Kwetsbare erwten

Hoe schat je in hoeveel tijd, dus geld, een penetratietest moet kosten? Dat is een lastige vraag. Het is vaak nog lastiger om het uit te leggen aan een leek. En dat alleen zoeken naar de high-risk kwetsbaarheden de benodigde tijd niet verkort wordt ook niet altijd als vanzelfsprekend gezien. Of dat het onmogelijk is om te garanderen dat je alle kwetsbaarheden gevonden hebt. Zo’n vraagstuk wordt begrijpelijker als je het vertaalt naar de ‘echte wereld’. Dus laat ik mijn gesprekspartner wel eens zoeken naar erwten.

Stel je voor dat ik een aantal erwten heb. Een deel schilder ik groen, een ander deel geel en de rest rood. Nu verstop ik die erwten in je werkkamer. Hoe lang moet je zoeken voordat je ze allemaal gevonden hebt? En hoelang moet je zoeken voordat je alleen de rode gevonden hebt? Maakt dat veel verschil?

Stel nu dat ik de erwten niet in je werkkamer verstop, maar ergens in een kantoorgebouw van 20 verdiepingen. Hoe lang duurt het nu voordat je de erwten hebt gevonden? Is dat gewoon een kwestie van de zoektijd evenredig laten toenemen met het extra aantal vierkante meters? Of gaan er meer factoren een rol spelen? En als je alleen de rode hoeft te vinden, maakt dat dan nu veel verschil?

En voor bonuspunten: hoe weet je zeker dat je alle erwten hebt gevonden? Kun je dat bewijzen?