In dit gesprek wordt eenvoudig uitgelegd hoe MIAUW werkt en wat de meerwaarde is. Het is een heldere samenvatting, die uiteraard niet alomvattend is. Het bespreekt het waarom, hoe MIAUW werkt en waarom je helderheid over de tests nodig hebt.
Daarnaast bespreekt het goed de auditwaarde met de inzet van een auditor.
We hebben een transcript van het gesprek gemaakt:
Spreker 1 Hallo en welkom vandaag duiken we In de wereld van penetratietesten. Pentesten worden ze vaak genoemd. Je weet hoe belangrijk cybersecurity is, hè? Zeker met nieuwe wetgeving zoals nou ja, NIS2, die voert de druk wel op.
Spreker 2 Zeker weten, maar je vraagt je soms af, die pentest die Ik heb Laten doen. Was die nou echt goed, weet je wel? En wat betekenen die resultaten nou eigenlijk?
Spreker 1 Precies. En dat, Dat is nou net wat de bronnen die We hebben vooral die stukken uit pentesting volgens miauw proberen aan te pakken. Ja jou, dat staat voor methodiek voor informatiebeveiligingsonderzoek met auditwaarde een hele mond vol, Maar het idee is dus orde scheppen in die. Nou ja, soms wat ondoorzichtige wereld.
Spreker 2 OK dus weg met die onduidelijkheid het doel vandaag is dus kijken wat die miauw methodiek inhoudt en Waarom zo’n gestructureerde aanpak blijkbaar zo belangrijk is om echt in control te zijn. Laten we dat eens uitpakken.
Spreker 1 Goed idee. De bronden beginnen eigenlijk met voorbeelden uit de praktijk, hè dingen die misgaan? Ja.
Spreker 2 Zoals nou rapporten die je niet mag inzien, test die belangrijke systemen gewoon overslaan of bevindingen die achteraf helemaal niet blijken te kloppen.
Spreker 1 Em jouw is daar dus een soort reactie op het kernidee. Zorg dat alles navolgbaar is en onweerlegbaar. Elk onderzoek moet zoals ze dat noemen, auditwaarde hebben.
Spreker 2 Audit waarde dat klinkt wel serieus. Wat houdt dat dan precies in?
Spreker 1 Nou, het betekent gewoon dat glashelder is. Wat je hebt onderzocht hoe je dat hebt gedaan en met welk resultaat en heel belangrijk, met al het bewijs erbij jou heeft daarvoor 9 zekerheden gedefinieerd dingen als duidelijkheid over de deskundigheid van de tester, het proces dat gevolgd is of de test wel compleet waren volgens standaarden.
Spreker 2 Wacht even volgens standaarden. Ja de scope moet duidelijk zijn, de bewijsvoering, de rapportage moet uniform zijn. Het is best een lijstje.
Spreker 1 Het klinkt alsof miauw, niet zozeer het wiel opnieuw uitvindt, maar meer bestaande ja best practices en standaarden pakt en zegt, zo moet het, klopt dat?
Spreker 2 Ja, Dat is een goede samenvatting eigenlijk. De bronnen noemen specifiek internationale standaarden, zoals de testgidsen van Owasp.
Spreker 1 A owasp die ken ik wel van de top ten.
Spreker 2 Precies, maar let op hè? De bron benadrukt kijk verder dan die top ten. Dat is meer voor bewustwording. Geen complete testmethode. Het gaat om de echte gidsen. Pstg voor web MSTG voor mobiel enzovoort.
Spreker 1 Helder en de ernst van wat er dan gevonden wordt, hoe bepalen ze dat?
Spreker 2 Daarvoor schrijft Miauw de cv SS standaard voor die geeft een score van nul tot 10. Dat helpt om het objectief te maken, weet je wel?
Spreker 1 Logisch.
Spreker 2 Ze noemen trouwens ook CIS controles voor configuratie checks maar, en Dat is wel belangrijk als iets niet voldoet aan zo’n CIS control, is dat niet automatisch een kwetsbaarheid met een CV. Sporen, Dat is meer een constatering context is daar belangrijk.
Spreker 1 OK dus standaarden voor de inhoud, maar hoe zit het dan met het proces? Dat moet vast ook strakker.
Spreker 2 Absoluut, Dat is ook gestructureerd. Het begint met een intake, een pre engagementfase. Dan krijg je een plan van aanpak.
Spreker 1 Een plan van aanpak? Ja.
Spreker 2 Dan de uitvoering zelf en dan de afronding en rapportage, Maar de de kers op de taart bij miauw is een optionele stap. Validatie door een onafhankelijke auditor.
Spreker 1 Wacht een auditor die meekijkt bij een pentest. Dat is nieuw voor mij. Hoe werkt dat dan?
Spreker 2 Die auditor stelt een procesverbouw op die checkt. Eigenlijk is er voldaan aan al die m jouw eisen. Is het proces gevolgd? Zoals afgesproken is het bewijs er echt? Klopt de rapportage?
Spreker 1 Ah, dus die controleert het controleerbare, zeg maar.
Spreker 2 Precies, Dat is de sleutel tot die auditwaarde. Het gaat die auditor minder om. De technische diepgang. Dat blijft de rol van de pentester, maar echt om de betrouwbaarheid van het hele proces.
Spreker 1 En dat helpt Natuurlijk enorm om aan te tonen dat je in controle bent voor NS twee de AVG nen. 70 10 In de zorg.
Spreker 2 Juist, Dat is het idee, aantoonbaarheid.
Spreker 1 Logisch en de juridische kant wordt die ook meegenomen, want ja, Zonder toestemming testen is gewoon strafbaar, hè? Computervredebreuk.
Spreker 2 Klopt, de bronnen zijn daar duidelijk over. Goede afspraken over de scope zijn cruciaal. Een geheimhoudingsverklaring een NDA is standaard vrijwaringen ook.
Spreker 1 En AVG als ze persoonsgegevens tegenkomen.
Spreker 2 Ja dan is vaak ook een verwerkersovereenkomst nodig, volgens de bronnen. Dus je ziet al die dingen Samen, de methodiek, de standaarden, dat proces verbaal het juridische kader maken zo om jouw pentest echt meer dan Alleen een technische test.
Spreker 1 Het wordt een soort bewijsstuk.
Spreker 2 Een controleerbaar bewijsstuk van zorgvuldigheid? Ja. OK dus samenvattend miauw probeert pen testen nou ja, transparenter te maken precies consistenter en vooral aantoonbaar betrouwbaar. Het geeft je een soort raamwerk, zodat je weet wat je koopt en dat de resultaten ook echt waarde hebben voor audits en compliance precies.
Spreker 1 Het biedt houvast, zodat je echt kunt Laten zien. Kijk, wij nemen dit serieus, we beheersen het, We zijn in control.
Spreker 2 Goed nog een laatste gedachte dan, hè, Als we naar die bronnen kijken. Nu die druk om aantoonbaar in controle te zijn. Zo toeneemt technisch juridisch procesmatig. Hoe verandert dat? De manier waarop je als organisatie, Nou ja, zon pentest inkoopt goeie vraag, is de laagste prijs dan nog wel het belangrijkste of wordt juist die aantoonbaarheid van kwaliteit die auditwaarde waar we het over hadden? Veel belangrijker iets om over na te denken lijkt me.