Hoe overtuig je jouw directie van het nut van een pentest?

Je kunt een overzicht laten zien van tientallen kwetsbaarheden, logfiles van intrusion detection systems of netwerkdiagrammen vol VLAN’s, firewalls en subnetten. Misschien wijs je ook op onvoldoende patch management op kritieke servers, externe API’s zonder throttling, risico op privilege escalation in Active Directory of verouderde TLS-configuraties. “Eh, wat bedoel je precies?”, is wat je zo ongeveer als laatste hoorde.

Voor jou klinkt dit allemaal logisch en urgent, maar voor een CEO of CFO is het een abstracte woordenbrij; ze hebben geen beeld bij wat dit betekent voor klanten, processen of de continuïteit van de organisatie. Het gevolg: geen pentest. Gaat er iets mis, dan word je er alsnog op aangesproken.

Communicatie is cruciaal. Directies luisteren wél als je scenario’s schetst die hun zorgen raken. Het is als voorbeeld eenvoudig te laten zien dat één per ongeluk geopende phishingmail toegang kan geven tot HR-, CRM- en financiële systemen. De impact kan enorm zijn: reputatieschade, klantverlies, boetes.

Spreek over onwenselijke scenario’s om de impact tastbaar te maken. Bijvoorbeeld: “Stel dat een aanvaller via deze toegang facturatiegegevens manipuleert, waardoor betalingen vertraagd of verkeerd uitgevoerd worden. Dit leidt direct tot omzetverlies en ontevreden klanten.” Kortom, taalgebruik is van groot belang, maar ook aansluiting vinden bij de koers die directieleden gekozen hebben.

Directies houden niet van problemen (wie wel?). Nog beter is het om daarom over oplossingen te praten. Liefst in de vorm van meerdere alternatieven. Geef een indicatie aan wat de financiële impact inhoudt van het wel of niet uitvoeren van de oplossing, in dit geval een pentest. Een positieve houding brengt hen eerder in beweging.

Directies investeren eerder als het ten gunste komt van strategische doelen. Zorg er daarom eerst voor dat deze doelen bekend zijn. Een pentest kan bijvoorbeeld helpen bij het behalen of behouden van een ISO 27001-certificering: door kwetsbaarheden op te sporen en te verhelpen, laat je zien dat de organisatie structureel werkt aan informatiebeveiliging en risicobeheer. Dit versterkt niet alleen compliance, maar ook het vertrouwen van klanten en partners in de kwaliteit en veiligheid van de dienstverlening.

Praat over impact, ken de strategische doelen, begrijp wat er in de business omgaat. Dat heb je al kunnen lezen. Maar voordat je jouw pitch voor een pentest doet, is het raadzaam ook managers van andere afdelingen te betrekken. Gebruik de kracht van het collectief. Voor HR kan een pentest laten zien hoe medewerkers- en salarisgegevens beschermd blijven tegen datalekken volgens AVG-richtlijnen. Logistiek kan inzicht krijgen in de kwetsbaarheid van planning en supply chain-systemen. Customer Service ziet hoe klantportalen en communicatiekanalen beschermd blijven, zodat de dienstverlening ongestoord doorgaat. Door deze impact concreet te koppelen aan de dagelijkse verantwoordelijkheden van afdelingen, creëer je breed draagvlak en versterk je de kans dat de directie instemt.

Resultaten tellen. Als ze positief zijn dan wordt het ongetwijfeld eenvoudiger om opnieuw budget te krijgen. Dat is belangrijk, want een pentest is niet iets eenmaligs. Communiceer daarom tussentijds over wat pentesten betekent hebben voor de continuïteit, de kwaliteit, de productiviteit en veiligheid.

OneXillium voldoet aan erkende normen voor informatiebeveiliging en beschikt over ISO 27001:2022 en CCV 2.0 Pentest-certificeringen. Lees er alles over na op de pentest pagina of neem contact met ons op.

Ook als je extra overtuigingskracht nodig hebt helpen we je graag.