Voor veel organisaties begint een pentest niet vanuit nieuwsgierigheid, maar vanuit noodzaak.
Een audit komt eraan. Een klant stelt eisen. Nieuwe wetgeving, zoals NIS2, vraagt om aantoonbare beveiligingsmaatregelen. De vraag luidt dan niet: “Hoe veilig zijn we?”, maar: “Wat moeten we doen om te voldoen?”
Een pentest is in die context vaak het logische antwoord.
En dat is op zichzelf niet verkeerd. Maar het wordt problematisch wanneer een pentest alleen wordt gezien als een compliance-oefening. Want wie pentesten reduceert tot een vinkje, mist precies waar de echte waarde zit.
Compliance als startpunt (en waarom dat logisch is)
Compliance is voor veel organisaties de eerste serieuze aanleiding om security structureel aan te pakken. Dat heeft een paar duidelijke redenen:
- wet- en regelgeving vereist aantoonbare maatregelen;
- klanten en partners vragen expliciet om bewijs;
- bestuur en management willen risico’s beheersbaar maken;
- auditors willen objectieve onderbouwing zien.
Een pentest levert dat bewijs. Er is een scope, een rapport, bevindingen en opvolging. Dat past goed binnen governance- en auditstructuren.
Maar compliance stelt zelden de vraag die aanvallers wél stellen:
Wat kan ik hier in de praktijk bereiken?
Waar compliance vaak stopt
Veel compliance-gedreven pentesten hebben dezelfde kenmerken:
- een beperkte scope (“alleen extern”, “alleen productie”);
- focus op bekende kwetsbaarheden;
- nadruk op scores, classificaties en checklists;
- weinig aandacht voor samenhang tussen bevindingen.
Het resultaat is vaak een rapport dat formeel klopt, maar inhoudelijk weinig vertelt over het werkelijke risico. De bevindingen staan los van elkaar, en het blijft onduidelijk wat een aanvaller daadwerkelijk zou kunnen doen.
Dat is geen onwil, maar een gevolg van het doel:
aantonen dat je iets hebt gedaan, niet per se begrijpen wat er mis kan gaan.
Security begint waar compliance eindigt
Echte security begint op het moment dat je verder kijkt dan de verplichting.
Niet: “Voldoen we?”
Maar: “Wat gebeurt er als dit misbruikt wordt?”
Een inhoudelijk sterke pentest kijkt daarom niet alleen naar losse kwetsbaarheden, maar naar:
- hoe systemen en rechten samen een aanval mogelijk maken;
- welke aanvalspaden realistisch zijn;
- waar een aanvaller na binnenkomst verder kan komen;
- welke bevindingen elkaar versterken.
Juist die samenhang ontbreekt vaak in compliance-gedreven trajecten, terwijl dit in de praktijk het verschil maakt tussen een incident en een gecontroleerd risico.
Waarom aanvallers zich niet aan scopes houden
Compliance werkt met afbakening. Aanvallers niet.
Een aanvaller stopt niet bij:
- één webapplicatie;
- één kwetsbaarheid;
- één netwerksegment.
Zodra er een ingang is, begint het echte werk pas: verkennen, combineren, escaleren. Denk aan een ogenschijnlijk lage kwetsbaarheid die in combinatie met een verkeerde configuratie leidt tot volledige toegang.
Pentesten die verder gaan dan compliance proberen dit perspectief te volgen. Niet om zoveel mogelijk issues te vinden, maar om realistische scenario’s inzichtelijk te maken.
Wat een volwassen pentest wél oplevert
Wanneer een pentest niet alleen wordt ingezet om te voldoen, maar om te begrijpen, ontstaat er echte waarde:
- technische teams krijgen inzicht in waarom iets een risico is;
- management ziet welke scenario’s echt impact hebben;
- prioriteiten worden duidelijker dan bij een lange lijst bevindingen;
- verbeteringen zijn gerichter en effectiever.
Compliance vraagt om aantoonbaarheid. Security vraagt om inzicht.
Een goede pentest bedient beide, maar alleen als het doel verder reikt dan het vinkje.
Pentesten als structureel onderdeel van risicobeheersing
Organisaties die pentesten uitsluitend inzetten rond audits, lopen structureel achter de feiten aan. Kwetsbaarheden ontstaan continu: door nieuwe releases, configuratiewijzigingen, extra koppelingen of groei van de omgeving.
Daarom zien we dat volwassen organisaties pentesten inzetten als:
- periodieke reality check;
- aanvulling op monitoring en vulnerability management;
- input voor risicodiscussies op managementniveau;
- onderbouwing voor investeringskeuzes in security.
Compliance is dan niet langer de aanleiding, maar een logisch gevolg.
Conclusie: compliance is de aanleiding, inzicht is het doel
Pentesten zullen steeds vaker nodig zijn om te voldoen aan wetgeving en eisen van toezichthouders. Dat is de realiteit. Maar organisaties die het daarbij laten, missen de kern.
De echte waarde van een pentest zit niet in het rapport, maar in het inzicht dat het oplevert:
hoe veilig ben je echt, en waar zit het risico dat er toe doet?
Compliance kan de start zijn.
Maar pentesten mogen daar nooit eindigen.