen goed gaat? En onthoud: net als bij brandoefeningen is één keer een crisissimulatie uitvoeren niet genoeg. Hoe vaker je traint, hoe beter je zult reageren als zich een echte crisis voordoet.

Afspraak maken

Hulp nodig bij het uitvoeren van crisissimulaties?

Foto van Nordin van den Hoogen, Program Manager bij Behaav.
Lees waarom je zou moeten beginnen met het uitvoeren van crisissimulaties voor betere en snellere reacties op cyberincidenten.