De manier van rapporteren van pentestresultaten lijkt stil te staan. Dat terwijl pentesten in feite de ideale manier is om risico’s en kwetsbaarheden te identificeren. Maar terwijl de cyberdreigingen in een hoog tempo veranderen, lijkt de manier waarop we het pentestproces inrichten soms stil te staan.
Bij Zolder zijn we ervan overtuigd dat deze cruciale schakel binnen het securityproces meer aandacht en innovatie verdient. Wat bedoelen we hier precies mee? Eén van de voornaamste beperkingen van een pentest is dat de pentest vaak stopt bij het opleveren van het rapport. Er wordt een pentest uitgevoerd, er worden bevindingen gedaan en deze worden vervolgens uitgeschreven in een gedetailleerd rapport met een voorstel oplossing. Het resultaat is dus meestal een statische PDF die, hoewel vol met waardevolle informatie, slechts een momentopname biedt van het securityniveau van hetgeen wat onderzocht is.
Maar wat gebeurt er daarna? Zonder verdere begeleiding of communicatie belandt dit rapport vaak in een (digitale) la, slechts af en toe geraadpleegd en zelden volledig geïmplementeerd. Laat staan dat de oplossingen ge-hertest worden. Bij Zolder streven we ernaar onze klanten te helpen naar een hoger securityniveau en niet slechts naar informatieverstrekking. Daarom maken we sinds kort gebruik van een portaal. Dit platform is ontworpen om de traditionele tekortkomingen te overbruggen en pentesting naar een nieuw niveau van betrokkenheid en efficiëntie te tillen, met de volgende doelen:
- Alle informatie van jouw pentesten op één centrale plek.
- Real-time inzicht in de bevindingen tijdens de test.
- Open en directe communicatie met ontwikkelaars en beheerders voor optimaal resultaat.
- Hertesten als standaard onderdeel van de pentest.
- Minder tijd nodig voor rapporteren, meer tijd voor daadwerkelijk testen.
- Vereenvoudigd afwisselen tussen pentesters.
- Vereenvoudigd samenwerking met verschillende teams binnen uw organisatie
In plaats van één overdrachtspunt waarbij een PDF wordt overlegd, biedt het portaal een dynamische omgeving waar klanten kunnen reageren op bevindingen, vragen kunnen stellen en direct hertests kunnen aanvragen. Bevindingen en rapporten zijn geen statische entiteiten meer. Ze kunnen worden bijgewerkt met nieuwe informatie, waardoor organisaties real-time actie kunnen ondernemen. Daarnaast vragen wij standaard aan de klant of zij voorkeur hebben voor communicatie via Slack of Teams. Op die manier zijn er niet alleen korte lijntjes voor wat betreft communicatie, maar ook volledige inzage en transparantie in het verloop van de test. We zien onszelf niet als externe pentesters maar liever als de vaste securitypartner van onze klanten. We zijn er om te begeleiden, adviseren en, vooral om te helpen bij het opbouwen van duurzame weerbaarheid tegen cyberrisico’s. Het portaal helpt ons hierbij.
Het pentestproces in zijn huidige vorm biedt waardevolle inzichten, maar er is zoveel meer potentieel als we verder kijken dan het traditionele pentestproces. Bij Zolder willen we een bijdrage leveren aan de cultuurshift naar een cultuur van het inzetten van pentesting voor een continue verbetering en weerbaarheid tegen cyberrisico’s. Zo zien wij Pentesting-as-a-Service. Wat denken jullie: Hoe zie jij de toekomst van pentesting? Is het huidige pentestproces achterhaald doordat er te weinig aandacht is aan wat er gebeurt na de pentest? Of is dat iets wat per definitie na de pentest moet gebeuren en enkel aan de klantorganisatie moeten worden overgelaten?