Qual é a frequência ideal de Pentest para cada setor?

A segurança ofensiva é um componente essencial para as empresas que desejam se proteger contra as ameaças cibernéticas. E, como parte disso, o Pentest é uma ação fundamental.

Neste contexto, é comum que surja a dúvida: com qual frequência minha empresa deve realizar um Pentest (teste de intrusão)?

Não existe uma única resposta, pois ela depende de fatores como: setor, nível de exposição e nível maturidade de segurança.

Neste artigo, iremos falar sobre a frequência recomendada para os principais setores do mercado e para os diferentes contextos que exigem esse teste.

Por que a frequência do Pentest varia por setor?

Isso acontece porque diferentes setores lidam com diferentes tipos de dados, de diferentes formas, e diferentes tipos de sistemas, redes, etc. Ou seja, cada um deles têm suas particularidades e está suscetível a ataques distintos.

Além disso, setores como o de pagamentos por cartão de crédito e saúde precisam se adequar a normas específicas de compliance e legislações, pela grande sensibilidade dos dados tratados.

Frequência de Pentest por setor

A seguir, você confere uma tabela com as principais recomendações para os setores de:

• E-commerce
• Financeiro
• Saúde
• Tecnologia (SaaS)
• Indústria

Esses são os padrões recomendados, e não uma regra fixa. O mais importante é que a frequência esteja conectada com o risco real do seu ambiente.

Frequência de Pentest por compliance

Abaixo, você confere também a frequência por tipo de compliance.

Frequência de Pentest por porte

E, a seguir, a tabela de frequência por porte da empresa.

Quando mudar a frequência de pentests?

Existem também algumas situações especiais em que é necessário realizar pentests pontuais ou alterar a frequência. Esses momentos estão ligados a mudanças técnicas, eventos de risco e exigências regulatórias, como:

• Após um incidente de segurança

No caso de um ataque ou uma tentativa de ataque, vazamento de dados, ou outro incidente cibernético, o recomendado é revisar o ambiente por completo.

• Após grandes mudanças na infraestrutura

Atualizações como migrações para cloud, implementação de microsserviços, novos módulos em aplicações web ou adoção de novos frameworks exigem a execução de um novo Pentest.

Isso porque essas mudanças podem trazer consigo novas vulnerabilidades ou configurações incorretas. Até mesmo as menores alterações podem ter grande impacto na superfície de ataque.

• Após a integração de novos sistemas ou APIs

No caso de novos conectores externos, integrações com plataformas de terceiros ou abertura de APIs públicas, entre outros, o nível de exposição a ataques aumenta.

Por isso, é importante executar o teste após mudanças com essas, permitindo a identificação de possíveis pontos de entrada.

APIs mal documentadas e endpoints desprotegidos são alvos comuns em ataques automatizados.

• Quando houver novas exigências regulatórias

O Pentest é obrigatório ou fortemente recomendado para obter diversas certificações, como é o caso da ISO 27001 e PCI DSS, além de contribuir para a adequação a legislações como a LGPD.

Muitas dessas normas, inclusive, exigem a execução recorrente do teste.

Por que o pentest precisa ser recorrente?

O recomendado para todas as organizações é que o Pentest seja uma ação recorrente, e não única.

A segurança é um processo contínuo, que precisa acompanhar o rápido ritmo das ameaças cibernéticas. Com novas vulnerabilidades surgindo diariamente, e os ataques ficando cada vez mais complexos, realizar o Pentest sem periodicidade é um risco tremendo.

Além disso, executar o teste com frequência contribui para amadurecer a segurança da organização.

Boas práticas na execução do Pentest

Para definir a frequência que mais se encaixa ao seu negócio, considere essas recomendações:

1. Conheça a sua superfície de ataque, o que está exposto publicamente e o que é mais crítico para sua operação.
2. Alinhe as decisões com as diferentes áreas, como TI, jurídico e governança.
3. Alinhe a periodicidade com o Ciclo de Desenvolvimento do time. Quanto mais ágil seu time de dev, maior a necessidade de testes frequentes.
4. Analise quais são os dados, sistemas, redes, etc., mais críticos, e teste-os com maior frequência.

Perguntas recorrentes sobre a frequência do Pentest

1. O Pentest é exigido por lei?

No Brasil, não. Porém, em setores como financeiro e de saúde, outras regulamentações exigem controles técnicos, incluindo o Pentest.

2. Testes automatizados substituem o Pentest?

Não. As ferramentas automatizadas ajudam na detecção rápida, porém não são tão profundas e não substituem um Pentest manual. Saiba mais neste artigo.

3. Existe uma frequência ideal de Pentest para todos os setores?

Não, porque isso depende de diversos fatores, incluindo a superfície de ataque, dados armazenados e estrutura do ambiente.

Siga as orientações acima para definir a frequência ideal para a sua empresa.

 

A Vantico é pioneira em Pentest as a Service no Brasil e já atendeu centenas de clientes, protegendo mais de R$100 milhões em valor de mercado.

Clique aqui para conhecer nosso trabalho.

Siga a Vantico nas redes sociais e fique informado sobre cibersegurança, tecnologia e insights.