Titel

Pentester

Organisatie

Over gemeente Haaksbergen

De gemeente Haaksbergen is een zelfstandige gemeente met een kleine 25.000 inwoners en 140 medewerkers en 70 medewerkers van samenwerkende partijen. Op enkele terreinen zijn samenwerkingen met andere gemeenten in de regio opgezet (o.a. Belastingen). Een onderzoek naar verdere samenwerking op het gebied van bedrijfsvoering met omliggende gemeentes zal in 2020 worden uitgevoerd met als doel om hier in 2021 uitvoering aan te geven

Achtergrond opdracht

Over I&A

De afgelopen jaren is er vanwege het gebrek aan capaciteit niet voldoende gedaan aan informatiebeveiliging. Als gevolg hier van heeft de gemeente al meer dan 10 jaar geen pentest uit laten voeren


In de loop van 2019 is er een formatieplaats opgevuld voor de rol van CISO. Binnen het informatiebeveiligingsjaarplan is opgenomen dat een van de prioriteiten op dit moment ligt bij het uit laten voeren van een pentest. Doel van de pentest is om inzage te krijgen in de huidige staat van de digitale beveiliging om op basis van het advies stappen te kunnen zetten om de digitale weerbaarheid van onze gemeente te kunnen verhogen


De gemeente wil een pentest uit laten voeren die bestaat uit de volgende onderdelen

  • Opstellen plan van aanpak
  • Pentest vanaf een externe locatie (buiten het netwerk)
  • Pentest vanuit het interne netwerk op basis van een inlogaccount met beperkte privileges (“cursisten account”)
  • Test om op locatie zonder inlogaccount en werkplek toegang te verkrijgen tot het netwerk via de WIFI netwerken van de gemeente of netwerkpoorten in de wand

Scope pentest

De scope van de pentest beperkt zich tot de domeinen die opgegeven worden door de gemeente. Deze circa 22 domeinen die onderdeel zijn van de scope worden na gunning aangeleverd door de gemeente.

De gemeente zal daarnaast een lijst van ipnummer ranges aanleveren (voor zover deze al niet via publiekelijke bronnen vast te stellen zijn).


Voorafgaand aan de pentest zal een kickoff plaatsvinden om het (door de opdrachtnemer op te leveren) plan van aanpak te bespreken.


Buiten scope:

-Er zijn een aantal domeinen die buiten scope van de test vallen. De reden hier van is dat een aantal domeinen voor externe diensten worden gebruikt die geen relatie hebben met het netwerk van de gemeente. De gemeente zal een lijst van domeinen aanleveren die buiten scope vallen.

-Alternatieve manieren om inlogcredentials te achterhalen of malware te laten installeren zoals onder andere:

o Social engineering

o Mystery guest

o USB sticks met malware

o Phishing mail


Resultaat van de gevraagde dienst

Het gewenste resultaat van de pentest is als volgt:

-Opstellen adviesrapport I&A inclusief managementsamenvatting

-Presenteren adviesrapport aan management

-Opstellen technische rapportage bevindingen aan I&A

-Bespreken technische bevindingen en adviesrapport met I&A

-Optioneel aan te bieden (fixed price)

o Opstellen verbeterplan, na afstemming met opdrachtgever met betrekking tot prioriteiten, inclusief indicatie te leveren inspanningen


Uitganspunten resultaat:

  • Alle presentaties en adviesgesprekken vinden op locatie in Haaksbergen plaats
  • Alle rapporten, gesprekken en presentaties in het Nederlands

Functie eisen

  • Kandidaat tekent een Geheimhoudsverklaring
  • Kandidaat levert na gunning een VOG aan die niet ouder is dan 3 jaar en die getoetst is op het type uit te voeren werkzaamheden
  • Kandidaat is onderdeel van een team aan pentesters
  • In de afgelopen 2 jaar minimaal 5 pentesten zelfstandig uitgevoerd
  • Minimaal 4 jaar ervaring met het uitvoeren van pentesten
  • Minimaal 4 jaar ervaring in rapporteren van bevindingen en adviseren van maatregelen
  • Kennis van professionele tooling (Zoals o.a. Metasploit)
  • Kennis van handmatig uitvoeren van pentesten
  • Communicatie, rapportage en presentatie in de Nederlandse taal

Opdracht informatie

Heeft u interesse?

Reageer dan z.s.m. doch uiterlijk 8 januari 2020, voor 12.00 uur met;

- uw CV in een Word document

- uw motivatie toegespitst op de vacature

- uw beschikbaarheid en eventuele vakantieplannen

- all-in uurtarief /vaste prijs excl. BTW.

Gerelateerde opdrachten

Voor Testing & Quality Management