Wanneer je hoort over pentesten, is je eerste gedachte waarschijnlijk “Hoe kan ik een pentesting-team de cyberbeveiliging van mijn bedrijf laten testen?”. In deze blogpost leggen we uit waarom het kiezen van een pentest bedrijf niet eenvoudig is en hoe je de juiste kiest. Ongeacht de grootte of het budget van je bedrijf, is het in je belang als je jouw opties grondig onderzoekt en zoveel mogelijk vragen stelt voordat je een contract ondertekent.
Expertise op het gebied dat je moet testen
Een pentest bedrijf moet expertise hebben op het gebied dat je wilt laten testen, anders loop je het risico tijd te verspillen en mogelijk fout-positieve resultaten te krijgen. Als je bijvoorbeeld een pentest uitvoert op je webapplicatie, wil je dat het bedrijf enige ervaring heeft met het testen van webapplicaties. Dit geldt zowel voor de levering als voor de bevindingen. Als het bedrijf je bijvoorbeeld aanbeveelt iets op je website te veranderen, moet je vertrouwen hebben in hun aanbeveling omdat zij de expertise moeten hebben om te begrijpen waarom het een probleem kan zijn.
Een pentest bedrijf beoordelen
Waar je op moet letten bij het beoordelen van de resultaten is het vertrouwen erin. Het is bijvoorbeeld bemoedigend om te zien dat het bedrijf prioriteit geeft aan de meest kritieke problemen als het tijdens een test een aantal problemen vaststelt. je wilt ook vertrouwen hebben in de bevindingen van het bedrijf omdat zij voldoende kennis moeten hebben om de onderliggende oorzaken van problemen te begrijpen. Als pentesters bijvoorbeeld ontdekken dat een webapplicatie kwetsbaar is voor een bepaald type exploit, moeten ze kunnen beschrijven wat de gevolgen daarvan zijn en wat je kunt doen om het probleem aan te pakken.
Reputatie
U moet ook kijken naar de reputatie van het bedrijf. je wilt niet alleen zien wat ze in het verleden hebben gedaan, maar je moet ook kijken naar wat ze momenteel doen. Als het bedrijf bijvoorbeeld ISO 27001 gecertificeerd is, betekent dit dat ze een audit hebben ondergaan en zich houden aan een bepaalde beveiligingsnorm.
De juiste keuze
Pentesting bedrijven moeten met zorg worden gekozen, omdat pentesting een verkennend proces is, en pentesters mogelijk niet in staat zijn om een bepaald aantal ontdekkingen te garanderen of zelfs die welke je hebt geselecteerd om te onderzoeken. Bovendien moet je onderzoeken of het bedrijf ervaring heeft met het onderwerp dat je wilt onderzoeken, goede communicatie- en leveringspraktijken heeft, en vertrouwen heeft in de resultaten. je kunt ook onderhandelen over de prijs van pentesting-diensten, en de prijs kan stijgen als gevolg van eventuele tekortkomingen. Neem contact op met Surelock en vraag een nulmeting aan.