Cotação de pentest – Um guia sobre como comparar propostas

Cover blog article penetration testing quotes

SHARE

Share on facebook
Share on twitter
Share on linkedin
Contents show

Uma cotação de teste de intrusão, também conhecido como pentest, é uma proposta detalhada dos serviços que serão prestados, o escopo de trabalho e os custos associados a ele. Essa proposta serve como um mapa que guia tanto o fornecedor do serviço, quanto o cliente ao longo do processo do teste de segurança. No entanto, é muito comum que as cotações variem significativamente entre os fornecedores, o que pode levar a confusões e dificultar a comparação entre os serviços.

Compreender as nuances dessas cotações vai ajudá-lo a tomar uma decisão assertiva ao selecionar um fornecedor e garantir que o pentest atenda às necessidades e requisitos específicos que sua empresa possui.

O objetivo deste artigo é desmistificar o processo de cotação de um pentest, explicando porque eles podem ser diferentes entre os fornecedores e como comparar as propostas de forma efetiva.

Este artigo é indicado para CISOs, CTOs, gerentes de segurança da informação, gerentes de risco e auditoria e outras pessoas encarregadas de pedir cotações de pentests.

Cotação de um pentest

Para uma avaliação básica de segurança em aplicativos web ou um teste de intrusão em aplicativos móveis, o preço de um pentest pode custar, em média, entre R$ 15.000 e R$ 50.000. Para escopos como aplicações mais complexas, testes de segurança de produtos ou teste de intrusão em sistemas de grande porte com alto número de ativos, o preço pode ultrapassar R$ 100.000.

A cotação de um orçamento de um teste de intrusão pode variar significativamente por uma série de fatores. Como resultado, a média de preço desse tipo de serviço é muito ampla. Nos próximos tópicos, vamos explicar porque é fundamental pedir vários orçamentos, entender a estrutura delas e os motivos pelos quais podem variar, às vezes radicalmente, dependendo do fornecedor de pentest.

Elementos fundamentais de uma cotação de pentest

Entender a cotação de um teste de intrusão envolve avaliar aspectos fundamentais, incluindo o escopo da análise, sua a metodologia, a experiência da equipe, assim como a reputação da empresa que vai fornecer o serviço. Cada elemento contribui para o orçamento final, influenciando tanto o preço quanto o valor agregado do que você vai receber.

Quais são os principais componentes de um orçamento de pentest?

No geral, uma proposta de pentest consiste em três componentes fundamentais:

  • Escopo da análise: Esse componente detalha o escopo do que vai ser testado, como uma aplicação web, APIs, ativos e seus respectivos endereços de IP etc. Também descreve a abordagem de pentest que será realizada (ex: black box, white box, gray box), as metodologias usadas, requisitos de compliance a serem atendidos e qualquer risco específico que será o foco da análise.
  • Duração do projeto: A proposta ou orçamento deve prever uma estimativa precisa de quanto tempo o pentest vai levar. Isso vai depender do tamanho do escopo, da complexidade do ambiente e da profundidade da análise. Note que um teste de intrusão bem feito é minucioso e não deve ser apressado. É importante considerar que um pentest rápido e barato pode não ser capaz de entregar a profundidade que você precisa, correndo o risco de não avaliar de forma adequada a segurança da sua empresa.
  • Preço e investimento: Essa parte destaca o custo do serviço. Alguns fornecedores podem oferecer um preço fixo, enquanto outros baseiam o orçamento de acordo com o tempo, os recursos utilizados e o material entregue. Nem sempre um custo mais elevado de pentest não quer dizer necessariamente que ele terá uma qualidade mais alta, e vice-versa. 

      Equívocos mais comuns sobre cotações de pentest

      Um erro muito comum é achar que todos os testes de intrusão são criados da mesma maneira, e isto não poderia estar mais distante da realidade. Cada fornecedor de pentest tem metodologia própria, ferramentas, expertise em determinadas tecnologias, certificações da empresa e da equipe – tudo isso vai refletir na cotação.

