Tabletop oefeningen bieden een kans om incidentresponsplannen te testen en besluitvorming te verbeteren, mits ze goed worden opgezet en begeleid. Deze gespreksgerichte, laagdrempelige simulaties waarbij IT, juridische en andere sleutelfiguren theoretische cyberincidenten doorlopen, zijn populair en nuttig. Echter, zonder de juiste aanpak kunnen de uitkomsten misleidend en zelfs schadelijk zijn.

Volgens Sharon Chand, cyber defense en resilience leider bij Deloitte, is de grootste fout het ontbreken van duidelijke, meetbare doelen die aansluiten bij realistische zakelijke beslissingen. Vaak worden generieke scenario’s gebruikt, zoals ransomware of insider threats, met vage doelen en zonder consensus over wat een succesvolle respons inhoudt. Dit leidt tot een oefening die afdwaalt en improvisatie beloont in plaats van proceskwaliteit, waardoor leiders niet kunnen beoordelen of het incidentresponsplan effectief is. Chand adviseert daarom scherpe richtlijnen te geven over wat de tabletop moet bereiken, bijvoorbeeld het testen van escalatie, juridische meldingen, besluitvormingsrechten en herstelprioriteiten.

Ayush Raj Jha, senior software engineer bij Oracle Health, herinnert zich oefeningen waarin elk incident een duidelijk ransomwaregeval was met voorspelbare beslismomenten. Hoewel iedereen goed presteerde, ontstond er later een echte storing in de multi-region disaster recovery setup die ambigu was en niet in de oefeningen voorkwam. Volgens Jha is het probleem niet paniek, maar bevriezing omdat het echte incident anders is dan geoefend. Hij raadt aan om scenario’s bewust ambigu te maken, met onvolledige en tegenstrijdige informatie, zodat deelnemers leren beslissen onder onzekerheid, wat beter aansluit bij de realiteit.

Jason Stading, directeur bij technologieadviesbureau ISG, stelt dat veel IT-leiders tabletop oefeningen als routine zien en daardoor scenario’s kiezen die niet aansluiten bij de werkelijke risico’s en besluitvormers niet betrekken. Dit leidt tot discussies over de waarschijnlijkheid van incidenten in plaats van focus op de te nemen acties. Een betere aanpak is een doordachte, gezamenlijke voorbereiding waarbij het scenario gebaseerd is op de organisatieomgeving, prioriteiten en eerdere incidenten.