Voy a contratar a una empresa de seguridad de terceros para realizar pruebas de penetración en la red de nuestra empresa. Ya he seleccionado una empresa de pruebas de lápiz y de caja negra para que las haga, pero han solicitado detalles sobre nuestra red, incluyendo; Configuración de red, intranet, ¿Qué datos se les deben proporcionar? ¿Y qué datos no se deben proporcionar?
Dado que los evaluadores de penetración tienen una cantidad de tiempo limitada (ya que les proporciona una cantidad de dinero limitada), pueden hacer un mejor trabajo en ese tiempo cuanta más información tengan desde el principio. Por lo tanto, si está interesado en que realmente lo ayuden a aumentar su seguridad, mejor déles todos los detalles que desean.
Si, por el contrario, desea obtener un resultado que diga que no encontraron mucho en el tiempo que tenían, haga su trabajo lo más difícil posible y no proporcione ninguna información. Pero si bien tal resultado puede parecer bueno en un informe de administración, es probable que no refleje la verdadera (in) seguridad de su red.
Lea otras preguntas en las etiquetas penetration-test audit vulnerability-assessment