Veelgestelde Vragen

JamaSec is een Nederlands cybersecurity bedrijf gespecialiseerd in offensive en defensive security diensten. Wij bieden penetration testing, red teaming, blue team services, 24/7 SOC monitoring, security audits, incident response, vCISO diensten, security awareness training en compliance consulting (NIS2, ISO 27001, AVG/GDPR, NEN 7510, DORA).

JamaSec is onderdeel van de JamaTec B.V. holding. JamaTec richt zich op brede IT-dienstverlening, terwijl JamaSec specifiek gespecialiseerd is in cybersecurity. Samen bieden we complete IT en security oplossingen voor Nederlandse ondernemingen.

JamaSec bedient klanten in heel Nederland, België en Duitsland. Onze consultants werken zowel remote als on-site, afhankelijk van de aard van de opdracht. Voor penetration testing en red team engagements kunnen we wereldwijd opereren.

U kunt contact opnemen via ons contactformulier op jamasec.com/contact, per e-mail naar info@jamasec.com, of telefonisch. Voor spoedeisende security incidenten hebben wij een 24/7 incident response lijn beschikbaar voor klanten.

Ja, wij bieden een gratis Security Quick Scan aan waarmee u direct inzicht krijgt in de belangrijkste security risico's van uw organisatie. Daarnaast hebben we gratis tools zoals onze NIS2 Compliance Check en Pentest Calculator.

Penetration testing (pentest) is een gecontroleerde simulatie van een cyberaanval op uw systemen, netwerken of applicaties. Onze ethical hackers gebruiken dezelfde technieken als echte aanvallers om kwetsbaarheden te ontdekken voordat kwaadwillenden dat doen. Het doel is om beveiligingszwakheden te identificeren en concrete aanbevelingen te geven.

De duur hangt af van de scope en complexiteit. Een standaard webapplicatie pentest duurt 5-10 werkdagen. Een uitgebreide infrastructuur pentest kan 2-4 weken duren. Tijdens de scoping fase bepalen we samen de exacte doorlooptijd op basis van uw specifieke situatie.

Bij black box testing heeft de tester geen voorkennis - dit simuleert een externe aanvaller. Bij white box testing heeft de tester volledige toegang tot broncode en documentatie voor een diepgaande analyse. Gray box is een combinatie waarbij de tester beperkte informatie krijgt. Wij adviseren meestal gray box voor de beste balans tussen realisme en dekking.

Ons rapport bevat: een executive summary voor management, technische details van alle bevindingen met screenshots en proof-of-concept, CVSS risicoscores, concrete remediatie-aanbevelingen per bevinding, en een geprioriteerde actie roadmap. We leveren ook een presentatie en hertest na implementatie van fixes.

Prijzen starten vanaf €3.500 voor een basis webapplicatie test. Infrastructuur pentests beginnen vanaf €5.000. De exacte prijs hangt af van scope, complexiteit en type test. Gebruik onze gratis Pentest Calculator voor een indicatie of vraag een vrijblijvende offerte aan.

Wij adviseren minimaal jaarlijks een pentest, of vaker bij significante wijzigingen aan uw systemen. Veel compliance frameworks (NIS2, ISO 27001, PCI-DSS) vereisen regelmatige security testing. Continue vulnerability scanning tussen pentests is ook aan te raden.

Ja, wij testen zowel iOS als Android applicaties op beveiligingslekken, data lekkage, onveilige opslag, en communicatie kwetsbaarheden. Mobile app pentests volgen de OWASP Mobile Security Testing Guide (MSTG).

Penetration testing focust op het vinden van technische kwetsbaarheden binnen een afgebakende scope. Red teaming is een bredere adversary simulation die ook social engineering, fysieke toegang en gecombineerde aanvallen omvat. Red team operaties zijn goal-oriented (bijv. "verkrijg toegang tot kronjuwelen") en testen uw complete detectie- en respons capabilities.

Een typisch red team engagement duurt 6-12 weken. Dit omvat planning en reconnaissance (1-2 weken), initial access pogingen (2-3 weken), lateral movement en privilege escalation (2-3 weken), en objective completion met rapportage (1-2 weken).

Blue team richt zich op defensieve security: het detecteren, analyseren en neutraliseren van dreigingen. Dit omvat 24/7 SOC monitoring, threat hunting, incident response, SIEM beheer, vulnerability management en security hardening. Wij kunnen uw bestaande blue team versterken of een volledig managed oplossing bieden.

Purple teaming is de samenwerking tussen red team (aanvallers) en blue team (verdedigers). Door samen te werken kunnen beide teams van elkaar leren: red team toont nieuwe aanvalstechnieken, blue team optimaliseert detectie en response. Dit maximaliseert de kennisoverdracht.

Wij werken met alle major SIEM platforms: Microsoft Sentinel, Splunk, Elastic Security, IBM QRadar, en Google Chronicle. We kunnen integreren met uw bestaande SIEM of een managed oplossing bieden.

NIS2 is de nieuwe EU-richtlijn voor netwerk- en informatiebeveiliging die in oktober 2024 van kracht is geworden. De richtlijn geldt voor essentiële en belangrijke entiteiten in sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur, en meer. Ook toeleveranciers van deze sectoren kunnen onder de scope vallen.

ISO 27001 is een internationale standaard voor Information Security Management Systems (ISMS) waarvoor u vrijwillig kunt certificeren. NIS2 is een wettelijke verplichting vanuit de EU. ISO 27001 certificering kan helpen bij NIS2 compliance, maar NIS2 heeft aanvullende eisen rond incidentmelding en supply chain security.

