Tijdens de TrustBound Partner Pulse op 20 november 2025 nam security-expert Brenno de Winter de zaal aan de hand van een presentatie vol katten mee in een ontnuchterend verhaal: IT-projecten falen massaal, minder dan een op de drie wordt een succes. De diagnose? We doen alsof beveiliging vooral een technische vragenlijst is die moet worden afgevinkt. Maar het draait allemaal om mensen, organisatie en training.
Brenno trapt af met het financiële plaatje. In zijn presentatie is te zien dat het gemiddelde security-incident tussen de
2 en 5 miljoen euro kost en dat de nevenschade zelfs kan oplopen tot 2,4 biljoen dollar. ‘If you think safety is too expensive, try an accident.’ Maar belangrijker nog: IT-falen kan ook levens kapot maken. Soms zelfs letterlijk. Denk aan de toeslagenaffaire, het Horizon-schandaal, stralingsmachines die de verkeerde dosis afgeven en falende ambulancesystemen.
Brenno trekt de vergelijking met vuur, waarvoor je zuurstof, temperatuur en brandstof nodig hebt. “Om security te laten functioneren heb je Regulering, Organisatie en Techniek (ROT) nodig. Technisch is ransomware voorkomen niet eens zo ingewikkeld. Het zit ‘m vooral in hoe je er als organisatie mee omgaat. Lopen bedrijven niet de kans om een boete te krijgen als ze hun security niet op orde hebben, dan gebeurt er gewoonweg niks. Zoveel is duidelijk.”
Dat security nog te vaak een ondergeschoven kindje is, blijkt wel uit het feit dat de gemiddelde CISO (Chief Information Security Officer) een loodzwaar takenpakket heeft, maar dat hij wettelijk gezien geen eindverantwoordelijkheid draagt. Dat doet de directie, die vaak veel te weinig van het onderwerp af weet. Voor zijn onderzoek naar de druk op CISO’s vroeg Brenno aan 250 van hen of ze wel eens een (verplicht!) Periodiek Arbeidsgezondheidskundig Onderzoek (PAGO) hadden gehad. Slechts één persoon kon dat bevestigen. En toen kwam geestelijk welzijn niet eens ter sprake.
‘Als je niet aan tafel zit, dan sta je op het menu.’
De casus van ‘Sjaak’ illustreert het probleem: als CISO adviseerde hij zijn management om tijdens een incident alle wachtwoorden te resetten. Zijn advies werd genegeerd, waarna honderdduizenden phishing-e-mails werden verstuurd. Toen hij opnieuw advies uitbracht, werd hij beschuldigd van opdringerig gedrag en de laan uitgestuurd. Als CISO ben je immers niet beschermd tegen ontslag. En dus vertrok ‘Sjaak’, met zware psychologische schade tot gevolg. “Als je niet aan tafel zit, dan sta je op het menu,” waarschuwt Brenno. “Als CISO rapporteer je slechts aan de CIO , wat filtering kan opleveren. Signalen bereiken het bestuur vaak niet, zo illustreert de ransomware-aanval in 2020 op de gemeente Hof van Twente. De burgemeester ontving nooit signalen dat het mis zou gaan, want alle assessments zagen er toch goed uit?” Een typisch geval van ruis op de lijn…
Het verschil is pijnlijk duidelijk. “Stap bij KLM naar binnen en zeg dat je het pilotenwerk wel ‘on the job’ leert. Denk je dat je de baan krijgt? In geen honderdduizend jaar. Terwijl ik in de IT wel eens hoor dat mensen vijf jaar lang niet zijn bijgeschoold. Ter info: de halfwaardetijd van IT-kennis is tweeënhalf jaar. Die persoon zit dus op een kwart van zijn oorspronkelijke kennis. Waarom denk je dat voetballers de hele week trainen om één of twee wedstrijden per week te kunnen spelen? De spelregels veranderen niet, het balletje blijft rond. Toch trainen ze continu. Want ze willen een topprestatie leveren! Hoe kunnen wij verwachten dat security-professionals topprestaties leveren als ze nooit, of veel te weinig, op training gaan?”
‘If you think safety is too expensive, try an accident.’
Training werkt. Mensen worden bewuster, herkennen situaties beter en ontwikkelen muscle memory. Als je training hebt gehad, kun je terugvallen op de kennis en expertise die je hebt opgedaan. Heb je geen training gehad, dan val je terug op je instinct. “Mensen zijn je zwakste schakel als je ze niet traint,” concludeert Brenno. “Train je ze wel, dan worden ze juist je sterkste schakel. Het wordt tijd dat we het vak van security eindelijk serieus gaan nemen.”