Navigeren in de wereld van penetratietesten: De voordelen van het CCV-keurmerk

Er zijn vele aanbieders van pentesten en onderwerpen als ethical hacking en cybersecurity in het algemeen zijn onderdeel van diverse (hogere) beroepsopleidingen in Nederland. Dat is een goede ontwikkeling en een teken dat het onderwerp IT beveiliging volwassen wordt. Toch zijn er, juist op het gebied van pentesten, nog wel wat stappen te maken in de branche. Voor dit doel heeft het CCV een certificering ontwikkeld: het keurmerk pentesten.  

Volgens het Cybersecurity woordenboek (ref) is een penetratietest of pentest een handmatige controle waarin men zo diep mogelijk wil binnendringen in een systeem om zwakke plekken te vinden en de gevolgen hiervan te kennen. Inmiddels is het laten uitvoeren van een dergelijke pentest gemeengoed geworden. Er zijn vele aanbieders van pentesten en onderwerpen als ethical hacking en cybersecurity in het algemeen zijn onderdeel van diverse (hogere) beroepsopleidingen in Nederland. Dat is een goede ontwikkeling en een teken dat het onderwerp IT beveiliging volwassen wordt. 

Toch zijn er, juist op het gebied van pentesten, nog wel wat stappen te maken in de branche. Met name op het gebied van de pentest zelf. Wat houdt een pentest nou precies in? Wat krijg je als ‘klant’ op het moment dat je een pentest afneemt? En kan je vertrouwen op voldoende diepgang bij de uitvoering? En een heldere rapportage waar je wat mee kan? Dit zijn onderwerpen die niet allemaal vanzelfsprekend zijn, met als gevolg dat de kwaliteit van pentesten nogal kan verschillen tussen de verschillende aanbieders. Kan een automatische scan op bekende kwetsbaarheden ook als pentest volstaan? Voor afnemers van pentesten ontstaat hierdoor onduidelijkheid: wat krijg je nou precies? 

Voor dit doel heeft het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) een certificering ontwikkeld: het keurmerk pentesten. Dit keurmerk definieert wat een afnemer van een pentest en de leverancier mag verwachten. Het stelt een reeks eisen op het gebied van onder meer kwalificaties van personeel, uitvoering, rapportage, bedrijfsproces en het borgen en verbeteren van kwaliteit. Aanbieders kunnen zich (door een certificerende instelling) laten beoordelen, en mogen na acceptatie het keurmerk voeren. Ook na acceptatie worden aanbieders van pentesten jaarlijks geëvalueerd om het keurmerk te kunnen behouden. Op dit moment zijn er diverse aanbieders van pentesten die dit keurmerk mogen dragen. Ook Resillion heeft zich hiervoor gekwalificeerd. 

Kwaliteitsstandaarden zoals het keurmerk pentesten zijn een goede ontwikkeling. Het is een teken dat de branche zich verder aan het professionaliseren is en afnemers eenvoudiger inzicht hebben in de kwaliteit: check het keurmerk als je een pentest wilt afnemen.