Resumo:
- O momento ideal para fazer um Pentest depende de fatores como porte, tipo de aplicação, tipo de dados, indústria, compliance, entre outros.
- Empresas de pequeno porte ou startups devem fazer o Pentest anualmente.
- Médias e grandes empresas devem fazer o Pentest todo trimestre ou de forma contínua.
- Para empresas de tecnologia, a recomendação é de que seja feito trimestralmente.
- Para se adequar a PCI DSS, o Pentest é obrigatório e deve ser feito anualmente.
- Para se adequar a ISO 27001, SOC 2 e LGPD, o Pentest não é obrigatório, mas é recomendado. Neste caso, também anualmente.
- Para adequação à NIST, o Pentest pode ser obrigatório, dependendo da norma (NIST SP 800-171, NIST SP 800-53, entre outras).
- Também é recomendado que o Pentest seja executaedo em caso de: atualizações ou mudanças significativas na infraestrutura do ativo; implementação de novas funcionalidades em plataformas SaaS; se está passando por auditorias internas e externas, fusão & aquisição, ou uma oferta pública inicial (IPO); preparação para receber certificações; ou se já faz mais de um ano ou de 3 meses desde o seu último Pentest.
- Para realizar o Pentest, é importante que a empresa tenha alguma maturidade no programa de segurança. Ou seja, que a organização tenha os processos, pessoas, ferramentas e recursos necessários para encontrar, priorizar e corrigir vulnerabilidades simples, e o Pentest foca em falhas mais complexas.
- Tudo isso permite que as vulnerabilidades sejam identificadas com antecedência, ajuda a construir uma cultura de segurança na organização, além de evitar custos com possíveis incidentes.
Qual é o momento certo para fazer um Pentest?
Essa pergunta é bastante frequente. Mas ela não possui uma única resposta.
A verdade é que o momento certo para fazer um Pentest depende de uma série de fatores, como:
- Porte: a frequência para médias e grandes empresas é diferente da frequência para startups, por exemplo.
- Tipo de ativos: empresas com sistemas complexos, grande infraestrutura e/ou tecnologia em constante desenvolvimento, podem estar mais vulneráveis, portanto a frequência indicada é maior.
- Tipo de dados: organizações que lidam com dados sensíveis e/ou sob riscos elevados, como instituições governamentais, também precisam executar o Pentest com maior frequência.
- Indústria: alguns setores possuem uma periodicidade pré-determinada para os testes.
- Compliance: organizações que buscam adequar-se a normas específicas, como PCI DSS, ISO 27001 ou SOC2, precisam ficar atentas às exigências ligadas à segurança.
Abaixo, você vai entender qual é a frequência ideal para executar o Pentest conforme o porte da empresa, tipos de compliance e contextos organizacionais.
Frequência do Pentest por porte e setor da empresa
Empresas de pequeno/médio porte e startups
Empresas de menor porte ou startups podem aplicar o pentest de modo anual.
Este período permite a detecção e correção de vulnerabilidades regularmente, além de cumprir com as demandas de conformidade.
Porém, fique atento também a situações específicas que exigem o Pentest, como o lançamento de novas aplicações (falaremos sobre isso abaixo).
Empresas de grande porte
No caso das empresas maiores, os dados armazenados e sistemas utilizados costumam ser mais complexos. Neste caso, a recomendação é executar o Pentest semestralmente.
Além desses fatores, considere também o contexto da empresa (falaremos sobre isso abaixo) para definir a frequência ideal.
Para empresas de tecnologia é diferente
Empresas de tecnologia, que geralmente trabalham com dados sensíveis e ficam expostas a riscos com maior frequência, devem aplicar o pentest de forma trimestral, mesmo as organizações menores.
Este costuma ser o mínimo indicado devido à complexidade da infraestrutura e a velocidade das atualizações.
Enterprise e instituições financeiras
Nessas empresas, estamos falando de operações ainda mais complexas e de alto risco, especialmente no setor financeiro.
Portanto, a recomendação é de que o Pentest seja executado de forma contínua.
Confira um resumo na tabela:
|
Tipo de empresa |
Frequência recomendada do Pentest |
|
Pequeno/médio porte ou startups |
Anual |
|
Grande porte |
Semestral |
| Tecnologia |
Trimestral |
| Enterprise e instituições financeiras |
Contínuo |
Frequência do Pentest por compliance
PCI DSS
O Pentest é obrigatório, e exige que os testes sejam anuais ou após grandes mudanças na infraestrutura de dados dos cartões.
ISO 27001
Não obriga a realização do Pentest, mas indica como boa prática realizá-lo trimestral ou anualmente.
SOC 2
Também não obriga a execução do teste, mas recomenda-se que seja feito, pelo menos, uma vez ao ano.
