Eind mei voerden wij een grondige penetratietest uit voor een semi-overheidsorganisatie actief in de sport- en gezondheidssector. Voor deze opdrachtgever was het de eerste keer dat zij hun digitale infrastructuur op deze manier lieten testen. Hierdoor was het extra belangrijk om naast technische diepgang ook heldere communicatie en vertrouwen te bieden gedurende het traject.
Het traject begon met een zorgvuldig voortraject, waarin we het testprotocol en de verwachte aanpak uitvoerig toelichtten. Door deze heldere communicatie vooraf wisten alle betrokkenen wat ze konden verwachten, wat zorgde voor een goede voorbereiding en soepele samenwerking.
De pentest werd uitgevoerd via een combinatie van black box- en grey box-methodes. Hierdoor konden zowel externe als interne risico’s in kaart worden gebracht, en werd het volledige aanvalsoppervlak van de webapplicatie grondig onderzocht. Tijdens het testen hielden we dagelijks contact met de opdrachtgever. Dagstarts en -afsluitingen boden structuur in de communicatie en gaven ruimte om updates te delen, vragen te beantwoorden en eventuele zorgen direct te adresseren.
Gedurende het testproces zijn meerdere concrete kwetsbaarheden geïdentificeerd. Deze bevindingen zijn opgenomen in een overzichtelijk en gestructureerd rapport. Bijzonder aan deze test was dat we niet alleen de zwakke punten benoemden, maar ook actief de positieve aspecten van de beveiliging onder de aandacht brachten. Door aan te geven waar het goed gaat, helpen we organisaties met vertrouwen verder te bouwen aan hun digitale weerbaarheid, i.p.v. zich alleen te richten op tekortkomingen.
De rapportbespreking vond plaats in een gezamenlijke sessie, waarbij we in detail ingingen op de ‘security posture’ van de webapplicatie. Aan de hand van concrete voorbeelden maakten we inzichtelijk welke risico’s het belangrijkst waren, en hoe deze in verhouding stonden tot bedrijfsprocessen en gevoeligheid van de gegevens. De aanbevelingen in het rapport waren gericht op haalbaarheid en praktische uitvoerbaarheid. Geen abstracte theorie, maar direct toepasbare verbetermaatregelen die passen bij de schaal en technische volwassenheid van de organisatie.
De opdrachtgever sprak na afloop zijn grote tevredenheid uit over het gehele traject. Met name de combinatie van inhoudelijke kwaliteit, transparantie, scherpe prijsstelling en het vermogen om complexe materie begrijpelijk te maken voor verschillende niveaus binnen de organisatie werd zeer gewaardeerd.
Na afronding van de test startte een natraject met ruimte voor reflectie en feedback. Samen met de opdrachtgever bespraken we wat goed ging en waar het proces nog verder geoptimaliseerd kon worden. Deze inzichten gebruiken we om toekomstige pentesten nog effectiever te maken, voor deze klant en in bredere zin.
Kortom, dit project liet zien hoe een grondige technische aanpak hand in hand kan gaan met duidelijke communicatie, klantgerichte advisering en gezamenlijke groei in digitale weerbaarheid.
