¿Es esencial que un CEH o CISSP certificado realice una prueba de Penetración y el envío de un informe? O cualquier persona con conocimientos que tenga experiencia en seguridad y amp; herramientas pueden realizar? Si cualquier persona puede hacerlo, se puede aceptar lo mismo según el requisito de cumplimiento de cualquier estándar, como ISO 27001, PCI-DSS, etc.
Hay tantas certificaciones diferentes, que las regulaciones globales no pueden requerir una específica.
Además, las certificaciones varían ampliamente en lo que cubren. CISSP no prepara a alguien para las pruebas de penetración. CEH puede ser visto también como 'ligero'. La organización que ofrece el CEH tiene una certificación separada para los evaluadores de penetración ( LPT ).
En el Reino Unido, existe CREST para pentesters, que se requiere para las empresas del Reino Unido en algunas situaciones reglamentarias.
En este momento, para estándares como ISO 27001 y PCI-DSS, solo hay que probar que el probador estaba "calificado" para realizar la prueba.
Pero nunca solo hagas algo porque una regulación así lo dice. No se supone que sean ejercicios de "marcar la casilla" donde usted hace lo mínimo. Son una guía para ayudarlo a hacer lo mejor para el negocio. El objetivo es implementar la mejor forma del requisito reglamentario de manera que cumpla con los objetivos comerciales.
Si cualquier persona puede hacerlo, se puede aceptar lo mismo según el cumplimiento requisito de cualquier norma como ISO 27001, PCI-DSS, etc.
Hablando específicamente a PCI, el DSS declara (por ejemplo):
11.3.1.b Verify that the test was performed by a qualified internal
resource or qualified external third party and, if applicable,
organizational independence of the tester exists (not required to
be a QSA or ASV).
"calificado" en este caso significa "según lo determinado por el QSA que realiza la auditoría". He realizado pruebas de penetración como miembro de una empresa bajo PCI-DSS, y los auditores me pidieron ver mi currículum, que incluía años de experiencia en seguridad, el CISSP y varios certificados GIAC (no de Pentest). Fue fácilmente suficiente para ellos.
Al igual que con cualquier otra cosa bajo PCI-DSS, su millaje puede variar según su QSA. Y, volviendo a la cuestión más amplia de otras normas, como ISO 27001, lo mismo es cierto ... los requisitos para las credenciales de los examinadores de bolígrafos generalmente no están codificados en las normas, sino que se dejan a criterio del auditor.
Lea otras preguntas en las etiquetas penetration-test