CISO Esther Zijlstra (gemeente Nijmegen) over cybergames bij gemeenten
Gemeenten oefenen steeds vaker met cyberincidenten. VNG Connect ontwikkelde een game voor bestuurders en biedt een train-de-trainer opleiding aan. Esther Zijlstra (CISO gemeente Nijmegen) begeleidde verschillende games in verschillende gemeenten – waaronder haar eigen Nijmegen. Wat zijn haar ervaringen? Wat leert ze er zelf van? En wat zijn haar tips?
Hoe helpt een game om te gaan met cyberincidenten?
“Het is een leuke manier om met cybersecurity aan de slag te gaan. Het gaat om het ervaren van een crisis. Op papier kun je een mooi proces hebben in de verwachting dat het werkt. Maar in de praktijk blijkt dat je lang niet alles weet en keuzes moet maken op basis van onvolledige informatie. De eerste vraag is vaak: ‘Zijn we gehacked?’ Dat weet je vaak helemaal niet, en toch gebeuren er rare dingen… Daar leren mensen veel van.”
Wat is jouw rol als spelleider?
“Ik begeleid het spel zodat alles goed loopt. Zodat deelnemers keuzes kunnen maken en actie ondernemen. Ik zorg dat mensen niet te veel door elkaar heen gaan praten en dat duidelijk wordt wat ze wel en niet willen doen. Ik bewaak dat maar één actie tegelijkertijd gedaan wordt. In de praktijk kan ook niet alles tegelijkertijd, in het spel dus ook niet. Natuurlijk maak ik er ook een mooi verhaal van.”
Je volgde een train-de-trainer-opleiding van een halve dag bij VNG Connect. Wat hield die in?
“Je speelt het spel eerst zelf. Daarna krijg je informatie over de bedoeling en de context van zo’n oefening. Je krijgt het draaiboek met het scenario en mogelijke keuzes. Ook leer je welke impact bepaalde keuzes in het spel hebben.”
Wat levert het begeleiden van een game jou als begeleider op?
”Ik vind het heel interessant om de discussies te volgen. Om te zien hoe de mensen met elkaar overleggen. Hoe dat verschilt tussen organisaties. Het is leerzaam om te horen hoe andere gemeenten dit soort problemen oplossen. En wat hun ervaringen zijn. Doordat ik de game geef bij meerdere gemeentes, breid ik ook nog eens mijn netwerk uit.”
Helpt zo’n game om informatieveiligheid op de bestuurlijke agenda te krijgen?
“Als mensen de game gespeeld hebben, is het vaak een eyeopener. Maar in hoeverre het beklijft, hangt samen met de affiniteit die bestuurders hebben. Het kan een zetje zijn om de deur iets verder open te krijgen naar de tafels waar de besluiten worden genomen.”
Heb je tips voor collega’s die ook een game willen verzorgen?
“Zorg dat een game een context heeft; dat het niet zomaar uit de lucht komt vallen en daarna verdwijnt. Plan de game bijvoorbeeld tijdens een campagne, zoals Alert Online. En dat je ook een concreet onderwerp of maatregel hebt, dat je daarna kunt inbrengen, bijvoorbeeld het wachtwoordenbeleid. Refereer dan steeds naar de ervaringen tijdens de game. Dan blijft het op het netvlies.”
Meer info