We leven in een tijd waarin we technologie niet alleen gebruiken, maar er blindelings op varen. Of het nu gaat om social media algoritmes, cybersecurity-rapportages of AI-gegenereerde code: we nemen de output vaak voor waarheid aan, zonder de fundamentele vraag te stellen: klopt dit wel? In zijn boek De Validatiecrisis fileert voormalig onderzoeksjournalist, IT-expert en onze vakbroeder-van-het-eerste-uur Brenno de Winter dit fenomeen. Ook voor de leden van ISACA bevat het boek een urgente boodschap: “Kwaliteit moet de norm zijn, geen vinkje, net als checklists in de luchtvaart.”

Van serverruimte naar maatschappelijk debat

Brenno de Winter behoeft binnen ons vakgebied nauwelijks introductie. Zijn carrièrepad illustreert een noodzakelijke evolutie in de sector: van diepe technische specialisatie naar breed maatschappelijk en strategisch advies. “Mijn loopbaan laat zich samenvatten als een beweging van de serverruimte naar de bestuurskamer,” stelt De Winter.

Hij begon als programmeur en engineer, waar hij leerde hoe systemen (niet) werken. Die technische diepgang nam hij mee de journalistiek in, waar hij naam maakte door talloze datalekken en beveiligingsfouten bij overheid en bedrijfsleven bloot te leggen. Tegenwoordig opereert hij op strategisch niveau als adviseur. “Ik zie mezelf als een vertaler. Ik spreek de taal van de binaire code, maar ik begrijp ook de dynamiek in de bestuurskamer. Die brugfunctie is essentieel, want daar gaat het vaak mis: de techniek wordt complexer, maar het begrip bij de beslissers groeit niet in hetzelfde tempo mee.  Het dichten van die kloof is essentieel voor effectieve governance.”

Het ontstaan van de crisis

Het boek De Validatiecrisis is voortgekomen uit een uitgebreid proces van onderzoek en iteratie. De Winter constateert dat organisaties steeds vaker varen op wat hij ‘gefabriceerde waarheden’ noemt. “We hebben processen geautomatiseerd en dashboards ingericht, maar de validatieslag – de controle of de uitkomst daadwerkelijk correct en ethisch is – is wegbezuinigd of vergeten,” analyseert De Winter.

Het boek behandelt de risico’s van het groeiende blinde vertrouwen in technologie. Of het nu gaat om cybersecurity-rapportages of AI-gegenereerde code: het gebrek aan kritische validatie creëert een vals gevoel van veiligheid. Voor de auditor en risk professional is dit een belangrijk punt: “Valideren we opzet, bestaan en werking van het hele systeem, beschouwen we het systeem als een black box en gaan we slechts aan de slag met de output van de tool, waarvan we de waarde niet kennen?”

Casus Tenerife: lessen voor de auditor

In zijn laatste boek ‘Fundamenten van informatiebeveiliging’ trekt De Winter een parallel met de luchtvaartramp op Tenerife (1977) om het belang van soft controls en cultuur te duiden. Voor IT-auditors biedt deze casus waardevolle inzichten in de gevaren van hiërarchische structuren en ‘confirmation bias’. “Bij die ramp was de techniek niet de hoofdoorzaak,” stelt De Winter die momenteel zelf een opleiding tot piloot volgt. “De vliegtuigen werkten prima. Het probleem was de cultuur. De gezagvoerder van de KLM gold als onfeilbaar boegbeeld; hij stond in alle brochures en was een autoriteit. Toen hij afweek van de protocollen, durfde de bemanning, ondanks twijfel, niet effectief in te grijpen. Er heerste een giftige sfeer in de cockpit.”

De Winter ziet exact dit patroon in de IT-sector. “Vervang die piloot door een dominante CISO of een ‘rockstar beheerder of ontwikkelaar’ die onmisbaar wordt geacht. Als de cultuur binnen een IT-afdeling dicteert dat deze experts niet tegengesproken worden, ontstaan er blinde vlekken. Als zo iemand zegt dat het veilig is, wie durft er dan nog vragen te stellen? Techniek is inmiddels grotendeels een commodity geworden; de echte risico’s zitten in de organisatie, de communicatie en de cultuur. Als auditor kijken we gelukkig al een tijdje niet alleen naar de firewall-instellingen, maar ook naar de sociale veiligheid (soft controls): durft een junior hier aan de bel te trekken als hij iets vreemds ziet?”

