OSCP · OSWE · OSEP gecertificeerd | Joost voert elke test zelf uit — geen juniors | Reactie binnen 1 werkdag | Gevestigd in Haarlem

Hoe kies je een pentestbedrijf? 7 vragen die je moet stellen

Door /

Hoe kies je een pentestbedrijf? 7 vragen die je moet stellen

De markt voor penetratietests is groot en onoverzichtelijk. Van grote consultancybureaus tot eenmanszaken — iedereen noemt zichzelf pentester. Hoe kies je een betrouwbare partij die echt bij jouw situatie past? Dit zijn de 7 vragen die je moet stellen.

1. Welke certificeringen hebben jullie pentesters?

Kijk naar erkende, praktijkgerichte certificeringen — niet alleen papieren kwalificaties. Relevante certificeringen zijn:

  • OSCP (Offensive Security Certified Professional) — hands-on, breed erkend
  • CEH (Certified Ethical Hacker) — breed, meer theoretisch
  • CREST — gebruikt in UK/EU overheidsopdrachten
  • eWPT / eCPPT — praktijkgerichte web/infrastructure specialisaties

Vraag specifiek wie de test uitvoert — niet alleen welke certificeringen het bedrijf claimt te hebben.

2. Voeren jullie de test handmatig uit of alleen met tools?

Geautomatiseerde scanners vinden bekende kwetsbaarheden snel, maar missen logicafouten, business-laag kwetsbaarheden en creatieve aanvalsscenario’s. Een serieuze penetratietest is altijd een combinatie: tools voor efficiency, handmatig werk voor diepte. Vraag naar de verhouding.

3. Wat staat er precies in het rapport?

Een goed pentest-rapport bevat:

  • Een managementsamenvatting voor niet-technisch publiek
  • Technische bevindingen met reproductiestappen en screenshots
  • CVSS-scores of vergelijkbare risicoklassen
  • Concrete hersteladvies per bevinding

Vraag om een geanonimiseerd voorbeeldrapport. Als een bedrijf dat niet kan leveren, is dat een alarmsignaal.

4. Hebben jullie ervaring in mijn branche of met mijn type systemen?

Een pentest op een zorgapplicatie vereist andere kennis dan een test op een SaaS-platform of een overheidswebsite. Specifieke branche-ervaring (zorg, overheid, fintech) zorgt voor efficiëntere tests en betere risicoduiding.

5. Hoe gaan jullie om met gevoelige data die je tijdens de test tegenkomt?

Tijdens een pentest kan de tester toegang krijgen tot productiedata, klantgegevens of interne documenten. Vraag naar:

  • Data handling-protocol (welke data wordt opgeslagen, hoe lang, hoe beveiligd?)
  • NDA en geheimhoudingsovereenkomst vóór aanvang
  • Bewerkersovereenkomst (AVG) indien van toepassing

6. Is een retest inbegrepen?

Na een pentest wil je kwetsbaarheden oplossen en controleren of dat gelukt is. Vraag of een gerichte retest is inbegrepen of apart geprijsd. Een retest hoeft geen volledige hertest te zijn — een gerichte controle op de gevonden items volstaat meestal.

7. Wat is de communicatie tijdens de test?

Goede pentesters communiceren proactief. Als ze een kritieke kwetsbaarheid vinden, melden ze dat dezelfde dag — niet pas in het eindrapport drie weken later. Vraag naar het escalatieprotocol voor kritieke bevindingen.

Wat maakt MonkeysICT anders?

MonkeysICT is een gespecialiseerd pentestbedrijf gevestigd in Haarlem. We werken met gecertificeerde pentesters, leveren altijd een handmatig uitgevoerde test en rapporteren transparant — inclusief managementsamenvatting en hersteladvies. Onze aanpak is direct, persoonlijk en gericht op uw situatie.

Vraag een offerte aan of lees meer over onze aanpak op de pagina penetratietesten.

Gerelateerde artikelen en diensten

Related Posts

Scroll naar boven