Wat is een pentest en waarom laat je die doen?

Misschien heb je gehoord over pentesten, maar weet je niet precies wat die inhouden. In feite is een pentest een check van de veiligheid van een computersysteem, uitgevoerd door een ethische hacker. Lees hier de antwoorden op vijf veelvoorkomende vragen over de pentest.

1. Wie houdt zich bezig met pentesten?

Een pentest is een belangrijke controlemaatregel om de IT-beveiliging van grote en kleine bedrijven te beoordelen. Vooral voor bedrijven die gevoelige informatie beheren (persoonsgegevens, financiële data) is het van belang dat het risico op hacking en datadiefstal zo klein mogelijk wordt gemaakt. Hiervoor schakelen ze testbedrijven met ‘ethical hackers’ in. Deze computerspecialisten gaan te werk volgens dezelfde methoden en met hetzelfde doel als echte digitale inbrekers: de beveiliging omzeilen en toegang krijgen tot beschermde data en/of computercode. Om een pentest uit te voeren moet het bedrijf een vrijwaringsverklaring tekenen, waarmee het testbedrijf toestemming krijgt om te proberen het systeem binnen te dringen. Certificeringsbedrijven als www.digitrust.nl kennen keurmerken toe aan de beste van deze testbedrijven.

2. Wat gebeurt er tijdens een pentest?

‘Pentest’ staat voor ‘penetratietest’’: er wordt getoetst hoe moeilijk het voor een buitenstaander is om in de digitale systemen van jouw bedrijf binnen te dringen. Deze test wordt uitgevoerd door een ethische hacker, iemand dus die gespecialiseerd is in het omzeilen van elektronische beveiligingsmaatregelen. Tijdens de test probeert de hacker om je website binnen te komen, om de code van je apps te manipuleren en/of om gevoelige informatie te achterhalen. Om dit te doen maakt hij gebruik van zowel openbaar beschikbare gegevens als van kwetsbare plekken in het systeem.

3. Wat levert een pentest op?

Na de pentest ontvang je een duidelijk rapport van in hoeverre de hacker toegang kon krijgen tot je IT-systeem en tot de informatie daarin. Je kunt niet alleen zien waar de kwetsbaarheden zitten, maar ook hoe waardevol het gehackte systeem en de data voor een kwaadwillige buitenstaander zou zijn. Dat rapport bevat alle informatie die je nodig hebt om gerichte beveiligingsmaatregelen te nemen. Als die zijn uitgevoerd, kan je het testbedrijf vragen om nogmaals een pentest uit te voeren en de effectiviteit van de maatregelen te evalueren.

4. Moeten pentesten voldoen aan een certificering?

Het is voor een testbedrijf niet verplicht om een pentest volgens een bepaalde procedure te laten uitvoeren. Natuurlijk wil je er zeker van zijn dat jouw pentest van voldoende kwaliteit is. Kies er daarom om jouw pentesten te laten uitvoeren door een partner met het keurmerk van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV). Dit keurmerk garandeert dat het bedrijf professionele pentesten gebruikt en dat zijn medewerkers betrouwbaar zijn. Dankzij CCV-pentesten weet je dat je beveiliging, als het er op aan komt, écht in orde is.

5. Hoe vaak moet je bedrijf een pentest laten uitvoeren?

Dat hangt onder meer af van hoe snel de IT-systemen van jouw bedrijf zich ontwikkelen. Als je digitale omgeving constant verandert en als je regelmatig gebruik maakt van nieuwe apps, verbindingen en opslagsystemen, ontstaan er constant nieuwe zwakke plekken die door een echte hacker uitgebuit kunnen worden. Als je al jaren dezelfde softwarepakketten en netwerkverbindingen gebruikt, dan is het toch aan te raden om minstens één keer per jaar een pentest te laten doen – zeker als je bedrijf veel of gevoelige data onder zijn hoede heeft.