Executive Summary
Mange danske SMV’er bestiller en pentest for at leve op til kundekrav, styrke deres NIS2-modning eller få ro i maven før en vigtig revision. Problemet opstår bagefter. Rapporten er teknisk, ansvar er uklart, og fundene ender som en PDF i en skuffe i stedet for som beslutninger, deadlines og reel risikoreduktion. NIST beskriver penetrationstest som en metode til at identificere og demonstrere svagheder i systemer, mens CISA fremhæver, at scope, regler for testen og dokumenteret verifikation er centrale elementer i et professionelt forløb. NIST SP 800-115, CISA Penetration Testing
For ledelsen er værdien ikke selve testen. Værdien er at vide hvilke huller der skal lukkes først, hvem der ejer opgaven, hvad der er acceptabel restrisiko, og hvornår en retest skal bevise at problemet faktisk er væk. Verizon DBIR 2025 peger på, at udnyttelse af sårbarheder nu står for 20 procent af brud som initial adgang, og at denne vej voksede med 34 procent. Det gør prioritering og hurtig opfølgning til et forretningsspørgsmål, ikke kun et IT-spørgsmål. Verizon DBIR 2025
Løsningen er enkel. Bestil ikke kun en pentest. Bestil en pentest med krav til rapportformat, forretningsbaseret risikovurdering, tydeligt ejerskab, faste deadlines og en aftalt retest. Så bliver testen et ledelsesværktøj, der styrker forretningskontinuitet, dokumentation og beslutningskraft. Hvis du vil forstå selve testformen bedre, kan du starte med pentest og koble den til en bredere modenhedsanalyse, når krav fra NIS2 eller GDPR også spiller ind.
Hvorfor mange pentests mister værdi efter afleveringen
Det klassiske forløb ser sådan ud. En virksomhed køber en test, modtager en rapport på 30 eller 60 sider og holder måske ét møde med leverandøren. Teknikteamet nikker. Ledelsen forstår halvdelen. Tre måneder senere er de vigtigste fund stadig åbne.
Det sker sjældent fordi testen var dårlig. Det sker oftere fordi bestillingen var for vag. Hvis der ikke på forhånd er aftalt, hvordan fund skal beskrives, hvordan risiko skal vurderes, og hvem der skal handle på hvad, så bliver rapporten et specialistdokument uden tydelig vej til beslutning.
OWASP’s Web Security Testing Guide bruges bredt som reference for systematisk test af webapplikationer. Guiden er nyttig for teknikere, men den understreger også indirekte et vigtigt ledelsespunkt: En test er kun værdifuld, hvis resultaterne kan omsættes til forbedringer i den virkelige drift. OWASP WSTG
For en dansk SMV er spørgsmålet derfor ikke kun: Fandt leverandøren sårbarheder? Det rigtige spørgsmål er: Fik vi en handlingsplan, som gør det lettere at træffe beslutninger om penge, drift, data og omdømme?
Sådan skal du bestille rapporten, før testen går i gang
Den bedste pentest-rapport starter længe før første scanning eller første manuelle test. Du får mest værdi, når du i bestillingen stiller krav til leverancen og ikke kun til selve testen.
Bed om, at rapporten deles i to lag. Først en ledelsesdel på to til fire sider. Dernæst en teknisk del med bevis, reproduktion og anbefalinger. Ledelsesdelen skal kunne læses af direktør, driftsansvarlig og eventuelt bestyrelse uden oversættelse fra IT.
Bed også om, at hvert fund beskrives med fem faste felter: hvad problemet er, hvilken forretningspåvirkning det kan have, hvor sandsynligt det er at udnytte, hvad den anbefalede handling er, og hvornår leverandøren forventer at kunne reteste. CISA lægger vægt på klare Rules of Engagement og dokumenteret verifikation ved succesfuld penetration. I praksis betyder det, at du som kunde godt kan kræve dokumentation, der både er operationel og egnet til ledelsesopfølgning. CISA Penetration Testing
En god bestilling bør som minimum indeholde denne tjekliste:
- Hvilke systemer, domæner, apps eller processer er i scope
- Hvilke forretningskritiske scenarier testen skal prioritere
- Hvilket rapportformat ledelsen skal modtage
- Hvordan fund bliver risikovurderet og prioriteret
- Hvem der ejer afhjælpning på kundesiden
- Hvornår retest gennemføres og hvad der tæller som bestået
- Hvilke målepunkter der skal rapporteres efterfølgende
Hvis du samtidig arbejder med compliance, kan det være nyttigt at tænke testen sammen med modenhedsanalyse. GDPR kræver passende tekniske og organisatoriske foranstaltninger under artikel 32, og en pentest giver først fuld værdi, når fund behandles som en del af netop den styring. GDPR
Tre beslutninger ledelsen skal tage før ja til leverandøren
Før du godkender tilbuddet, bør ledelsen tage tre konkrete beslutninger. De er små på papiret, men de afgør om testen bliver et dokumentationsprojekt eller en forbedringsmotor.
Den første beslutning handler om scope. Test ikke alt, hvis du ikke kan handle på alt. Vælg de systemer hvor et brud vil koste mest i driftstab, tab af data, tab af omsætning eller tab af tillid. I en dansk SMV er det ofte kundeportal, VPN, Microsoft 365, betalingsflow, webshop eller fjernadgang til drift.