Ja, wij begeleiden het volledige certificeringstraject: gap analysis, implementatie ondersteuning, interne audits, en voorbereiding op de externe certificeringsaudit. Let op: wij voeren zelf geen certificeringsaudits uit (dat doen accredited bodies), maar zorgen dat u optimaal voorbereid bent.

DORA (Digital Operational Resilience Act) is de EU-verordening voor digitale weerbaarheid in de financiële sector, volledig van toepassing sinds januari 2025. Het geldt voor banken, verzekeraars, beleggingsondernemingen, betaaldienstverleners, crypto-asset dienstverleners, en kritieke ICT-dienstverleners aan de financiële sector.

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Het is gebaseerd op ISO 27001 maar specifiek uitgebreid voor de zorgsector met aanvullende eisen voor medische gegevens en patiëntveiligheid. Het wordt verwacht door de IGJ en is vaak vereist bij contracten met zorgverzekeraars.

Dit varieert per framework en organisatie. Een NIS2 gap analysis en roadmap kan in 2-4 weken. Volledige ISO 27001 implementatie duurt typisch 6-18 maanden. Wij maken altijd een realistische planning op basis van uw huidige volwassenheid en beschikbare resources.

Stap 1: Beperk de schade - isoleer getroffen systemen maar zet ze NIET uit. Stap 2: Bel onze incident response lijn voor directe ondersteuning. Stap 3: Documenteer alles wat u ziet. Stap 4: Informeer geen externe partijen voordat de situatie is beoordeeld. Wij helpen met containment, eradicatie, herstel en eventuele meldplicht bij AP.

Onze incident response teams zijn 24/7 beschikbaar. Bij kritieke incidenten garanderen we response binnen 15 minuten. We kunnen zowel remote als on-site ondersteuning bieden, afhankelijk van de aard en ernst van het incident.

Incident response richt zich op het stoppen van de aanval en herstel van systemen. Forensisch onderzoek gaat dieper: het bepaalt exact wat er is gebeurd, welke data is geraakt, en hoe de aanvaller is binnengekomen. Dit is belangrijk voor juridische procedures en het voorkomen van herhaling.

Een datalek moet gemeld worden bij de AP als het waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen. De melding moet binnen 72 uur na ontdekking. Bij ernstige datalekken moeten ook de betrokkenen zelf geïnformeerd worden. Wij helpen met de beoordeling en meldingsprocedure.

Ja, wij bieden incident response retainers waarmee u verzekerd bent van prioritaire response bij incidenten. Dit omvat ook periodieke readiness assessments, incident response plannen, en tabletop exercises om uw team voor te bereiden.

Onze tarieven variëren per dienst. Penetration testing start vanaf €3.500, security audits vanaf €5.000, red team engagements vanaf €25.000. Voor managed services zoals SOC en vCISO werken we met maandelijkse abonnementen. Bekijk onze prijzenpagina of vraag een vrijblijvende offerte aan.

Voor projecten zoals pentests en audits werken we met vaste prijzen op basis van scope. Voor doorlopende diensten (SOC, vCISO) hanteren we maandelijkse abonnementen. Consultancy en advies kan op uurbasis. We bespreken altijd vooraf welk model het beste past bij uw situatie.

Nee, voor eenmalige projecten zijn geen langlopende contracten nodig. Voor managed services adviseren we een minimale looptijd van 12 maanden om effectief te kunnen zijn, maar we bieden ook flexibelere opties. Vraag naar de mogelijkheden.

Ja, wij hebben speciale tarieven voor non-profit organisaties, onderwijsinstellingen en startups. Neem contact op om de mogelijkheden te bespreken. We geloven dat goede security voor iedereen bereikbaar moet zijn.

Wij hebben specifieke expertise in financiële dienstverlening (banken, verzekeraars, fintech), gezondheidszorg (ziekenhuizen, huisartsen, GGZ), overheid en semi-overheid, technologie en SaaS bedrijven, en MKB. Elke sector heeft specifieke compliance eisen en dreigingslandschap waar wij op inspelen.

Ja, wij hebben uitgebreide ervaring met alle major cloud platforms. Onze consultants zijn gecertificeerd (AWS Security Specialty, Azure Security Engineer, GCP Professional Cloud Security Engineer) en we voeren regelmatig cloud security assessments, configuratie reviews en cloud pentests uit.

Ja, wij hebben gespecialiseerde expertise in Operational Technology (OT) en Industrial Control Systems (ICS) security. Dit vereist een voorzichtige aanpak vanwege de kritieke aard van deze systemen. We werken volgens IEC 62443 en andere industriestandaarden.

Ja, wij bieden IoT security assessments aan inclusief hardware analyse, firmware reverse engineering, communicatieprotocol analyse, en cloud backend testing. Dit is relevant voor zowel consumer IoT als industriële IoT (IIoT) omgevingen.

Onze security professionals hebben certificeringen zoals OSCP, OSCE, OSEP (Offensive Security), CEH, GPEN, GWAPT (GIAC/SANS), CISA, CISSP, CISM (ISC²/ISACA), ISO 27001 Lead Auditor/Implementer, en platform-specifieke certificeringen voor AWS, Azure en GCP. We investeren continu in training en ontwikkeling.

Onze teams volgen dagelijks threat intelligence feeds, doen actief security research, spreken op conferenties, en participeren in bug bounty programma's. We zijn lid van relevante ISAC's (Information Sharing and Analysis Centers) en onderhouden een eigen threat intelligence database.

Ja, wij kunnen referenties verstrekken van klanten in vergelijkbare sectoren. Vanwege de vertrouwelijke aard van ons werk doen we dit op aanvraag en met toestemming van de betreffende klanten. Neem contact op voor meer informatie.