Af en toe horen we de Methodiek voor Informatiebeveiligingsonderzoek met Auditwaarde (MIAUW) penetratietesten (pentests) duurder zou maken. Maar is dat werkelijk zo? Graag leg ik uit, waarom MIAUW juist bijdraagt aan transparantie, kwaliteit en in veel gevallen zelfs een kostenbesparing oplevert.

Wat is MIAUW?

MIAUW is een gestructureerde methodiek voor het uitvoeren van penetratietesten (technisch beveiligingsonderzoek). Waar vaak de klant niet goed weet wat er gevraagd moet worden en hoe er echte houvast kan komen helpt MIAUW met inkoopeisen, eisen voor het onderzoek, waarbij de nadruk ligt op transparantie, reproduceerbaarheid en auditwaarde. Het biedt organisaties een duidelijk kader om pentesten te plannen, uit te voeren en te evalueren, en zorgt ervoor dat alle belangrijke aspecten van een beveiligingsonderzoek zijn gedocumenteerd. Dit is essentieel om te kunnen voldoen aan wetgeving zoals de AVG, NIS2-richtlijn en de aankomende Cyber Resilience Act (CRA). Die wetgeving vraagt namelijk van de verantwoordelijken in de organisatie (de bestuurder) dat je kunt aantonen dat je voldoet aan de wetgeving.

MIAUW maakt beveiligingsonderzoeken niet duurder

MIAUW maakt beveiligingsonderzoeken niet duurder, maar helpt compliance te waarborgen

Kosten

Af en toe beweren boze tongen dat het de kosten van pentests zou verhogen. Maar waar komt dit idee vandaan? Dit argument is gebaseerd op een aantal misverstanden. Daarom leg ik graag uit welke kostenaspecten er aan MIAUW zitten:

  1. Meer verplichtingen betekent niet altijd hogere kosten. MIAUW vraagt om het testen van basale beveiligingsstandaarden. Als dat het duurder maakt, wat werd er dan eerder getest? Minder? Niet de basiszaken? Een pentest zonder deze basiscontroles is simpelweg onvolledig. Er zijn helaas meerdere voorbeelden bekend van uitgevoerde technische beveiligingsonderzoeken vlak voordat een incident plaatsvond. De aanval was dat niet groots en meeslepend, maar gewoon op de basics, die niet waren gecheckt.
  2. Herbruikbaarheid maakt niet duurder, maar bespaart kosten. MIAUW zorgt voor herbruikbare pentests. Door het gebruik van een proces-verbaal van een auditor kan een organisatie aantonen dat een eerdere test betrouwbaar is. Dit voorkomt dat dezelfde software steeds opnieuw getest moet worden.
  3. Gestructureerd werken is efficiënt werken. Een gestructureerde aanpak zoals MIAUW zorgt ervoor dat niets over het hoofd wordt gezien. Dit leidt tot efficiënter werken en minder kans op fouten, wat uiteindelijk kostenbesparend is. Niet gestructureerd testen leidt tot meer inspanning om hetzelfde te bereiken of nog erger: het niet doen van belangrijk onderzoek.
  4. Kosten van het proces-verbaal van een auditor zijn beperkt, maar de waarde is groot. Het proces-verbaal van een auditor kost iets extra, maar biedt veel waarde. Het geeft een duidelijk en betrouwbaar inzicht op bestuurlijk niveau en voorkomt tijdrovende discussies.
  5. Gratis modellen en documenten. Alle modellen en documentatie voor MIAUW zijn gratis beschikbaar. Het is open source beschikbaar. Dit verlaagt de instapdrempel voor organisaties die de methodiek willen toepassen. Ook bij gebruik hoef je niet te betalen per pentest. Kosten die je leverancier niet maakt, hoeft je als klant (hopelijk) ook niet te betalen.
  6. Tools om rapportages te versnellen. Er worden tools beschikbaar gesteld die het opstellen van een rapportage vereenvoudigen. Dit bespaart tijd en minimaliseert de administratieve last. Zo hoorden we pas dat het maken van een overzicht van beschikbare bestanden met een checksum (controlegetal) de prijs zou opdrijven. Juist dit zijn zaken, die heel eenvoudig te automatiseren zijn en daarmee geen tijd besparen. Om leveranciers te helpen, die dit ingewikkeld vinden, maken wij dan ook een script beschikbaar om die complexiteit weg te nemen.

Waarom MIAUW juist kosten bespaart

De kern van MIAUW is het bieden van duidelijkheid en transparantie. Dit voorkomt dubbel werk en zorgt ervoor dat organisaties precies weten wat is getest, hoe het is getest en welke bevindingen zijn vastgelegd. Dit maakt het mogelijk om beter onderbouwde beslissingen te nemen en voorkomt kostbare misverstanden.

Het idee dat MIAUW pentests duurder maakt, berust op een misverstand. In werkelijkheid biedt MIAUW gestructureerde en transparante pentests, die de betrouwbaarheid verhogen en op de lange termijn juist kostenbesparend zijn. Bedrijven die MIAUW toepassen, krijgen inzicht, controle en verlagen hun risico’s, wat uiteindelijk leidt tot een efficiëntere en effectievere beveiliging.