Kan je de resultaten van een beveiligingsonderzoek wel vertrouwen?

Het uitbesteden van een securitytest komt met haken en ogen. Is de test wel goed uitgevoerd en zijn de resultaten ervan wel betrouwbaar? Roos Dijkxhoorn van Computest geeft tips.

Voor iemand zonder diepgaande technische kennis is het best moeilijk om in te schatten of een security-test goed is uitgevoerd, laat staan om hier vooraf al een goed beeld van te krijgen. Het kiezen van een gerenommeerde partij is belangrijk en zal je zeker een bepaalde mate van zekerheid geven over de kwaliteit. Maar waar kun je nou zelf nog meer op letten als het om de inhoud gaat? Hoe weet je of er een passend security-onderzoek is gedaan en of je waardevolle resultaten hebt?

1. De intake: weet de leverancier wel wat hij gaat doen?

Als een bedrijf direct een prijs kan geven voor een security-test, dan kun je beter even verder kijken. Het noemen van een prijs zonder een idee te hebben van hoe de omgeving eruit ziet en wat jouw specifieke risico's zijn duidt op een generieke aanpak die geen rekening houdt met jouw situatie en behoeften. One size fits all bestaat niet in security-testen. Je weet dat de intake goed gedaan wordt wanneer de contactpersoon op zijn minst verzoekt om inzicht in de technische aspecten van de omgeving, wil weten wat de reden is voor de test en wat de doelstellingen zijn, en kritische vragen stelt hierover. Er hoeft echt geen uren overlegd te worden met alle stakeholders, maar men moet wel een duidelijk beeld hebben van het onderwerp van de test om een goede inschatting te kunnen maken. Op deze manier weet de tester goed waarom hij/zij de test uitvoert en kan er gefocust worden op jouw specifieke security vraagstuk(ken).