Kwaliteit pentesten waarborgen
In de wereld van Cyber Security is voorkomen altijd beter dan genezen. Je doet er als bedrijf goed aan om zo nu en dan je belangrijkste, maar ook minder belangrijke systemen, preventief te laten testen middels zogenaamde penetratie testen (pentesten). Er zijn veel gespecialiseerde bedrijven om dergelijke testen uit te voeren, maar tot voorkort was het moeilijk in te schatten of deze bedrijven werkzaamheden op adequate wijze uitvoerden. Daarom heeft de belangenvereniging Cyberveilig Nederland in samenwerking met het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) het keurmerk voor pentesten in het leven geroepen. Via dit keurmerk geven Cyber Security bedrijven aan dat zij pentesten uitvoeren conform de richtlijnen van de brancheorganisaties.
Certificatieschema? Certificaat? Keurmerk?
Het CCV heeft als belangrijke taak om certificatieschema’s waarin de afgesproken kwaliteitsnormen zijn opgenomen te ontwikkelen en beheren. Het gaat hier tevens om richtlijnen waaraan certificerende instellingen (CI’s) zich moeten houden als zij een licentieovereenkomst willen aangaan met het CCV. Deze licentieovereenkomst is verplicht voor de CI om certificatiecontracten af te sluiten met de dienstverlener (de Cyber Security bedrijven). Wanneer een dienstverlener met succes een certificatieprocedure heeft doorlopen met een CI mogen zij zich profileren als “geregistreerd voor het leveren van gecertificeerde pentesten” en mogen zij het bijkomende keurmerk van het CCV gebruiken bij testrapportages.
Figuur 1: Visueel overzicht stakeholders.
Eisen voor de dienstverlener
Het certificatieschema van het CCV stelt een aantal kwaliteitseisen waaraan een dienstverlener moet voldoen om in aanmerking te komen voor het keurmerk. Het uitgangspunt is, net zoals andere kwaliteitsnormen zoals ISO en NEN, dat de dienstverlener continu moet aantonen dat het voldoet aan de geldende eisen. Het is dus geen momentopname, maar een continu proces wat periodiek gecontroleerd moet worden.
Vakbekwaamheid personeel
Opvallend is dat kwalificatie van de medewerkers zeer belangrijk is. Het CCV stelt: “De kwaliteit van het geleverde werk is sterk afhankelijk van de vakbekwaamheid van het personeel: de juiste mensen moeten het juiste werk doen”. Daarbij geeft het CCV ook specifieke kwalificatie-eisen in de vorm van certificeringen die pentesters dienen te halen.
De certificatieprocedure
Wanneer je als dienstverlener denkt te voldoen aan de kwaliteitseisen van het CCV, kan je een certificatie aanvraag doen. Daarbij biedt de dienstverlener de volgende gegevens aan bij de CI:
- Bewijs van registratie (inschrijving bij KvK);
- Verklaring dat de dienstverlener zich zal houden aan de genoemde eisen, voorwaarden en verplichtingen;
- De eventuele aanwezigheid van meerdere vestigingen die pentesten leveren.
Vervolgens zal de CI een initiële beoordeling uitvoeren waarin o.a. wordt gekeken naar de implementatie van het kwaliteitssysteem door middel van een audit, de primaire processen en de geleverde/te leveren pentesten.
De bevindingen van de initiële beoordeling worden vermeld in een rapportage. Eventuele geconstateerde afwijkingen worden geclassificeerd als minor of major. Op basis van de rapportage zal de CI een uitspraak doen. Bij een positief besluit krijgt de dienstverlener het certificaat en wordt het als vakman geregistreerd bij het CCV. Bij een negatief besluit zal de dienstverlener opnieuw een aanvraag moeten doen.
Periodieke beoordeling
Zoals eerder benoemd is het certificatieproces geen momentopname, maar continu in beweging. Na een positief besluit (en dus een certificaat) is de dienstverlener verplicht om ten minste jaarlijks een periodieke beoordeling te laten uitvoeren door de CI. Is die beoordeling negatief, dan kan de dienstverlener geschorst worden voor het gebruiken van het certificaat. Kan de dienstverlener tijdens de schorsingsperiode geen verbetering laten zien, dan kan het certificaat ook helemaal worden ingetrokken. De dienstverlener zal dan weer opnieuw het certificatieproces moeten doorlopen om gebruik te mogen maken van het keurmerk.
Meer weten?
Sparren over het selecteren van een gecertificeerde pentestleverancier? Of wellicht levert jouw organisatie zelf pentesten. De Consultants van QSN helpen jouw organisatie graag bij het certificatieproces voor dienstverleners. Neem vrijblijvend contact op voor meer informatie.
Bron: CCV Certificatieschema
