Een cyber game voor de boardroom klinkt voor sommige bestuurders nog altijd als iets met post-its, dobbelstenen en consultants die net iets te enthousiast worden. Toch is het een van de weinige manieren om cyber awareness te creëren op een niveau waar beleidskeuzes daadwerkelijk worden gemaakt. Niet door nog een presentatie met rode grafieken en dreigingswoorden, maar door bestuurders zelf te laten ervaren wat een cyberincident betekent voor hun rol, hun afwegingen en hun verantwoordelijkheid.
In veel organisaties blijft cybersecurity hangen op operationeel of technisch niveau. Het bestuur krijgt rapportages, KPI’s en soms een auditbevinding. Wat ontbreekt is gevoel voor impact. Een cyber game doorbreekt dat patroon. Niet door kennis over te dragen, maar door besluitvorming te simuleren. Deelnemers worden geconfronteerd met een realistisch scenario, bijvoorbeeld een ransomware-aanval, een datalek of uitval van kritieke systemen. In plaats van te luisteren, moeten ze reageren. Onder tijdsdruk, met beperkte informatie en met tegenstrijdige belangen.
Juist dat maakt een cyber game geschikt voor de boardroom. Bestuurders hoeven geen technische details te begrijpen om te ervaren hoe snel een incident strategisch wordt. Wanneer schakel je externe partijen in? Wat communiceer je naar klanten, toezichthouders of de media? Accepteer je operationele schade om reputatieschade te beperken, of andersom? Dit zijn geen IT-vragen, maar governancevragen. De game legt bloot waar verantwoordelijkheden onduidelijk zijn, waar besluitvorming stokt en waar aannames worden gedaan die in de praktijk riskant blijken.
Awareness ontstaat hier niet doordat iemand vertelt dat cyberrisico’s belangrijk zijn, maar doordat bestuurders zelf voelen hoe oncomfortabel het is om beslissingen te nemen zonder volledig overzicht. Dat gevoel blijft hangen. Veel sterker dan een beleidsdocument of een compliance-checklist. Het maakt zichtbaar dat cybersecurity geen project is dat je kunt afronden, maar een continu bestuurlijk vraagstuk.
Een goed opgezette cyber game is geen test van individuen, maar een spiegel voor het collectief. Het gaat niet om winnen of verliezen, maar om inzicht. Welke informatie mist het bestuur op cruciale momenten? Welke escalatielijnen zijn onduidelijk? Waar verwacht men actie van “IT”, terwijl het eigenlijk een bestuurlijke keuze is? Deze inzichten zijn vaak confronterend, maar precies daarom waardevol.
Belangrijk is dat de game aansluit bij de realiteit van de organisatie. Geen generiek Hollywood-scenario, maar een situatie die plausibel is binnen de eigen context. Alleen dan ontstaat herkenning en daarmee echte bewustwording. De nabespreking is daarbij minstens zo belangrijk als de game zelf. Hier worden patronen benoemd, aannames besproken en vertaald naar concrete verbeterpunten in governance, beleid en crisisvoorbereiding.
Een cyber game voor de boardroom is daarmee geen training in de klassieke zin. Het is een ervaringsinstrument dat abstracte risico’s tastbaar maakt. Het creëert awareness niet door te overtuigen, maar door te laten ervaren. En dat is precies wat nodig is op het niveau waar richting wordt bepaald en verantwoordelijkheid uiteindelijk ligt.