Pentesting amb impacte de negoci

El valor del pentesting no és acumular troballes, sinó demostrar cadenes de risc comprensibles per al negoci. Un test que produeix 200 vulnerabilitats sense context d'impacte real no ajuda a prendre decisions: paralitza.

L'informe ha de diferenciar entre debilitats cosmètiques i vectors que realment poden afectar continuïtat, frau o exposició de dades. Una vulnerabilitat amb CVSS 9.8 en un servidor de desenvolupament sense accés a producció no té el mateix pes que una fallada mitjana en el sistema d'autenticació de l'ERP.

• Classificació per impacte de negoci real, no només per severitat tècnica CVSS
• Cadenes d'atac demostrades: com s'enllaçarien vulnerabilitats per aconseguir un objectiu
• Diferenciació entre risc immediat i risc latent
• Troballes separades per sistema, equip responsable i finestra de remediació
• Secció executiva de màxim dues pàgines amb els tres o quatre riscos prioritaris

També és clau convertir el resultat en un backlog executable. Sense responsables, evidències i seguiment, el test es converteix en una fotografia que envelleix ràpid. La majoria de pentests que revisem tenen troballes de versions anteriors del mateix test que continuen obertes mesos després, perquè mai no s'assignaren correctament.

• Cada troballa té un responsable de remediació i una data objectiu
• Les evidències (captures, logs, proves de concepte) estan adjuntes a la troballa
• Hi ha un procés de verificació un cop remediats cada punt
• Seguretat i operació comparteixen el mateix backlog, no informes separats
• Existeix una reunió de seguiment als 30 i 90 dies després del lliurament de l'informe

Un bon pentest costa entre 3.000 i 15.000 euros depenent de l'abast. Un incident derivat de no actuar sobre les seves troballes pot costar deu vegades més. La diferència no és el test; és el que es fa amb el resultat.