¿Debe un capacitador de penetración tener capacitación en ISO 27001 / ITIL, etc.?

Si bien puede que no sea la técnica técnica más avanzada a la que está acostumbrado, definitivamente lo ayudará a comprender los procesos y los controles de seguridad dentro de una empresa. Esto puede ayudarlo a llevar sus hallazgos de manera comprensible a la administración de TI y de negocios.

Obviamente, también significa que puedes hacer más que solo hacer pentesting, ya que también puedes escribir un estándar o una línea de base (27001).

No tengas miedo de probar algo nuevo de vez en cuando :).

Rara vez he encontrado más conocimiento como algo perjudicial. Puede que no sea muy útil, pero puede ayudar en algunos escenarios raros.

No es de mucho beneficio. Soy un PenTester con certificaciones ITIL e ISO 27k. Si bien ITIL no tiene nada que ver directamente con la seguridad de la información y es muy genérico, puede ser eficaz para poner en marcha un proceso que permita una respuesta a incidentes y un control de cambios más rápidos. ISO 27k existe como una norma y pautas muy amplias para los procesos que debe seguir cualquier organización que tome en serio a InfoSec. La norma también contiene disposiciones para que las auditorías midan la efectividad de los procesos y controles de seguridad de la información. Esta auditoría puede incluir tanto el análisis del código fuente como las pruebas de penetración. La única forma en que un probador de penetración puede encontrar algún uso de esto es esperar que exista algún nivel de seguridad si la organización tiene la certificación ISO 27k. No se le enseñará un solo comando cuando asista a estos entrenamientos.

Se requerirá el conocimiento de ITIL e ISO 27k si está tratando de obtener un rol directivo dentro de las grandes organizaciones. Les gusta medir todo y tienen métricas para casi todos los resultados del proceso. ITIL e ISO 27k son más sobre el proceso que tiene un alcance y un mecanismo creados para la mejora continua.