LGPD
Não obriga diretamente a realização do Pentest, mas exige provas de medidas técnicas eficazes para proteção dos dados.
Portanto, também é recomendado que seja realizado anualmente.
NIST
A NIST exige a realização do Pentest para alguns sistemas.
Ela possui diferentes normas, como NIST SP 800-171, NIST SP 800-53, entre outras. Cada uma pode exigir diferentes especificidades para a execução do teste.
Confira um resumo na tabela:
|
Norma |
Exigência do Pentest | Frequência recomendada do Pentest |
|
PCI DSS |
Obrigatório | Anual ou após grandes mudanças |
|
ISO 27001 |
Recomendado | Anual |
| SOC 2 | Recomendado |
Anual |
| LGPD | Recomendado |
Anual |
| NIST | Obrigatório para alguns sistemas |
Depende da norma (SP 800-171, SP 800-53, etc.) |
Frequência do Pentest por contexto
Além do porte e do compliance, algumas outras situações também exigem a execução de um Pentest, como:
- Atualizações ou mudanças significativas na infraestrutura do ativo.
- Implementação de novas funcionalidades em plataformas SaaS.
- Se está passando por auditorias internas e externas, fusão & aquisição, ou uma oferta pública inicial (IPO).
- Preparação para receber certificações.
- Já faz mais de um ano ou mais de 3 meses desde o seu último Pentest.
Na dúvida, consulte um fornecedor de Pentest e converse com ele a respeito da sua aplicação para saber se é o momento ideal.
Como saber se é o momento certo de fazer um Pentest?
Além de todos esses fatores, o momento certo de fazer um Pentest também depende da maturidade de segurança da empresa.
Isso significa que, para começar a executar Pentests com frequência de forma eficiente, é preciso que sua organização possua os processos, pessoas, ferramentas e recursos necessários para encontrar, priorizar e corrigir vulnerabilidades simples.
Dessa forma, o Pentest irá focar em vulnerabilidades mais complexas, gerando mais valor para o seu negócio e aumentando o ROI.
Benefícios de fazer Pentest com frequência
Ao fazer Pentests com a frequência ideal para sua empresa, você:
- Identifica vulnerabilidades com antecedência, antes que elas sejam exploradas.
- Constrói uma cultura de segurança na organização, incentivando boas práticas e reforçando a importância da segurança para os colaboradores.
- Evita custos com possíveis incidentes, como vazamento de dados, phishing, etc.
Lembre-se: na segurança cibernética, a melhor defesa é um bom ataque.
Há 5 anos a Vantico ajuda empresas de toda a América Latina a reforçar suas proteções por meio do Pentest.
Já são centenas de clientes atendidos e milhões em valor de mercado protegidos.
Faça como eles e confie no Pentest da Vantico.
Clique aqui para conhecer nosso trabalho.
Siga a Vantico nas redes sociais e fique informado sobre cibersegurança, tecnologia e insights.
Perguntas frequentes sobre Quando Fazer um Pentest
Não tenho tempo para fazer um Pentest agora, o que fazer?
É compreensível que seu time tenha diversas tarefas em andamento no momento. Mas, a segurança deve ser uma tarefa de alta importância para sua equipe.
Além disso, durante um Pentest, a sua equipe não precisa se envolver tanto assim, somente fornecer um ambiente ou contas para teste.
Após a execução, a equipe precisará fazer as correções indicadas, mas vocês poderão determinar a prioridade de cada uma delas.
Não tenho orçamento para fazer o Pentest agora, o que fazer?
Muitas empresas têm a concepção de que um Pentest é extremamente caro. Porém, tudo depende do escopo que será testado.
Caso seu orçamento seja limitado, você pode procurar organizações que oferecem condições especiais para startups ou, até mesmo, começar com um Pentest mais simples, focado em um ativo crítico, ao invés de fazer em toda a aplicação de uma vez.
Se meu produto está em fase de desenvolvimento, devo fazer um Pentest?
Isso irá depender do tamanho do projeto e do código. Em alguns casos, fazer um Pentest pode ser útil para verificar o que já foi feito e ter uma base melhor do que fazer no futuro.
Mas, uma outra opção, é realizar a Revisão de Código, um outro serviço focado somente na análise do código-fonte, buscando por erros (não só de segurança) e possíveis melhorias.
Se estou migrando meu servidor, devo fazer um Pentest?
Neste caso, é importante considerar dois pontos:
- Quanto tempo a migração irá levar.
- Qual é a severidade dos riscos existentes no servidor atual.
Se a migração será rápida e a severidade dos riscos for baixa, você pode testar o novo servidor. Caso a migração seja demorada ou os riscos sejam graves, neste caso recomendamos que você faça o Pentest também do servidor antigo.