De ‘MIAUW‘-industrie en de commoditisering van angst

De Winter is kritisch op de commerciële dynamiek binnen de security-markt. Hij signaleert een tendens waarbij dienstverleners inspelen op angst in plaats van op risicobeheersing. De Winter, zelf poezenliefhebber werkten met experts aan MIAUW (de Methodiek van Informatiebeveiligingsonderzoek met auditwaarde). Hij stelt: “Ik noem dit de ‘onvolwassen-industrie’: partijen die pentesten uitvoeren, waar je geen duidelijkheid hebt wat er is getest, hoe er is getest en waarom iets wel of niet goed zit. Met die input moet de auditor het maar doen.””

Voor ISACA-leden ligt hier de taak om als trusted advisor te fungeren en het onderscheid te maken tussen het ‘verkopen van angst’ en reële bedrijfsrisico’s. “Kwaliteit en context moeten ten alle tijde leidend zijn, niet het schrikeffect.”

Professionalisering: meer dan PE-punten

Hier raakt De Winter een gevoelige snaar: de professionalisering van ons vakgebied. Hij is kritisch op het verzet tegen Permanente Educatie (PE): “Ik word soms boos over klagen over het systeem van PE-punten, geen alternatief aandragen en maar roepen dat we na zoveel jaar mensen maar moeten vertrouwen,” zegt hij fel. “Kwaliteit, het verhogen van ons kennisniveau en integriteit moeten intrinsieke drijfveren zijn en blijven. We moeten daarin een hoge standaard voor de beroepsgroep blijven stellen. Net als in de luchtvaartsector, waar continuous learning een belangrijk uitgangspunt is. Momenteel trainen mensen meer voor hun sport dan dat ze hun vak bijhouden. En dan vinden we het gek dat de kwaliteit vaak tegenvalt.”

Hij ziet de toenemende wet- en regelgeving echter als een positieve aanjager. “De wetgever heeft, met richtlijnen als NIS2, DORA en de AI Act, de winnende hand. Compliance is niet langer vrijblijvend. Dit dwingt organisaties om professionalisering serieus te nemen. Het biedt de auditor en security officer het mandaat om kwaliteit af te dwingen.”

Dilemma’s voor professionals

Naar aanleiding van het gesprek en het boek, legt De Winter de ISACA-leden graag drie dilemma’s voor om over na te denken of te bespreken met vakgenoten:

  1. Het Validatie-Dilemma: Kan ik de ‘Groene lichten’ te wantrouwen? In hoeverre durf je als auditor of security officer te rapporteren dat een systeem onveilig is, als alle geautomatiseerde tools zeggen dat het compliant is? Durf je je menselijke intuïtie en validatie boven de tooloutput te plaatsen?
  2. Het Cultuur-Dilemma: Techniek of Mens? Doorgaans besteden we in onze audits en rapportages 80% van de tijd aan technische controls en 20% aan cultuur, terwijl we weten dat (net als op Tenerife) de menselijke factor vaak de catastrofe veroorzaakt. Durven we ‘giftige sfeer’ als een IT-risico te benoemen?
  3. Het Expert-Dilemma: Kennis of Checklist? Richten we onze educatie en certificering op het voldoen aan de formele eisen, of investeren we in diepgaande kennis die nodig is om de complexe systemen van morgen (zoals AI) daadwerkelijk te kunnen doorgronden?

Conclusie: De rol van de menselijke maat

Brenno de Winter sluit af met een oproep aan onze beroepsgroep. “Jullie rol is breder dan alleen controleren. Jullie zijn de hoeders van de validatie. De techniek gaat ons niet redden, sterker nog, die wordt steeds misleidender met deepfakes en hallucinaties. Het is aan de mens, aan ons professionals, om te durven twijfelen aan output en om de vraag te blijven stellen: ‘Is dit waar?’ We moeten mensen veel meer trainen in kritisch denken en biases herkennen. Dat is de enige uitweg uit de validatiecrisis.”