Quando o Pentest é obrigatório?

Picture of vantico

vantico

Pentest para normas de segurança

Padrões e normas de segurança são um conjunto de requisitos, práticas e diretrizes, criadas para aumentar o nível de proteção das organizações contra possíveis ameaças. Elas são definidas por entidades como governos, instituições internacionais e outros órgãos regulamentadores do setor. 

Algumas das principais normas de segurança são: PCI-DSS, ISO 27001, SOC2, LGPD, NIST SP 800-53 e HIPAA. 

Apesar de cada uma ter seus parâmetros e exigências, a maioria delas possui algo em comum: a necessidade de usar técnicas, ferramentas e recursos que promovam a segurança dos dados. 

O pentest não é obrigatório em todas, porém, já que esse é um dos principais tipos de teste de cibersegurança, sua execução é altamente recomendada em praticamente todas. Afinal, através dele é possível adequar-se ainda melhor às diretrizes obrigatórias. 

O Pentest e as normas de segurança 

Abaixo, selecionamos as principais normas de segurança (de diversas áreas) e o nível de exigência do pentest em cada uma delas. 

LGPD 

Pentest recomendado, mas não obrigatório. 

A LGPD, Lei Geral de Proteção de Dados, é uma norma brasileira que regulamentou a segurança de dados pessoais, e já está em vigor há certo tempo.  

Apesar de não especificar a necessidade do pentest em suas exigências, a LGPD demanda o uso de técnicas e ferramentas capazes de proteger esses dados de ataques cibernéticos, vazamentos e qualquer outro risco que possa comprometer sua integridade. O pentest é um alinhado importante para cumprir esse papel – portanto, apesar de não ser obrigatório, é altamente recomendado. 

ISO 27001 

Pentest recomendado, mas não obrigatório. 

A ISO 27001 é uma diretriz internacional ligada à gestão de segurança da informação. No caso dela, apesar de os testes de intrusão não serem uma exigência, eles são uma ferramenta importante para a identificação de vulnerabilidades e ameaças de cibersegurança. 

PCI-DSS 

Pentest obrigatório! 

O PCI-DSS, uma diretriz voltada para cartões de crédito e débito, tem o pentest como uma exigência o pentest entre suas práticas. Ela é regulamentada no requisito 11.3, que estabelece a realização dos testes periodicamente (a cada 6 ou 12 meses) ou sempre houver alterações expressivas em uma aplicação. 

SOC2 

Pentest recomendado, mas não obrigatório. 

A SOC2 é um padrão de autoria, em que suas diretrizes estão direcionadas para o processamento, integridade e privacidade dos dados de provedores de serviços. 

Essa norma de segurança estadunidense avalia a eficácia das medidas usadas pela organização para garantir a proteção dos dados, o que pode incluir testes para encontrar vulnerabilidades. Por isso, apesar de não ter o pentest como obrigatório, ele novamente entra como um recurso fundamental. 

O SOC2 é muito usado empresas que atuam no exterior. 

HIPAA 

Pentest recomendado, mas não obrigatório. 

O HIPAA é uma lei estadunidense, e suas diretrizes abordam segurança de dados ligados à saúde, especialmente pensando em planos e seguros. 

Mais uma vez, o pentest não é obrigatório nesse caso. Entretanto, a lei exige que as organizações tenham recursos técnicos e administrativos para proteger as informações armazenadas. Por conta disso, muitas optam por realizar o teste de intrusão mesmo nos casos que não são obrigatórios. 

NIST SP 800-53 

Pentest recomendado, mas não obrigatório. 

NIST SP 800-53 também é uma diretriz estadunidense. Dessa vez, publicada pela National Institute of Standards and Technology. 

 O pentest é indicado nesse contexto como ferramenta para ajudar no gerenciamento de riscos de cibersegurança, já que a NIST SP 800-53 inclui recomendações de testes de segurança, avaliação de vulnerabilidades e de instrução. 

 

A ilustração abaixo resume a recomendação de cada norma de segurança: 

Obrigatoriedade do pentest por normas de segurança

Imagem: obrigatoriedade do Pentest por normas de segurança. 

Pentest para normas de segurança 

Aqui na Vantico, temos certificações em todas essas normas de segurança. Conheça nossa metodologia de Pentest as a Service e saiba como podemos ajudar a sua organização! 

veja também

Outros conteúdos sobre Segurança Cibernética