Sikkerhetstesting Oppdatert 29. juni 2026
En sikkerhetstest er ikke noe dere bare bestiller og venter på. Det meste av verdien avgjøres før testeren begynner, og etter at rapporten er levert. Her er hva dere bør avklare på forhånd, hva en god rapport skal gi dere, og hva dere gjør med funnene.
Kort fortalt
En god test starter ikke med verktøy, men med en avklaring. Anerkjente metodikker er enige om dette: i Penetration Testing Execution Standard (PTES) heter den første fasen «pre-engagement», og i NIST SP 800-115 er planlegging og avklaring av omfang og rammer steg én. Hensikten er å bli enige om hva som skal testes, og hvordan, før noe teknisk arbeid settes i gang.
Dette bør være på plass før testen begynner:
Jo tydeligere dette er på forhånd, jo mindre tid går med til avklaringer underveis, og jo mer presist blir resultatet.
Selve leveransen fra en test er rapporten. NIST SP 800-115 anbefaler at den er todelt, fordi den skal leses av to ulike publikum: ledelsen som skal prioritere, og de som faktisk skal rette feilene. En god rapport har derfor:
En rapport som bare lister funn uten alvorlighetsgrad eller anbefalinger, gir dere en liste, ikke en plan.
Her ligger det meste av verdien, og det er her de fleste snubler. Verdien av en test ligger ikke i funnene, men i hva dere gjør med dem. En rapport som blir liggende har ikke gjort dere tryggere, bare mer informerte.
Verdien av en test ligger ikke i funnene, men i hva dere gjør med dem.
Veien fra rapport til faktisk forbedring har tre steg: prioriter funnene ut fra alvorlighetsgrad og hva som betyr mest for dere, utbedre dem og noter hva som er gjort, og bekreft til slutt med en re-test. Et funn er ikke lukket fordi noen har gjort en endring, men når en ny test viser at svakheten ikke lenger kan utnyttes. Vi har skrevet mer om når og hvor ofte dere bør teste i hvor ofte bør dere teste sikkerheten.
Vil dere forstå de ulike testtypene før dere bestiller, har vi forklart dem i hva er sikkerhetstesting, og hva som driver prisen i hva koster en penetrasjonstest.
Dette er en veiledning dere kan ta med inn i en samtale med en leverandør, ikke et regelverk dere må følge. Får dere gode svar på disse punktene, er dere godt forberedt.
| Avklar før dere bestiller | Hvorfor det betyr noe |
|---|---|
| Omfang | Hva som testes, og hva som holdes utenfor, styrer både resultatet og arbeidet |
| Mål | En bred kartlegging og en målrettet test er to ulike oppdrag |
| Tilganger | Hvor mye testeren får vite på forhånd endrer hva testen viser |
| Kontaktpunkt | Én person som kan nås raskt hvis noe alvorlig dukker opp underveis |
| Rapportform | At dere får både et ledelsessammendrag og tekniske funn med prioritering |
| Re-test | At en ny test bekrefter at funnene faktisk er lukket |
Usikre på hvor dere står, eller hva som bør testes først? Sikkerhetsdiagnosen gir dere et ærlig nåbilde på noen minutter, uten innlogging og helt uforpliktende.
Vil dere planlegge en test sammen, ser vi på omfang og mål under Sikkerhetstesting.
FAQOfte stilte spørsmål
Omfang og mål først: hvilke systemer som er med og hva som holdes utenfor, hva dere vil ha svar på, hvilke tilganger testeren skal ha, hvem som er kontaktpunkt hos dere, og om testen skal være varslet eller uvarslet. Anerkjente metodikker definerer omfang og rammer før noe teknisk arbeid begynner.
Et kort sammendrag for ledelsen, tekniske funn med alvorlighetsgrad, reproduserbare steg for hvert funn, konkrete anbefalinger og en tydelig prioritering. Den skal kunne leses både av dem som bestemmer og av dem som retter feilene.
Det kommer an på hva dere vil teste. En test utenfra uten innsikt ligner mest på en ekstern angriper, mens en test med brukere, kontoer eller dokumentasjon på forhånd går raskere og kommer dypere. Begge er gyldige, og dere avklarer det i omfanget før testen starter.
Prioriter funnene etter alvorlighetsgrad, utbedre dem, og bekreft med en re-test. Et funn er ikke lukket før en ny test viser at svakheten ikke lenger kan utnyttes. Det er her det meste av verdien av testen ligger.
VERNUM