Moet de pentester ook kunnen hacken?

Het beschikbaar stellen van informatiebeveiligers doen wij al een behoorlijke tijd met veel plezier en toewijding. Ben je er niet dagelijks mee bezig, dan snap ik dat het je soms wat meer moeite kost om een klantvraag of een professional inhoudelijk te begrijpen. Voor ons is het over het algemeen gesneden koek, wij hebben immers meer dan twintig jaar ervaring in huis in de informatiebeveiliging. Vorige week vertelde een klant mij iets wat mij zo zeer verbaasde, dat ik dit echt met jullie wil delen.

Onze klant zit zelf ook al meer dan 20 jaar in de IT security business. Hij was op zoek naar een pentester. Ik belde hem met de vraag of het om infra- of applicatieniveau ging, welke business er van de omgeving gebruik maakt, hoe het landschap eruit ziet en vele andere vragen. Hij nam een diepe zucht en vervolgens volgde er een stilte. Ik vroeg; “Hallo, ben je er nog?” Mijn klant zei: “Ik ben zo blij dat je belt! Het moet me even van het hart wat me net is overkomen. Ik ben net gebeld door een partij die voor ons de kandidaten mag leveren via hun mantelovereenkomst met onze inkooporganisatie. Er was een telefoontje over de pentester. Ik zat in vergadering maar omdat een snelle en goede kandidaat voor mij op dit moment erg belangrijk is, heb ik de vergadering speciaal verlaten. Een alleraardigste meneer met een allervriendelijkste stem vroeg mij: "Is het een vereiste dat de pentester naar welke u momenteel zoekt ook moet kunnen hacken?" Ik was totaal verbijsterd.

Mensen die in de informatiebeveiliging actief zijn, die snappen die verbijstering. De klant wil graag goed geholpen worden en wil kunnen vertrouwen op haar leveranciers. Een vraag als deze draagt niet bij aan dit vertrouwen, sterker nog, in dit geval werd de klant een beetje geïrriteerd.

De business heeft weinig tijd. Snel en goed geholpen worden door mensen die inhoudelijk snappen wat je wilt. Daar gaat het om! Wij hebben deze klant wel goed kunnen helpen en hem een goede pentester kunnen leveren. Vrolijk word ik van het feit, dat ik klanten blij kan maken door ze inhoudelijk op het gebied van informatiebeveiliging te begrijpen. Omzet is niet het doel, maar de klant écht goed helpen, daar gaat het om! Een leuke en zeer welkome bijkomstigheid is dat de omzet dan vanzelf komt.