Methodiek voor Informatiebeveiligingsonderzoek met Auditwaarde (MIAUW)

MIAUW: Een Gestructureerde Aanpak voor Betrouwbaar Informatiebeveiligingsonderzoek

In een wereld waarin cybersecurity-risico’s steeds complexer worden en wetgeving zoals de NIS2-richtlijn en de Cyber Resilience Act organisaties dwingt om aantoonbaar “in control” te zijn, is het uitvoeren van een penetratietest (pentest) niet langer voldoende. De vraag is niet alleen of een test is uitgevoerd, maar ook hoe en met welke zekerheid de resultaten betrouwbaar en reproduceerbaar zijn.

Daarom is de Methodiek voor Informatiebeveiligingsonderzoek met Auditwaarde (MIAUW) ontwikkeld. Onder leiding van Brenno de Winter, in samenwerking met experts uit het veld, biedt deze open methodiek een gestructureerd kader voor penetratietesten, waarmee bedrijven en overheden met zekerheid kunnen aantonen dat hun systemen op een controleerbare, herhaalbare en transparante manier getest zijn.

Waarom is Miauw bijzonder?

Veel traditionele penetratietesten missen een gestandaardiseerde aanpak, wat leidt tot wisselende resultaten en onzekerheid over de volledigheid van het onderzoek. Miauw is ontworpen om hier verandering in te brengen. De methodiek zorgt ervoor dat:

  • Elke stap van de test navolgbaar en onweerlegbaar is.
  • Er een proces-verbaal kan worden opgesteld door een auditor, zodat externe partijen de validiteit van het onderzoek kunnen bevestigen.
  • De scope, context en onderzoeksdiepgang helder zijn gedocumenteerd.
  • Bevindingen objectief worden ingeschaald, zodat prioriteiten duidelijk worden.
  • Alle uitgevoerde tests en bevindingen herhaalbaar zijn, waardoor audits en compliance-controles eenvoudiger worden.

Miauw is niet zomaar een standaard voor pentesten; het biedt een holistische methode die zowel technologische als juridische zekerheid creëert.

Open-source als basis voor transparantie en betrouwbaarheid

Miauw is een open-source methodiek, wat betekent dat iedereen de principes kan inzien, gebruiken en verbeteren. Dit zorgt niet alleen voor breed draagvlak en transparantie, maar voorkomt ook afhankelijkheid van commerciële partijen die tests en resultaten in een ‘black box’ verbergen.

Door de open aard van Miauw kunnen bedrijven en overheden:

  • Zelf de kwaliteit controleren van het onderzoek en de rapportage.
  • Samenwerken met onafhankelijke experts en auditors voor validatie.
  • Makkelijker voldoen aan compliance-eisen, omdat de methodiek is afgestemd op internationale normen.

Miauw sluit aan bij waardevolle, bestaande initiatieven zoals het CCV-pentestkeurmerk, waarmee het een gestandaardiseerde en betrouwbare manier biedt om informatiebeveiligingsonderzoeken te toetsen en beoordelen.

Technische kernprincipes van Miauw

De methodiek rust op een aantal essentiële principes die ervoor zorgen dat pentesten niet alleen technisch diepgaand zijn, maar ook juridisch en audit-technisch standhouden.

Miauw zorgt ervoor dat alle uitgevoerde tests gedocumenteerd en verifieerbaar zijn. Dit betekent dat:

  • Elke stap van de test onderbouwd is met bewijs (zoals screenshots en logs).
  • Een auditor het onderzoek kan beoordelen zonder het volledig opnieuw te hoeven uitvoeren.
  • Het duidelijk is wie wat heeft getest, hoe en waarom.

Hierdoor ontstaat een audit-trail waarmee organisaties aan toezichthouders kunnen aantonen dat een test correct en volledig is uitgevoerd.

Reproduceerbaarheid en vergelijking in de tijd

Met Miauw kunnen security-teams de status van een systeem op verschillende momenten vergelijken. Dit is cruciaal, omdat kwetsbaarheden niet altijd direct worden ontdekt, maar pas later worden geactiveerd of misbruikt.

  • De methodiek legt vast welke tests zijn uitgevoerd en wat de resultaten waren.
  • Hierdoor kan een organisatie eenvoudig beoordelen of de security posture verbetert of verslechtert.
  • Dit ondersteunt het principe van “continuous security monitoring”, zoals vereist onder NIS2.

Beleids-gestuurde alerts met business rules

Niet alle kwetsbaarheden zijn even belangrijk, en niet elk technisch probleem vormt een bedrijfsrisico. Miauw maakt het mogelijk om business rules toe te passen op pentest-resultaten, zodat meldingen en rapportages worden gefilterd op basis van wat voor de organisatie relevant is.

  • Organisaties kunnen bepalen wanneer en waarop alerts worden gegenereerd.
  • Dit voorkomt ‘ruis’ van lage-risico meldingen en richt de focus op wat er echt toe doet.
  • Risico’s worden in de juiste business context geplaatst, zodat management en security-teams beter onderbouwde beslissingen kunnen nemen.

Miauw in de praktijk: een betere manier van pentesten

Miauw wordt al toegepast in sectoren waar security en compliance essentieel zijn, zoals de overheid, gezondheidszorg en financiële dienstverlening. Door een combinatie van technische diepgaande tests en auditmechanismen zorgt Miauw ervoor dat:

✅ Informatiebeveiligingsonderzoek een aantoonbare zekerheid biedt, in plaats van een subjectieve momentopname.
✅ Organisaties hun compliance en security-verantwoordelijkheden beter kunnen invullen door reproduceerbare resultaten en duidelijke audit-trails.
✅ Pentest-resultaten niet afhankelijk zijn van de interpretatie van één tester, maar gestandaardiseerd worden gerapporteerd en gevalideerd.

Otis als mascotte van MIAUW

Omdat de afkorting MIAUW aan katten doet denken, was het niet meer dan logisch om een kat als mascotte te hebben. Dat is Otis, de schitterende kat van Brenno de Winter, geworden. Uiteraard in een houding waarin hij zit te mauwen. Otis is als ocikat van karakter onderzoekend, vriendelijk en sociaal. Overigens is hij een tikkeltje dominant en niet te beroerd te laten weten dat hij iets wil of juist niet goedkeurt. OpenKAT

Waarom Miauw een game-changer is in security

De ontwikkeling van Miauw is een direct antwoord op de groeiende vraag naar transparante, herhaalbare en auditbare pentesten. Door deze methodiek te volgen, kunnen organisaties niet alleen veiliger opereren, maar ook aan toezichthouders, klanten en interne stakeholders aantonen dat hun security-beleid voldoet aan de hoogste standaarden.

Wilt u weten hoe Miauw uw organisatie kan helpen om securitytests naar een hoger niveau te tillen? Neem contact met ons op en ontdek hoe deze innovatieve methodiek kan bijdragen aan een betrouwbare en aantoonbaar veilige digitale omgeving.

Bent u klaar om uw pentest-strategie te professionaliseren? Wij helpen u graag verder.