Waarom wil je een penetratietest laten uitvoeren?
Welk risico wil je afdekken met een security test?
“Waarom wil je een security test op je applicatie of omgeving laten uitvoeren?” Elke keer dat we die vraag aan een klant stellen, dan krijgen we een ander antwoord, zoals “ik wil er zeker van zijn dat mijn product veilig is” of “wij moeten dat doen vanwege de ISO-certificatie”.
De antwoorden geven vaak geen echt inzicht in het ‘waarom’ achter de vraag om een penetratietest. De meest voorkomende antwoorden vallen samen te vatten in onderstaande top 5.
- Gemoedsrust afkopen “We hebben er alles aan gedaan om te zorgen dat de data aan onze kant veilig is opgeborgen, maar is dat gelukt?”
- Imago schade “Het imago van onze organisatie loopt ernstige schade op als we worden gehackt of wanneer ons product beveiligingsproblemen blijkt te hebben.”
- Financiële risico’s afdekken “We slaan gevoelige gegevens op. We lopen een groot financieel risico als die in gevaar komen.”
- Certificatie – de checkbox “We hebben een ISO27001 certificaat nodig en dat vereist de uitvoering van een penetratietest op regelmatige basis.”
- Vertrouwen in de software of de omgeving “Wanneer we software aanschaffen, willen we bevestigd zien dat die niet kwetsbaar is voor misbruik.” Hetzelfde geldt voor de leverancier van software: “ik wil mijn klanten laten weten (en aantonen) dat de software niet kwetsbaar is voor misbruik”.
Waarom willen we de achterliggende redenen weten van een verzoek om een security test uit te voeren?
Het simpele antwoord is: omdat we moeten begrijpen welke risico’s precies moeten worden afgedekt door middel van een penetratietest. Om een nuttig testrapport op te kunnen stellen, moeten we weten waar jij, de klant, bang voor bent.
Achter elk van de bovenstaande vijf categorieën gaat minimaal één risico schuil dat jou echte zorgen baart. Een voorbeeld: een klant is bang dat gebruikers het systeem manipuleren in hun voordeel (zoals het aanpassen van toetsresultaten door studenten in een studentvolgsysteem). Met die wetenschap kunnen we de pentest goed richten op dat specifieke risico. We brengen specifiekekwetsbaarheden dan in kaart en dragen daarmee bij aan het reduceren van de risico’s.
Kortom, wij zoeken altijd naar de echte redenen, wat is je grootste angst die je poogt af te dekken hier?
Nerdconomy biedt de volgende security diensten aan
- security scan
- penetratietest
- ethical hack-attack
- Pentest abonnement
- Purple teaming
- Security awareness training
- Basiskennis security testen voor testers