Incident response oefening: SOC-team en stakeholders rond een tafel tijdens een tabletop simulatie met scenario-injecten.

Incident response oefenen met je team: het complete draaiboek voor realistische simulaties.

Een incident response oefening die werkelijk waarde toevoegt is geen kwartaalverplichting voor de auditor, maar een operationele activiteit waarmee je team voorspelbaar leert presteren onder druk. Het probleem is dat de meeste organisaties stranden op de eerste vraag: waar begin je, en wie zet je aan tafel? Veel CISO’s blijven daarom hangen in afgekochte externe simulaties van een dag, of slaan het overslaan over.

Dit artikel is een werkbaar draaiboek voor een interne incident response oefening die je volgende maand kunt uitvoeren. Geen theoretisch overzicht van NIST-fases, geen vendor-pitch voor crisis-simulatieplatforms, wel een stap-voor-stap aanpak die werkt met de mensen en tooling die je nu al hebt.

Tabletop, functionele simulatie of full-scale: kies het juiste type

Er bestaan grofweg drie soorten incident response oefening, en de keuze bepaalt 80 procent van wat je eruit haalt. Een tabletop exercise cybersecurity is een discussie-gebaseerde sessie waarbij deelnemers rond een tafel of via video een scenario doorpraten. Het accent ligt op besluitvorming, communicatie en rolverdeling. De grote winst zit in het zichtbaar maken van eigenaarschapsgaten: wie beslist over uitschakelen van een productiesysteem, wie informeert de directie, wie spreekt de pers?

Een functionele simulatie gaat een stap verder. Je team gebruikt daadwerkelijke tooling, draait queries in de echte SIEM, schaalt incidenten in het ticketsysteem op, en doorloopt de stappen alsof het een echte aanval is. Dit type incident response oefening duurt langer en vraagt meer voorbereiding, maar legt technische gaten bloot die in een tabletop verborgen blijven.

Een full-scale exercise combineert beide en includeert externe partijen: hostingleverancier, juridisch bureau, persfirma, eventueel een opsporingsinstantie. Dit kost een dag of twee aan voorbereiding plus een dag uitvoering, en is alleen relevant voor organisaties die routine hebben in de eerste twee typen. Voor de meeste teams die net beginnen met een incident response oefening, is een tabletop van drie uur een betere start.

Stap 1: Doel scherp stellen voordat je een scenario kiest

De grootste fout bij een eerste incident response oefening is meteen een spannend scenario kiezen en daarna pas bedenken wat je wilt leren. Draai die volgorde om. Schrijf maximaal drie meetbare leerdoelen op: bijvoorbeeld ‘we willen testen of de escalatieketen naar de directie binnen vijftien minuten functioneert’, of ‘we willen meten hoe snel het SOC een endpoint kan isoleren’.

Doelen die je niet kunt meten, leveren weinig op. ‘Beter samenwerken’ is geen doel, ‘binnen 30 minuten een gezamenlijk besluit nemen over containment’ wel. Pas wanneer de doelen helder zijn, kies je een scenario waarmee je incident response oefening die doelen daadwerkelijk toetst. Een DDoS-scenario toetst andere capaciteiten dan een ransomware-scenario, en beide zijn anders dan een data-exfiltratiecasus.

Stap 2: Het scenario ontwerpen op je eigen dreigingsbeeld

Een goed scenario is realistisch genoeg om herkenbaar te zijn, maar niet zo gedetailleerd dat het script de oefening dichttimmert. Werk met een open opening: een melding bij de servicedesk dat een medewerker geen bestanden meer kan openen, een SIEM-alert over abnormaal databaseverkeer naar een ongebruikelijk IP-adres, of een tip van een externe partij. Vanuit dat startpunt laat je het team zelf onderzoeken, beslissen en escaleren.

Baseer het scenario op recente dreigingsanalyses van het NCSC of het MITRE ATT&CK framework zodat je technieken gebruikt die in jouw sector ook daadwerkelijk voorkomen. Voor een Nederlandse productieorganisatie is een ransomware-scenario via een gehackte leverancier realistischer dan een nation-state APT-aanval op intellectueel eigendom. Realisme bepaalt of het team de oefening serieus neemt.

Documenteer het scenario in een bondig draaiboek voor je incident response oefening: opening, twee tot drie injecten op vooraf bepaalde momenten, een eindstadium met succes- en faalcriteria. Houd het in twee A4’tjes. Langer is bijna altijd minder bruikbaar.

Stap 3: De juiste mensen aan tafel krijgen

Een effectieve incident response oefening valt of staat met de samenstelling van het team. Beperk je niet tot het SOC. Een echte aanval raakt IT operations, juridische zaken, communicatie, HR en directie binnen het eerste uur. Als die rollen niet in je IR simulatie team zitten, oefen je een onrealistisch klein deel van het probleem.

Voor een tabletop van drie uur is een groep van zes tot tien mensen optimaal: een SOC-vertegenwoordiger, IT operations, juridisch, communicatie, een directielid of CISO, en een rolspeler die externe partijen vertegenwoordigt. Wijs ook een facilitator aan die niet meedoet aan de besluitvorming, maar de oefening leidt, injecten introduceert en de tijd bewaakt. De facilitator is bij voorkeur iemand die zelf ervaring heeft met incident response, of een externe begeleider.

Stuur de uitnodiging twee tot drie weken vooraf met een korte briefing: het type incident response oefening, de leerdoelen, de tijdsindeling, eventueel een lijst met documenten die deelnemers moeten kennen. Geef expliciet aan dat het een veilige omgeving is. Fouten maken is het hele punt; daar leer je van. Wie de oefening gebruikt om collega’s af te branden, ondermijnt het hele instrument.

