Quieres contratar los servicios de pentesting (pruebas de seguridad) y no sabes por dónde empezar? No eres el único. Al menos en México (y creo que es una realidad en otros países) para contratar estos servicios te basas en “renombre” o “prestigio” de una empresa, o porque la googleaste y su página se ve “profesional” o bien porque el primo del amigo te la recomendó: “Esos dudes están re-picudos!”. No te sientas mal. Seleccionar a una buena empresa de pentesting es un arte (así como el mismo pentest). No hay un catálogo; un comparativo completo de un tercero que haya hecho un análisis y te haga una recomendación medianamente objetiva.
¿Cómo seleccionas a una empresa de pentest para que te venga a hacer una prueba de seguridad?
¿La que te cobre más? ¿Una gran consultora con presencia internacional? ¿La que tenga una bonita página web? ¿La que tenga a su personal certificado CEH? ¿La que tenga consultores de traje y corbata o bien de jeans y con playera del BlackHat? ¿La que diga que tiene una “amplia experiencia en este tipo de servicios”? A continuación me di a la tarea de enlistar algunos parámetros que te pueden ser de utilidad al momento de contratar estos servicios. Varios de ellos pueden aplicar también para buscar servicios de consultoría de seguridad (risk assessment, threat modeling, etc.).
1) Prueba en Vivo
Un examen, pa’ pronto. Arma un ambiente de pruebas, crea algunos pequeños retos de hacking (o unos de miedo) y que vengan a demostrar sus habilidades “en sitio”. Quédate y ve cómo se desenvuelven, la manera en que resuelven los retos, las herramientas usadas y qué platican entre ellos. Antes de la prueba platícales sólo las generalidades de lo que se va a evaluar. Tal vez te dé pena pedir este examen sobre todo si la empresa tiene candidatos con N credenciales o dicen tener una amplia experiencia, pero si eres el cliente creo que tienes del derecho de llevarlo a cabo porque es una forma de evaluar sus competencias. La prueba en vivo te permitirá tener el “feeling” de los pentesters y no sólo de los vendedores que vinieron a ofrecerte el servicio en PowerPoint. Yo en las pruebas me he llevado un par de sorpresas con “grandes consultoras”. Y claro, se espera que pasen la prueba.
2) Empresa Dedicada a Pentesting
¿Es una empresa “milusos” o está dedicada 100% (o mayormente) al pentest? Yo prefiero una empresa lo más dedicada al pentest que sea posible (y no “integradores” o vendedores de productos que claro que lo harán si les pagas). c)
3) Libros Publicados por los Pentesters
Oiga señor, y qué tan involucrado está usted en seguridad informática y pentest? Si el personal de la empresa ha publicado un libro de algún tema de seguridad, pues ya de entrada habla bien de ellos y de la empresa, no?
4) Años de Experiencia
Pídele que te diga cuántos años lleva dedicado a esto del pentest. No te puedo decir cuántos años son suficientes, eso lo decidirás tú. Para mí serían adecuados un mínimo de 3 años.
Fuente: hacking.mx
No hay comentarios:
Publicar un comentario