Veelgestelde vragen

Hier treft u antwoorden op vragen, die we nog wel eens krijgen.

Wat is een pentest?

Een pentest (penetratietest) is een gecontroleerde aanval op uw systemen en applicaties om kwetsbaarheden te vinden voordat kwaadwillenden dat doen. Onze ethische hackers gebruiken dezelfde technieken als cybercriminelen, maar met als doel uw beveiliging te verbeteren.

Bij de Methodiek voor Informatiebeveiligingsonderzoek met Auditwaard (MIAUW) hebben we uitgebreid stilgestaan bij een definitie onder leiding van Mr. V.A. de Pous en kwamen we tot de volgende definitie:

‘Een door eigen personeel of derden uit te voeren offensief beveiligingsonderzoek, waarbij gecontroleerd wordt gezocht naar kwetsbaarheden in een of meer beveiligde netwerk- en informatiesystemen of onderdelen daarvan, die kunnen worden gebruikt voor het inbreken in deze systemen en/of die zonder opzet of autonoom de gegevensverwerking van de onderzochte organisatie kunnen verstoren of anderszins nadelige gevolgen kunnen hebben.’

Bij De Winter Information Solutions voeren we pentests uit volgens de MIAUW-methodiek, wat zorgt voor:

Reproduceerbare resultaten
Duidelijke rapportage
Concrete verbetervoorstellen
Compliance met wet- en regelgeving

Als ik een pentest met MIAUW doe, moet ik die dan openbaar maken?

Nee dat hoeft niet. Het doel van MIAUW is juist om de klant centraal te stellen. Als je betaalt voor een rapportage dan is het logisch dat je controle hebt over het product dat je koopt. Dat betekent dat MIAUW wel iets zegt de leverancier, die geen beperkingen aan de klant mag opleggen voor verspreiding. Dat staat zo beschreven:

Er worden aan de opdrachtgever geen beperkingen opgelegd met betrekking tot verspreiding/distributie, publicatie of opslaan van de rapportage en de onderliggende stukken. Uitgezonderd hiervan zijn financiele gegevens met betrekking tot de uitvoering van het onderzoek, zoals uurtarieven, prijzen en facturen.

Het grotere doel is immers dat je met een pentest ook kunt aantonen dat de belangrijke zaken goed zijn geregeld. Dat is onmogelijk als je het onderzoek niet aan anderen mag tonen of verstrekken. Uiteraard valt financiele informatie over het onderzoek, want dat voegt niets toe met betrekking tot het in control zijn.

Sterker nog: wil je het onderzoek niet delen, omdat er teveel gevoelige informatie in staat dan kent MIAUW altijd de mogelijkheid om een proces verbaal van een auditor te vragen, waardoor je wel kunt aantonen dat het onderzoek volledig en compleet is uitgevoerd, wat de resultaten waren zonder teveel details te delen.

Kortom: jij als klant bepaalt wie je welk niveau van informatie dat je aan partners of de wereld wilt delen zonder daarin belemmert te worden door een leverancier.