Nieuws

Ik wil een miauw pentest laten uitvoeren

- door Nigel van Houten - Laat een reactie achter
Miauw compliant pentest MIAUW

Cyberbeveiliging is tegenwoordig geen optie meer, maar een absolute noodzaak. Als projectmanager, zeker binnen de Rijksoverheid, draag je een grote verantwoordelijkheid voor de veiligheid van gevoelige data en systemen. Penetratietesten (pentests) zijn een cruciaal middel om kwetsbaarheden op te sporen. Helaas worden deze tests vaak ongestructureerd of oppervlakkig uitgevoerd, waardoor problemen over het hoofd kunnen worden gezien en risico’s en onnodige kosten toenemen. Dit is waar de Methodiek voor Informatiebeveiligingsonderzoek met Auditwaarde, kortweg MIAUW, een oplossing biedt.

Wat is MIAUW en waarom is het belangrijk voor projectmanagers?

MIAUW is een open source methodiek die is ontwikkeld binnen de Nederlandse overheid om pentesten structureel te verbeteren. De afkorting staat voor “Methodiek voor Informatiebeveiligingsonderzoek met Auditwaarde”. De Tweede Kamer heeft unaniem ingestemd met een motie om pentest-opdrachten overheidsbreed te standaardiseren, waarbij MIAUW als voorbeeld wordt genoemd.

Voor projectmanagers is MIAUW van groot belang omdat het de vaak “magische” en onduidelijke wereld van pentesten omzet in een gestandaardiseerde, controleerbare aanpak. Dit biedt bestuurders, en dus ook jou als projectmanager, meer zekerheid en controle over de cyberveiligheid, zeker in het licht van wettelijke verplichtingen zoals de NIS2-richtlijn.

De kracht van MIAUW ligt in diverse voordelen:

  • Standaardisatie: Door het gebruik van uniforme testrichtlijnen worden de basisaspecten van informatiebeveiliging altijd gecontroleerd.
  • Rapport met auditwaarde: Na het onderzoek wordt een officieel proces-verbaal opgesteld dat niet alleen technische bevindingen documenteert, maar bestuurders ook helpt om “in control” te zijn. Dit rapport van een gekwalificeerde auditor dient als bewijsvoering.
  • Kostenreductie: Een gestructureerde aanpak voorkomt dubbel werk en test niet dezelfde softwarecomponenten opnieuw, wat kosten bespaart.
  • Brug tussen bestuur en techniek: MIAUW biedt een duidelijk kader dat technische resultaten vertaalt naar concrete inzichten voor besluitvormers.
  • Transparantie: De klant krijgt het volledige reproduceerbare en gestandaardiseerde pentestrapport, wat voorheen vaak beperkt was.

Hoe laat je een MIAUW-compliant pentest uitvoeren?

Als projectmanager is het essentieel om te weten waar je op moet letten bij het aanvragen en begeleiden van een MIAUW-compliant pentest. Hier zijn de belangrijkste stappen en aandachtspunten:

  1. Vraag een MIAUW-compliant offerte aan:
    • De offerte moet expliciet vermelden dat de pentest wordt uitgevoerd volgens de principes van het MIAUW-framework.
    • Zorg voor een duidelijke scopebeschrijving, inclusief de te testen systemen, applicaties, eventuele hertesten en additionele consultancy.
    • De leverancier moet beschikken over aantoonbaar gekwalificeerde pentesters met relevante certificeringen, zoals OSCP, OSEP, OSCE en eWPTX.
  2. Verifieer de methodologie en uitvoering:
    • De pentest moet worden uitgevoerd met behulp van erkende standaarden en richtlijnen, zoals OWASP (inclusief MASTG/WSTG), CIS Benchmarks en NIST. Een organisatie als Sunbytes werkt bijvoorbeeld al jaren volgens deze standaarden en omarmt MIAUW.
    • De methodologie moet zowel handmatige als geautomatiseerde technieken omvatten voor een grondige analyse.
    • Zorg ervoor dat de test realistische aanvalsscenario’s simuleert en verder gaat dan alleen oppervlakkige kwetsbaarheden.
    • De methodologie en resultaten moeten reproduceerbaar en verifieerbaar zijn. Dit omvat gedetailleerde documentatie van de uitgevoerde tests en bevindingen.
  3. Rapportage en audit: Dit is het hart van de “auditwaarde” van MIAUW.
    • Het rapport moet in duidelijke en begrijpelijke taal zijn geschreven, toegankelijk voor zowel technische als niet-technische stakeholders.
    • Elke gevonden kwetsbaarheid moet gedetailleerd worden beschreven, inclusief de ernst (volgens CVSS), de potentiële impact en de aanbevolen remedie.
    • De bevindingen moeten worden geprioriteerd op basis van ernst en potentiële impact.
    • Een audit trail en de onderliggende tests en bewijzen moeten worden meegeleverd, die de reproduceerbaarheid en verifieerbaarheid van de resultaten garanderen. De pentester dient hiervoor een handtekening te zetten.
    • Het unieke aan MIAUW is de toevoeging van een onafhankelijke auditor die controleert of het proces goed is doorlopen en een proces-verbaal opstelt. Dit rapport biedt zekerheid over de bevindingen en het “in control zijn”.
  4. Nazorg en overige aspecten:
    • De leverancier moet nazorg en ondersteuning bieden na de pentest, inclusief assistentie bij het implementeren van de aanbevolen remedies.
    • Zorg voor strikte protocollen voor vertrouwelijkheid en discretie met betrekking tot de gegevens van de opdrachtgever.
    • De offerte moet een transparante specificatie van de kosten en betalingsvoorwaarden bevatten.

Door een MIAUW-compliant pentest te laten uitvoeren, zorg je ervoor dat je niet alleen kwetsbaarheden opspoort, maar ook dat het proces en de resultaten van de pentest transparant, reproduceerbaar en van auditwaarde zijn. Dit stelt jou als projectmanager in staat om weloverwogen beslissingen te nemen en aantoonbaar “in control” te zijn van de informatiebeveiliging binnen je project of organisatie.

Download hier je gratis Miauw Pentest checklist

Via onze partner Sunbytes, medeoprichters van Elusyn Cybersecurity, kun je gratis een Miauw pentest checklist downloaden.

Gerelateerde berichten

prince 2 cyber risico management

Cyber Risico’s in Prince2

Politiehack: meepraten over maatregelen

Het Voortgangsrapport: De Spiegel van je Project

Over Nigel van Houten

Mede-eigenaar van InTellegus; cybersecurity, strategie en IT-consultancy. Gastblogger op Projectsucces.nl, actief als bestuurder en adviseur, maar staat graag met z'n voeten in de klei. Vader, nerd, gamer, bootcamper en airsofter.

Bekijk alle berichten van Nigel van Houten →

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.