Penetratietest en informatiebeveiliging: waarom, wanneer en hoe (ISO 27001)

Een penetratietest (pentest) is een gecontroleerde, geautoriseerde aanval op je IT-systemen door een ethisch hacker. Het doel is kwetsbaarheden opsporen en aantonen of een aanvaller daadwerkelijk kan binnendringen. Je ontvangt een rapport met bevindingen, ernstclassificatie en concrete aanbevelingen.

De kosten variëren van €3.000 tot €15.000+ afhankelijk van de scope, het type test (black/grey/white box) en de complexiteit van je IT-omgeving. Een grey box test op een webapplicatie kost gemiddeld €4.000–€7.000. Een uitgebreide test inclusief intern netwerk, cloud en social engineering kan oplopen tot €15.000 of meer.

ISO 27001 schrijft een penetratietest niet letterlijk als verplichting voor. Echter, Annex A controls A.8.8 (Management van technische kwetsbaarheden) en A.8.34 (Bescherming bij audittesten) maken het in de praktijk vrijwel onmogelijk om zonder pentest aan te tonen dat je informatiebeveiliging effectief is. Certificerende instanties verwachten een actueel pentestrapport.

Een vulnerability scan is een geautomatiseerde check op bekende kwetsbaarheden — breed maar oppervlakkig. Een penetratietest gaat verder: een specialist probeert kwetsbaarheden daadwerkelijk uit te buiten om te bewijzen of ze exploiteerbaar zijn. Een pentest levert minder false positives en geeft dieper inzicht in de werkelijke risico's.

Minimaal één keer per jaar als basisfrequentie. Daarnaast bij grote wijzigingen zoals een nieuwe webapplicatie, cloudmigratie, infrastructuurwijziging of na een beveiligingsincident. Organisaties met een hoog risicoprofiel (zorg, financieel, overheid) doen het bij voorkeur halfjaarlijks.

Voor de meeste MKB-bedrijven is een grey box test het beste startpunt. De pentester krijgt beperkte informatie (zoals gebruikersaccounts of netwerkdiagrammen), wat zorgt voor diepgaande resultaten zonder de kosten van een volledige white box test. Combineer dit eventueel met een black box test op je externe perimeter.