Stap 4: Injecten gebruiken om druk op te bouwen

Een tabletop die alleen uit een opening en een eindbeoordeling bestaat, blijft te abstract. De waarde zit in de injecten, de gerichte verstoringen die je halverwege introduceert. Een journalist belt voor een statement terwijl het incident nog onbevestigd is. De CFO wil binnen het uur weten of de jaarafsluiting in gevaar komt. De cyberverzekeraar vraagt om een formele incidentmelding. Een medewerker zet een tweet over de uitval online.

Goede injecten dwingen besluitvorming met onvolledige informatie. Dat is precies waar echte incidenten om vragen, en waar de meeste teams het zwakst zijn. Plan twee tot vier injecten op vooraf bepaalde momenten, en houd ze in reserve als het team te makkelijk doorloopt. Een facilitator die ad hoc een extra inject toevoegt bij overmoed, levert de meest leerzame incident response oefening.

Cruciaal aan injecten is dat ze realistisch onaangenaam zijn. Een echte aanvaller kondigt zich niet aan met een nette ticketmelding. Hij komt binnen op vrijdagmiddag, terwijl de helft van het team op vakantie is, met onduidelijke signalen die zich pas later tot een patroon vormen. Bouw die ambiguiteit in je injecten in.

Stap 5: De debrief is waar de waarde zit

Een incident response oefening zonder gestructureerde debrief is verspilde tijd. De debrief bestaat uit twee delen: een directe hot wash van 30 tot 45 minuten direct na de IR simulatie team-sessie, en een formele after-action report binnen een week.

In de hot wash pak je drie vragen aan, in deze volgorde. Wat ging goed? Wat ging niet goed? Wat zouden we anders doen? Begin altijd met wat goed ging, niet uit beleefdheid maar omdat je psychologische veiligheid wilt creeren voor de tweede vraag. Laat elke deelnemer aan het woord. Een communicatiemedewerker die voor het eerst een incident response oefening meedoet, ziet vaak gaten die security-mensen niet meer opvallen.

De after-action report is een gestructureerd document met de bevindingen, de wortel-oorzaakanalyse en concrete actiepunten met eigenaars en deadlines. Deze methodiek sluit aan bij wat ook werkt voor andere vormen van scenario-gebaseerd trainen onder druk: niet de oefening zelf maar het systematisch vastleggen van patronen levert op termijn de grootste verbetering.

Stap 6: Van bevindingen naar bouwbare verbeteringen

Veel teams produceren na elke incident response oefening een lijstje met dertig actiepunten en doen er vervolgens vijf van. Beter is hard selecteren: kies maximaal drie tot vijf verbeteringen die direct uitvoerbaar zijn, met een eigenaar en een deadline binnen acht weken. De rest van de bevindingen zet je in een ideeenlijst voor de volgende kwartaalcyclus.

Splits de actiepunten in drie categorieen. Procesaanpassingen zoals een herziene escalatieboom, een aanvullende contactpersoon of een aangepaste runbook-stap. Tooling-aanpassingen zoals een nieuwe SIEM-regel of een toegangsroute voor de communicatiemedewerker tot bepaalde dashboards. Capaciteitsvragen zoals een training, een rol-uitbreiding of een opleiding voor een specifieke vaardigheid.

Die laatste categorie wordt vaak onderschat. Een oefening die laat zien dat een tier 1 analist onder druk niet weet wat te doen met een credential compromise, vraagt om praktijkgerichte opleiding, niet om een nieuwe SOAR-licentie. Het verschil tussen een procesgat en een vaardigheidsgat helder benoemen, is de toegevoegde waarde van een goed uitgevoerde incident response training.

Hoe vaak en met welke cadans?

Een tabletop exercise cybersecurity uitvoeren als eenmalige activiteit levert beperkt rendement. Sygnia adviseert organisaties tenminste viermaal per jaar een vorm van IR-oefening te draaien, waarbij de zwaarte varieert. Een werkbare jaarcadans: vier korte tabletops van twee tot drie uur, twee functionele simulaties van een halve dag, en een full-scale exercise per jaar of tweejaar.

Roteer scenarios bewust. Wie elk kwartaal hetzelfde ransomware-scenario draait, traint vooral het beantwoorden van dat ene scenario. Wissel tussen ransomware, datalek, supply chain compromise, social engineering met executive impersonation, en een productie-OT scenario voor organisaties met operationele technologie. De variatie houdt het team scherp en betrokken en dwingt het bredere kennisgebied te benutten.

Koppel oefenresultaten aan bredere securitymaturity. Een team dat structureel oefent, wordt aantoonbaar beter in detectie, respons en communicatie, wat zich vertaalt in lagere mean time to respond en minder impact bij echte incidenten. Volgens onderzoek van Palo Alto Networks Unit 42 resulteerde 90 procent van de breaches in 2025 uit gaten die hadden kunnen worden gedicht als teams die hadden gekend. Een serieuze cadans van incident response oefening is precies het instrument om die gaten zichtbaar te maken voordat een aanvaller ze vindt.

Een goed opgezette incident response oefening kost minder dan een dag voorbereiding plus drie tot vier uur uitvoering, en levert je SOC, IT en bredere organisatie een gemeenschappelijke werkwijze die in een echte crisis verschil maakt. Bij Trivian leiden we cybersecurity-professionals op die deze oefeningen kunnen ontwerpen, faciliteren en analyseren. Bekijk hoe wij samenwerken met organisaties of plan een adviesgesprek om te bespreken hoe je je team structureel beter laat oefenen.