In de praktijk blijkt steeds opnieuw dat penetratietesten een waardevolle aanvulling kunnen zijn op ‘standaard’ IT-audits. Er kan zelfs sprake zijn van bijstelling van een eerder uitgebracht oordeel. Helaas hebben penetratietesten nog een ‘cowboy-imago’ van nerds die maar van alles uitproberen. Dit artikel beschrijft een aanpak hoe dergelijke onderzoeken in te zetten en te structureren.