GetHacked
Terug naar blog
Best Practices

Hoe bereid je je bedrijf voor op een pentest?

Een goede voorbereiding maakt het verschil tussen een vlotte pentest en onnodige verstoringen. Leer hoe u uw organisatie optimaal voorbereidt.

Gepubliceerd op 18 maart 20246 min leestijd

Voorbereiding maakt het verschil

Een penetration test is een investering. Hoe beter uw organisatie is voorbereid, hoe waardevoller de resultaten. Een slecht voorbereide pentest levert oppervlakkige bevindingen en verspilt de tijd van beide partijen. In dit artikel leggen we stap voor stap uit hoe u zich optimaal voorbereidt.

Stap 1: Definieer de scope

Voordat de pentest begint, moet u precies weten wat er wordt getest. Stel uzelf deze vragen:

  • Welke systemen zijn business-critical?
  • Welke applicaties verwerken klantdata?
  • Zijn er systemen die absoluut niet verstoord mogen worden?
  • Wat is het netwerksegment dat in scope is?

Een duidelijke scope voorkomt misverstanden en zorgt dat de tester zijn tijd optimaal inzet.

Stap 2: Documenteer uw omgeving

Verzamel de volgende informatie:

  • Netwerktopologie (IP-ranges, segmentering)
  • Lijst van webapplicaties en API's
  • Technologiestack (welke frameworks, CMS, databases)
  • Lijst van gebruikte clouddiensten
  • Firewallregels en beveiligingsmaatregelen

U hoeft dit niet allemaal te delen als u een black-box test doet, maar het helpt om een realistische scope af te bakenen.

Stap 3: Regel de juridische kaders

Dit is niet optioneel. U heeft nodig:

  1. Ondertekend Contract met duidelijke scope en aansprakelijkheidsbegrenzing
  2. NDA (Non-Disclosure Agreement) — standaard bij GetHacked
  3. Letter of Authorization — een document dat GetHacked toestemming geeft om de test uit te voeren

Informeer ook uw hostingprovider. Sommige providers verbieden pentests op hun infrastructuur of vereisen voorafgaande melding.

Stap 4: Informeer de juiste mensen intern

Niet iedereen hoeft te weten dat er een pentest plaatsvindt — maar de juiste mensen wel:

  • IT-afdeling / systeembeheerder: Zij moeten weten dat alarmen kunnen afgaan en dat dit normaal is.
  • Security Operations Center (als aanwezig): Zodat zij niet in paniek raken bij het zien van aanvalssignaturen.
  • Directie of CISO: Zij moeten de scope hebben goedgekeurd.

Als u een Red Team assessment doet (waarbij de IT-afdeling ook niet weet dat de test plaatsvindt), zijn andere afspraken nodig.

Stap 5: Zorg voor een testomgeving (indien relevant)

Voor webapplicaties: heeft u een staging-omgeving die de productieomgeving spiegelt? Testen op productie geeft de meest realistische resultaten, maar brengt ook risico's mee. Bespreek dit expliciet met uw pentester.

Stap 6: Definieer de regels van engagement

  • Welke testmethodes zijn toegestaan? (DoS-aanvallen? Social engineering?)
  • Wat zijn de tijdvensters? (Alleen tijdens kantooruren, of ook 's nachts?)
  • Wie is het contactpunt tijdens de test?
  • Wat is het noodprotocol als er iets fout gaat?

Stap 7: Plan het rapport en de nabespreking

Afspraken over de deliverables:

  • Wanneer verwacht u het rapport?
  • In welk formaat? (PDF, technisch en executive summary)
  • Wie presenteert de bevindingen? (Technisch team, directie, of beide?)
  • Is een re-test inbegrepen na het verhelpen van kwetsbaarheden?

Conclusie

Een goed voorbereide pentest levert betere, diepere en actiebaardere bevindingen op. Besteed een halve dag aan voorbereiding — het levert weken aan betere security-inzichten op.

Bij GetHacked begeleiden we u door het hele proces, van scope-definitie tot nabespreking. We zorgen dat u weet wat u kunt verwachten, wanneer, en wat u ermee moet doen.

Terug naar blog
Hoe bereid je je bedrijf voor op een pentest? | GetHacked Blog | GetHacked