Cada vez mais, as empresas têm percebido a importância de priorizar sua segurança, reduzindo riscos e eliminando vulnerabilidades, reforçando a sua própria integridade e a de seus clientes, além de adequar-se a normas de compliance.
Escolher o fornecedor de Pentest certo é uma decisão crítica, que pode ser determinante para a eficácia de todos os esforços de cibersegurança de uma empresa.
Mas afinal, com tantas empresas no mercado, como descobrir qual a melhor opção? Separamos, nesse artigo, 7 fatores essenciais que devem ser analisados ao considerar um fornecedor de pentest.
Fatores para escolher seu fornecedor de pentest
- Abordagem e Tipo de Teste
Existem fornecedores de pentest que executam apenas varreduras para encontrar vulnerabilidades, e não testes de intrusão manuais.
O primeiro consiste em uma análise automatizada, baseada apenas em padrões e em vulnerabilidades conhecidas. Isso pode gerar muitos falsos positivos, dando à empresa uma garantia de segurança que não é real.
Já os testes de intrusão manuais são feitos por profissionais qualificados, capazes de identificar novas vulnerabilidades (além das que já são conhecidas) e de trazer uma perspectiva personalizada, considerando as particularidades de cada empresa. Isso garante um resultado mais confiável.
Portanto, tenha certeza de qual dos dois é oferecido antes de tomar qualquer decisão.
- Metodologias
Algumas empresas e os profissionais possuem metodologias próprias e personalizadas, e isso é importante para garantir que eles possuem uma mentalidade de ir além.
Entretanto, também é necessário certificar-se de que estão seguindo as diretrizes dos principais órgãos do segmento. Alguns deles são: OWASP Top 10, NIST 800-115¹ e PTES².
Todas elas são comprovadas e consideradas referências no campo, por isso, é importante que façam parte do escopo usado pela empresa.
- Certificações da Equipe
Outro ponto importante é analisar as certificações da equipe, uma vez que a base de qualquer empresa de cibersegurança é a competência do time. Ou seja, analisar suas qualificações é crucial.
Verifique a presença das seguintes certificações, que são algumas das mais bem conceituadas no mercado, com rigorosos critérios de avaliação: Offensive Security Certified Professional (OSCP), CREST CRT e Burp Suite Certified Practitioner.
- Experiência
Ainda com base nisso, verifique:
– As colaborações do fornecedor de pentest para o mercado (como publicações em blog, repositórios de conteúdos, presença em eventos);
– O conhecimento técnico da equipe (além de conhecer suas qualificações, saiba mais sobre suas experiências passadas e busque saber se a empresa incentiva o desenvolvimento profissional do time).
- Feedbacks
A indicação ainda é um dos principais fatores para a confiabilidade de uma empresa. Portanto, busque feedback e referências de clientes anteriores.
- Inovação
Sabemos que o cenário cibernético está se transformando constantemente, em especial do lado dos invasores.
Portanto, um fator importante para se analisar é: qual é o seu compromisso com a inovação? O que esse fornecedor de pentest está fazendo para manter-se a frente dos cibercriminosos?
Organizações que ainda se baseiam em abordagens muito tradicionais podem fornecer resultados não tão precisos. Assim, verifique características como: o uso de ferramentas de análise avançadas, modelo de negócio e outros fatores.
- Avaliação de entregas
Quando pensamos nas entregas de um teste de intrusão, temos o relatório final, a carta de atestado e outros. Peça ao fornecedor de pentest que envie exemplos desses documentos e relatórios, avaliando sua qualidade e profundidade.
Afinal, eles serão uma referência também para o time de TI da sua empresa.
Bônus: avalie o nível de segurança do fornecedor de pentest
Uma empresa que trabalha com cibersegurança também precisa investir em sua própria segurança interna, certo? Entretanto, nem sempre isso acontece.
Por isso, faça questão de perguntar quais são as medidas usadas pelo próprio fornecedor de pentest em seus próprios ativos.
Aqui na Vantico, por exemplo, executamos testes em nossas aplicações (e ainda disponibilizamos o resultado publicamente).
Conheça a Vantico
A escolha do fornecedor de pentest é uma decisão estratégica, com grande impacto na segurança da organização. Portanto, analise esses fatores (e outros, que podem ser personalizados de acordo com o seu segmento e objetivo) para garantir um parceiro de confiança e eficiente.
Aqui na Vantico, entendemos a importância de todos esses pontos e estamos comprometidos, diariamente, a garantir que nossos serviços mantenham um rigoroso padrão de qualidade, com testes ágeis e eficazes.
Fale com nossos consultores e conheça nossa metodologia!