Diensten

Pentesten

Een pentest (penetratietest) simuleert een gerichte aanval op je systemen om kwetsbaarheden bloot te leggen voordat echte aanvallers dat doen. Een pentester denkt en handelt als een aanvaller, maar werkt in opdracht en met expliciete toestemming. Onmisbaar voor een volwassen beveiligingsbeleid.

Normity zelf wordt periodiek getest door externe pentesters. Wij geven je graag advies over welke partijen geschikt zijn om jouw infrastructuur te toetsen, en helpen je om de bevindingen om te zetten in concrete acties in je managementsysteem.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity

Eerlijk is eerlijk: wij zijn behoorlijk trots op onze eigen software. Dat komt niet in de laatste plaats doordat we deze al bij veel organisaties hebben mogen implementeren. Tevreden organisaties. Omdat deze organisaties met Normity in staat zijn grip te krijgen op hun kwaliteit. Omdat audittrajecten eenvoudiger verlopen. Omdat processen beter inzichtelijk is. Omdat medewerkers meer betrokken zijn. Kortom: meer kwaliteit. En dat is goed voor jou, maar ook voor jouw klanten.

Diensten

Pentesten is een gestructureerde manier om aan te tonen hoe weerbaar je systemen zijn tegen gerichte aanvallen. Een pentest is iets anders dan een vulnerability scan: een scan vindt bekende kwetsbaarheden via geautomatiseerd onderzoek, een pentest combineert technieken op een manier die mensen wel doen en machines niet. De combinatie van beide is meestal het sterkste.

Er bestaan verschillende vormen van pentesten:

  • Black box — de pentester begint zonder voorkennis, net als een externe aanvaller
  • Grey box — de pentester krijgt beperkte voorkennis (denk aan inloggegevens van een gewone gebruiker)
  • White box — de pentester krijgt volledige toegang tot documentatie en code
  • Web application pentest — gericht op een specifieke webapplicatie of API
  • Network pentest — gericht op de infrastructuur (interne of externe netwerken)
  • Social engineering test — gericht op mensen, niet op systemen (bijvoorbeeld phishing-simulatie)
  • Red teaming — complete simulatie van een gerichte aanvalcampagne, soms over weken of maanden

Een pentest is voor veel organisaties verplicht onder ISO 27001 of NEN 7510 (in elk geval voor kritische systemen, periodiek). Maar ook zonder norm is het verstandig — want je wilt zelf weten waar de zwakke plekken zitten vóórdat een aanvaller ze vindt. Belangrijk: kies een gerenommeerde partij met een goed track record, en zorg voor een duidelijke scope en afspraken.

In Normity registreer je pentest-bevindingen samen met andere risico's, koppel je acties met eigenaren en deadlines, en bewaak je de opvolging. Het is goed om bevindingen niet als losse rapporten te behandelen maar als integraal onderdeel van je risicomanagement.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

Het verschil tussen ISO 27001 en ISO 27002

ISO 27001 is de certificeerbare managementnorm voor informatiebeveiliging; ISO 27002 is de bijbehorende praktijkrichtlijn met concrete beheersmaatregelen. Je certificeert tegen 27001, maar gebruikt 27002 om invulling te geven aan de maatregelen uit Annex A. In dit artikel leggen we het verschil uit en wanneer je welke norm gebruikt.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Cyberwoordenboek

Een cyberwoordenboek verklaart de vakjargon uit de IT- en informatiebeveiligingswereld — van MFA en DDoS tot BYOD en zero-day. Handig als je het gesprek wilt voeren zonder voortdurend te hoeven Googelen. In dit artikel leggen we de belangrijkste termen helder uit en delen we een gratis referentie van Cyberveilig Nederland.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

ISMS

Een ISMS (Information Security Management System) is géén softwarepakket, maar een systematische manier waarop een organisatie informatiebeveiliging borgt — met beleid, processen, maatregelen en continue verbetering volgens PDCA. Software zoals Normity ondersteunt dat, maar ís het niet. In dit artikel lees je wat een ISMS precies is en waarom je er een nodig hebt.

Marcel van Langen

Veelgestelde vragen over Pentesten

De vragen die we het vaakst krijgen over Pentesten, met korte en feitelijke antwoorden.

Een pentest (penetration test) is een gecontroleerde, gesimuleerde aanval op systemen, applicaties of infrastructuur om kwetsbaarheden op te sporen vóór echte aanvallers dat doen. Pentesters denken als aanvallers, maar werken met expliciete toestemming en duidelijke scope. Resultaat: een rapport met gevonden kwetsbaarheden, risico-inschatting en aanbevelingen.

Een vulnerability scan is geautomatiseerd en vindt bekende kwetsbaarheden in systemen en software. Een pentest gaat verder: handmatig onderzoek, exploitatie van gevonden kwetsbaarheden, combineren van zwakheden tot een realistische aanvalsroute. Vulnerability scans zijn goedkoper en frequenter; pentesten zijn diepgaander maar duurder.

Black box (geen voorkennis, simuleert externe aanvaller), white box (volledige voorkennis, efficiënter en grondiger) en grey box (gedeeltelijke voorkennis, realistisch voor insider- of post-phishing scenario). Daarnaast onderscheid naar scope: webapplicaties, netwerken, cloud, mobiele apps, social engineering of fysieke penetratie.

ISO 27001 eist geen specifieke pentest, maar wel 'technische beveiligingstesten' bij significante wijzigingen en minimaal periodiek. In de praktijk is een jaarlijkse pentest van kritieke systemen standaard. Voor PCI DSS, DigiD-certificering en sommige NIS2-toepassingen is pentesten wel expliciet verplicht.

Belangrijk zijn: relevante ervaring in jouw sector en technologie, gekwalificeerde pentesters (OSCP, CEH, CREST-certificeringen), duidelijke methodologie (OWASP Testing Guide, PTES, NIST 800-115), verzekering/aansprakelijkheid en een goed rapport-formaat dat aansluit op jouw risicomanagement. Vraag voorbeeldrapporten.

Afhankelijk van de scope typisch één tot vier weken per pentest, inclusief uitvoering en rapportage. Een basiswebapplicatietest: vijf tot tien werkdagen. Grote infrastructuurtest: twee tot vier weken. Plan ook tijd na ontvangst van het rapport voor opvolging: herstel van kwetsbaarheden en hertest kost vaak nog eens twee tot zes weken.

Een red team-oefening is een uitgebreide, meerwekelijkse simulatie waarbij aanvalstesters proberen realistische doelen te bereiken (bijvoorbeeld data van finance stelen) zonder beperkte scope. Het toetst niet alleen systemen, maar ook detectie en respons van het verdedigingsteam (blue team). Red teaming is de meest geavanceerde vorm van offensieve testing.

Pentest-rapporten bevatten gevoelige informatie over kwetsbaarheden en moeten vertrouwelijk worden behandeld. Bewaar rapporten beveiligd (encrypted, beperkte toegang) zolang de systemen bestaan en minimaal drie jaar. Bij audits kunnen oude rapporten relevant zijn voor historische context. Rapporten ná systeemvervanging kunnen eerder worden vernietigd.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management