      Além disso, a cotação de um pentest não é só um documento com preço – é uma proposta completa em que deve-se constar uma visão geral do que o fornecedor vai oferecer, como eles irão abordar o teste e quais são os resultados que você pode esperar, como comentamos brevemente no tópico anterior.

      Entender esses elementos pode lhe ajudar a estimar o real valor por trás dos números.

      Fatores que influenciam no preço de uma cotação de pentest

      Entender os fatores que influenciam no custo de uma cotação de pentest é fundamental para tomar uma decisão assertiva quando você estiver escolhendo um fornecedor. Nós escrevemos um artigo completo sobre os custos e fatores que influenciam na precificação de um teste de intrusão, mas abaixo vamos explorar os detalhes essenciais que podem influenciar o orçamento.

      Tamanho e complexidade do escopo e do ambiente

      O tamanho e a complexidade do seu ambiente de TI são fatores determinantes na cotação de um teste de segurança. Redes extensas e ambientes ou escopos complexos frequentemente demandam mais tempo e recursos do que aqueles menores e menos robustos.

      É bem mais provável que uma empresa multinacional com diversas redes interconectadas e dezenas de filiais, por exemplo, receba uma cotação mais cara do que uma empresa menor que possui apenas um website para ser testado.

      Abordagens de teste a serem utilizadas

      A abordagem de teste escolhida também podem influenciar a cotação. Testes de segurança podem ser black-box (testes a partir da perspectiva de um observador externo, sem nenhum conhecimento prévio), white-box (testes com total conhecimento sobre o sistema), ou gray-box (uma junção dos dois tipos anteriores). Cada abordagem requer diferentes níveis de esforço e expertise, o que será refletido na cotação. Ademais, tipos especializados de testes, como segurança física ou testes de engenharia social, podem acrescer o custo. 

      Experiência e competência técnica da equipe de pentest

      O nível de experiência e know-how da equipe que vai realizar o pentest é outro elemento-chave. Um time com um histórico sólido e profunda experiência podem ocasionar em preços mais elevados. É essencial ponderar isso em relação ao potencial qualitativo dos resultados.

      Credenciamentos e certificados relevantes para a indústria

      Os credenciamentos e certificações relevantes para a indústria servem como um atestado de proeficiência e comprometimento da equipe de pentest em manter altos padrões em seus trabalhos.

      É bem mais provável que equipes compostas por pentesters que possuem qualificações como o Offensive Security Certified Professional (OSCP), CREST CRT and CCT, ou SANS GIAC Penetration Tester (GPEN), estejam melhor preparadas para realizar esse tipo de trabalho do que times que não possuem certificação. Portanto, isso pode influenciar no preço do serviço.

      Utilização de ferramentas automatizadas vs testes manuais

      Enquanto ferramentas automatizadas podem realizar com rapidez a varredura de determinadas vulnerabilidades, os testes manuais permitem identificar problemas de segurança mais complexos e que podem passar despercebidos nas automações. Um pentest bem feito geralmente combina as duas abordagens. Se um fornecedor depender mais de um teste de intrusão manual, que requer um nível de expersite elevado e consome mais tempo, é muito provável que isso também vai refletir na cotação.

      Serviços pós testes – relatórios personalizados, retestagem e consultoria

      Os serviços após o pentest podem atribuir um valor significativo à análise em si. Relatórios de fácil compreensão para gerência e corpo técnico, além de prontos para auditoria, que não só listam as vulnerabilidades encontradas mas também incluem uma análise profunda e detalhada das vulnerabilidades encontradas, juntamente com uma avaliação precisa dos riscos e estratégias de mitigação recomendadas. O aprofundamento e a qualidade desses serviços podem influenciar o valor total do orçamento de um teste de intrusão.