Den anden beslutning handler om acceptkriterier. Hvad skal leverandøren levere, før I kalder opgaven en succes? Det kan være, at alle kritiske og høje fund skal have en ejer, en deadline og en retestdato. Det kan også være, at rapporten skal indeholde et særskilt ledelsesnotat med top fem beslutninger.
Den tredje beslutning handler om retest. En retest må ikke være en løs mulighed, der først diskuteres senere. Den skal være aftalt fra starten med tidsvindue, pris eller prismodel, og tydelig definition af hvad der verificeres. CISA peger på verifikation som en central del af testleverancen, og i praksis er retesten det øjeblik hvor virksomheden får bevis for, at lukningen virker. CISA Penetration Testing
En enkel model til at prioritere fund efter forretningspåvirkning
Mange rapporter drukner i CVSS-scorer, tekniske labels og lange beskrivelser. Det hjælper teknikeren, men ikke nødvendigvis virksomheden med at tage de rigtige beslutninger hurtigt. Derfor bør du bede om en prioritering, der oversætter fund til forretningspåvirkning.
En enkel model er at vurdere hvert fund på fire akser: penge, drift, data og omdømme. Hvis en sårbarhed kan stoppe salget, eksponere persondata eller sætte produktionen ned, skal den højere op end et fund, som primært er kosmetisk eller kræver urealistiske forudsætninger.
Du kan bruge denne model i dialogen med leverandøren:
- Penge: Kan fundet føre til svindel, tabt omsætning eller ekstra omkostninger
- Drift: Kan fundet stoppe eller forstyrre levering, support eller produktion
- Data: Kan fundet eksponere persondata, kundedata eller fortrolige filer
- Omdømme: Kan fundet skabe kundetab, pressehistorier eller svække tillid hos partnere
Bed derefter leverandøren om at samle fundene i tre bunker: gør nu, planlæg næste sprint, accepter eller overvåg. Det er langt mere brugbart end en ren liste efter teknisk alvor.
Verizon DBIR 2025 viser, at sårbarhedsudnyttelse fortsat er en væsentlig adgangsvej for angribere. Det understøtter en pragmatisk tilgang, hvor hurtig lukning af de mest forretningskritiske fund tæller mere end at rydde op i alle mindre forhold på én gang. Verizon DBIR 2025
10 spørgsmål du bør stille leverandøren
Hvis du vil undgå en rapport, der ikke kan bruges, så stil disse spørgsmål før opstart. De er enkle, men de afslører hurtigt om leverandøren kan arbejde i øjenhøjde med både drift og ledelse.
- Hvordan ser jeres ledelsesresume ud helt konkret
- Hvordan skelner I mellem teknisk alvor og forretningsmæssig risiko
- Hvordan dokumenterer I, at et fund faktisk kan udnyttes
- Hvordan foreslår I ejerskab på tværs af IT, drift og ledelse
- Hvordan definerer I deadlines for kritiske, høje og mellem fund
- Tilbyder I retest som en fast del af forløbet
- Hvad skal være på plads hos os for at retesten bliver effektiv
- Hvordan hjælper I med at skære scope til, så vi kan handle på resultaterne
- Hvordan ser en godkendt handlingsplan ud i jeres verden
- Hvilke målepunkter anbefaler I, at ledelsen følger bagefter
NIST SP 800-115 beskriver planlægning, afgrænsning og gennemførelse som grundelementer i teknisk sikkerhedstest. Oversat til ledelsessprog betyder det, at den gode leverandør også skal kunne hjælpe dig med formål, prioritering og opfølgning. NIST SP 800-115
Målepunkter der gør pentest til en forbedringsmotor
En pentest skaber først vedvarende værdi, når du kan se fremdrift bagefter. Derfor bør du afslutte forløbet med få, faste målepunkter. Ikke ti dashboards. Bare nok til at ledelsen kan styre tempo og effekt.
For de fleste SMV’er er fire målepunkter nok. Hvor mange kritiske og høje fund er åbne efter 30 dage. Hvor stor andel af fund har en navngiven ejer. Hvor mange fund blev lukket inden aftalt deadline. Og hvor mange fund blev verificeret som lukkede i retesten.
Hvis testen vedrører persondata eller forretningskritiske systemer, giver de målepunkter også bedre dokumentation over for kunder, revisor og interne beslutningstagere. Det er relevant både i forhold til GDPR artikel 32 og i arbejdet mod at blive mere NIS2-klar. GDPR
Det er også her, en kombination med sikkerhedstjek kan være nyttig. Pentesten finder de farlige veje ind. Et sikkerhedstjek hjælper ofte med at rydde op i de mere grundlæggende fejl og opsætninger, så næste test bliver mere fokuseret.
Næste skridt: brug denne mini-skabelon i din bestilling
Næste gang din virksomhed bestiller en pentest, så send en bestilling der siger følgende: Vi ønsker en afgrænset test af vores vigtigste systemer. Rapporten skal indeholde et ledelsesresume, prioritering efter forretningspåvirkning, navngivne ejere, deadlines pr. fundkategori og en aftalt retest med verifikation. Kritiske og høje fund skal kunne omsættes til en konkret handlingsplan inden for samme uge som rapportlevering.
Det er ofte nok til at løfte kvaliteten markant. Ikke fordi testen bliver mere avanceret, men fordi virksomheden bliver bedre til at bruge den.
Hvis du vil sætte testen ind i en større styringsramme, kan du også læse mere om pentest, sikkerhedstjek og modenhedsanalyse. Målet er ikke flere rapporter. Målet er færre åbne huller og bedre beslutninger.