¿Es una mala práctica y no es profesional realizar pruebas de penetración en ciudades distantes, sin reunirse con sus clientes en persona?
¿Es una mala práctica y no es profesional realizar pruebas de penetración en ciudades distantes, sin reunirse con sus clientes en persona?
Estoy intentando una respuesta basada en la experiencia de coordinar las pruebas de pluma para compañías de Fortune 100. Desafortunadamente, creo que la respuesta es "depende", pero espero que esto sea útil.
¿Es una mala práctica y poco profesional completar las pruebas de penetración? ¿Desde ciudades lejanas, sin conocer a sus clientes en persona?
Lo primero y más importante que debes saber es que debes tener autorization para realizar la prueba de penetración. Ya sea cara a cara o remoto, no importa. Esto significa un documento formal del cliente, así como de cualquier tercero proveedor. Por ejemplo, si su cliente está utilizando AWS (Amazon Web Services), debe tener la aprobación y autorización por escrito de la prueba, así como el scope de la prueba Sólo el cliente, pero también de AWS. Ya sea que lo haga cara a cara o de forma remota, no importa, es mejor que tenga una aprobación legal para realizar la prueba.
Cuando coordina esto de forma remota, podría arriesgarse a supervisar este punto importante.
En cuanto a conocer a su cliente en persona, eso depende del cliente. Algunos clientes quieren cara a cara, otros no les importa. Pero más que eso, y como lo menciona GdD, las expectativas deben acordarse antes de realizar la prueba. Generalmente, esto se proporciona en forma de alcance, costo y entregables.
Solo estoy lanzando esto como un bono, pero los clientes deben entender que la prueba es instantánea en el tiempo. Las personas, los procesos y la tecnología son una parte importante del ciclo de vida completo, por lo que el solo hecho de obtener un A + en un examen de prueba no es una prueba de que el cliente esté "seguro" por toda la eternidad.
Lo más importante para que una prueba de penetración tenga éxito es que las expectativas del cliente se comuniquen claramente al evaluador. Esto se puede hacer cara a cara o remotamente. Una reunión cara a cara puede ser muy útil para esto, pero no es necesario y he visto que se realizan muy buenas pruebas de penetración sin conocer a nadie de la organización de prueba porque los requisitos se comunicaron de manera efectiva. Esto se hizo al documentar los requisitos y luego llamar por teléfono para responder preguntas.
Si los evaluadores son un negocio en lugar de una sola persona, es probable que no conozca a las personas que realizarán la prueba de todos modos, es más probable que se encuentre con un representante de ventas y personal de ventas mientras el "trabajo real" Puede ser realizado por un conjunto de personas completamente diferente.
Consulte las líneas siguientes en enlace
"Uno de los documentos más importantes que se deben obtener para una prueba de penetración es el documento Permiso para realizar pruebas. Este documento establece el alcance y contiene una firma que reconoce el conocimiento de las actividades de los evaluadores. Además, debe declare que las pruebas pueden conducir a la inestabilidad del sistema y que el probador dará todo el cuidado debido a que no se colgarán los sistemas en el proceso. Sin embargo, debido a que las pruebas pueden llevar a la inestabilidad, el cliente no responsabilizará al probador por cualquier inestabilidad o falla del sistema. es fundamental que las pruebas no comiencen hasta que este documento esté firmado por el cliente ".
Lea otras preguntas en las etiquetas penetration-test