      No próximo tópico, nós iremos abordar as razões pelas quais as cotações de pentests são tão diferentes dependendo dos fornecedores.

      Por que é importante obter múltiplos orçamentos de pentest?

      Assim como qualquer empresa solicita múltiplos orçamentos para contratar um serviço ou produto, o mesmo princípio se aplica ao buscar um teste de intrusão. Este processo ajuda empresas a garantirem que elas estão recebendo o melhor valor agregado pelo que estão pagando e também auxilia a identificar qual é o fornecedor apropriado para as necessidades que possuem.

      Em nossa experiência, empresas que procuram por serviços de pentest buscam obter pelo menos três orçamentos diferentes. Esse número oferece um bom equilíbrio, providenciando um leque de opções para comparação sem tornar o processo desgastante. Coletar múltiplas propostas permite uma comparação eficiente entre diversos aspectos que são cruciais – o escopo do serviço, a metodologia utilizada no teste, a complexidade dos relatórios e entregáveis, opções de retestagem, assim como a estruturação do preço.

      Para projetos mais robustos ou contratos de vários anos, realizar uma solicitação de proposta (do inglês Request for Proposal, ou RFP) pode ser mais efetivo. Uma RFP convida os fornecedores a enviarem seus orçamentos para um serviço específico, o que contribui para que a instituição que está conduzindo o processo licitatório obtenha detalhes aprofundados sobre o que cada um deles tem a oferecer. Essa abordagem traz a oportunidade de esclarecer necessidades e requisitos específicos do projeto, alinhando expectativas e comparando essas ofertas de uma maneira mais aprofundada.

      Por que orçamentos para testes de intrusão podem variar a depender do fornecedor?

      Os orçamentos de pentest podem variar significativamente entre os fornecedores, o que às vezes pode ser confuso para potenciais clientes. Aqui estão alguns motivos que justificam essa disparidade:

      Metodologias diferentes 

      Cada fornecedor emprega metodologias e processos únicos para conduzir os testes de intrusão, o que pode influenciar na cotação que você vai receber. Alguns utilizam uma abordagem mais minuciosa, personalizada e aprofundada, o que resulta em uma precificação mais alta. Em contrapartida, existem outras propostas simplificadas ou genéricas, logo a cotação pode ser mais em conta. Entender as especificidades metodológicas dos fornecedores vai lhe ajudar a avaliar se o orçamento oferece um bom custo-benefício.

      Divergências na expertise e experiência 

      A experiência e a expertise da equipe responsável pelo teste vai influenciar significativamente na cotação do serviço. Um time de especialistas em segurança que é experiente e certificado, atuando nesse ramo há vários anos, com uma trajetória sólida, provavelmente resultará em uma cotação mais elevada do que um que possui pentesters menos seniors.

      Enfoque diferente no tipo de teste de intrusão

      Testes de intrusão distintos se concentram em diferentes áreas. Por exemplo, alguns focam em aplicações web, outra parcela em segurança de rede, e ainda existem outros que podem focar na engenharia social ou até mesmo em uma visão holística da segurança da sua organização, como um exercício de red team amplo. Dependendo das suas especificações, o foco do pentest terá um papel determinante na cotação.

      Requisitos específicos do pentest

      A precificação de um pentest também pode variar com base nos requisitos específicos solicitados. Testes conduzidos fora do horário comercial ou aqueles que exigem serviços in loco geralmente vão ser mais caros por causa dos recursos adicionais e também da logística envolvida.

      Portanto, a complexidade e as condições específicas de um teste de intrusão são fatores importantes para se levar em consideração quando você estiver comparando orçamentos.

      Você recebeu a cotação para uma varredura de vulnerabilidades, não para um pentest manual

      É importante observar que um pentest manual pode diferir consideravelmente em relação a uma varredura automática de vulnerabilidades, mesmo que ambos sejam componentes-chave para elaborar uma estratégia de segurança completa.

