Ethical hacker

Een ethical hacker (ook wel IT security consultant, penetratietester of pentester) is iemand die voor bedrijven fouten en beveiligingsproblemen opspoort in systemen, netwerken, applicaties en servers, om hiermee de veiligheid te kunnen optimaliseren. Deze professional kent de denk- en werkwijze van hackers en gebruikt deze om een veilige IT-omgeving te waarborgen.

De ethical hacker werkt voor diverse klanten en spoort fouten en kwetsbaarheden op in hun IT-systemen, netwerken, servers en applicaties. Dit doet hij door middel van een penetratietests of pentests (Engels voor ‘binnendringingstest’). Hierbij test de ethical hacker de betreffende IT-omgeving op kwetsbaarheden, om vervolgens ook daadwerkelijk in het systeem in te breken via zo’n kwetsbare plek.

De bevindingen van de uitgevoerde tests worden door de hacker gerapporteerd en voorzien van een advies teruggekoppeld naar de klant, zodat deze de vereiste aanpassingen kan doorvoeren. In sommige gevallen voeren ethical hackers zelf de vereiste beveiligingsoplossingen uit en/of leiden ze intern personeel op om beveiligingsproblematiek te voorkomen.

De werkzaamheden van een ethical hacker zien er vaak als volgt uit:

• Controleren van systemen, servers, netwerken en software op zwakke plekken
• Uitvoeren van penetratietests (pentests)
• Uitvoeren van risicoanalyses
• Reviewen van code
• Rapporteren van bevindingen uit onderzoek
• Formuleren van aanbevelingen om fouten en kwetsbaarheden op te lossen
• Implementeren van oplossingen om de veiligheid te waarborgen
• Begeleiden en trainen van software developers bij het ontwikkelen van veilige code

Ethical hackers werken over het algemeen bij bedrijven die gespecialiseerd zijn in IT-consultancy. Binnen hun functie als IT security consultant geven zij advies en ondersteuning aan diverse externe bedrijven die klant zijn bij het bureau.

Binnen zijn werkomgeving kan een ethical hacker te maken krijgen met onder meer applicatiebeheerders, back-end developers, software architecten, software engineers en de chief information officer (CIO) van het bedrijf waarvoor hij werkzaam is.

Een ethical hacker moet over diverse vaardigheden beschikken zoals programmeren, scripten, het configureren van netwerken en het installeren van servers. Omdat hij in zijn rol als IT security consultant de vertaalslag maakt tussen de business en IT, is ook begrip van bedrijfsprocessen belangrijk.

Er is geen specifieke opleiding voor ethical hacker. Wel is een relevante ICT-gerichte vooropleiding vereist, zoals:

• Informatica (hbo, wo)
• ICT (hbo)
• Business IT & Management (hbo)

Om gecertificeerd ethical hacker te worden, dien je hiernaast het CEH (Certified Ethical Hacker) certificaat te behalen. Dit kan door middel van een training of cursus waarbij een grote focus ligt op de praktijk.