      A varredura de vulnerabilidades é o processo automatizado que identifica as áreas vulneráveis de um sistema, enquanto o teste de intrusão em si é mais aprofundado e extenso. Ele não só identifica os riscos, como também busca explorá-los para entender qual seria o impacto potencial em caso de um ataque real.

      Portanto, se a cotação que você receber parecer mais barata do que o esperado ou boa demais para ser verdade, talvez seja importante verificar se o serviço foi orçado para uma varredura de vulnerabilidades ao invés de um pentest manual, abrangente e profundo. 

      Discrepâncias nos serviços pós-testes e entregáveis

      O que acontece após o pentest também pode afetar a cotação. Alguns fornecedores oferecem como parte dos seus serviços relatórios prontos para auditoria, retestagem grátis, apresentação de resultados e acompanhamentos regulares através de consultorias – já outros podem simplesmente entregar uma lista das vulnerabilidades encontradas. A extensão e qualidade desses serviços prestados após a realização da análise vai interferir na cotação final.

      Infografico O que analisar em uma cotacao de pentest

      Como comparar de forma eficiente o orçamento de pentest

      Após receber os orçamentos de diferentes fornecedores, é importante entender como compará-los com eficiência. Aqui estão alguns elementos-chave que você pode levar em consideração:

      Certifique-se de estar comparando escopos e serviços similares

      Ao comparar as cotações, certifique-se que o escopo e os serviços oferecidos são similares. Não é uma comparação de igual para igual se um deles oferecer outros serviços após o teste, como um relatório detalhado e acompanhamento através de consultoria, mas o outro incluir apenas o pentest em si. Tenha certeza de estar considerando todos os aspectos a serem comparados na proposta ofertada.

      Availe a metodologia e abordagem propostas

      Considere a metodologia e abordagem proposta de cada fornecedor. Eles seguem as melhores práticas da comunidade de cibersegurança? A abordagem pode afetar significativamente a qualidade dos resultados e deve ser um pilar fundamental para se levar em consideração quando estiver comparando as cotações.

      Reputação e o histórico do fornecedor de pentest

      É de suma importância avaliar a reputação e o histórico do provedor de serviços. Peça opiniões de clientes, referências de empresas que já trabalharam com o fornecedor e qualquer informação adicional que possa te oferecer insights a respeito da confiabilidade e da qualidade do que está sendo proposto. Além disso, um provedor de serviços com um histórico consolidado no seu nicho de mercado pode ser uma parceira muito mais valiosa do que outra que tenha um portfólio mais genérico, como empresas de serviços gerenciados (MSPs) ou empresas de auditoria e contabilidade que não têm a cibersegurança como área principal.

      Nós escrevemos um artigo completo com as 10 principais dicas para escolher o fornecedor de pentest que melhor irá atender as suas necessidades.

      Comparando o detalhamento do relatório final

      O detalhamento do relatório final que será entregue é outro aspecto que deve ser levado em consideração. Um report minucioso, que inclui a análise de tudo que foi encontrado, seus impactos potenciais e sugestões de estratégias para a mitigação dos problemas é mais valioso do que uma simples listagem das vulnerabilidades sem contextualização – especialmente se você tem pretensão de usar esse documento em uma auditoria ou para a avaliação de segurança para um parceiro de negócios. Esse diferencial nos entregáveis pode ser um fator determinante quando estiver ponderando sobre as cotações.

      Como comparar de maneira eficiente as cotacoes de pentest

      Considerações finais

      Em um mercado saturado de fornecedores de pentest e serviços de cibersegurança, compreender e comparar as cotações de orçamento para o serviço é crucial na garantia de que se está escolhendo o melhor parceiro de acordo com as necessidades que você possui. Como vimos, os orçamentos podem ser significativamente diferentes por uma série de fatores, incluindo a complexidade do seu ambiente de TI, os métodos específicos que vão ser utilizados, a experiência e expertise da equipe, o uso de ferramentas de automação versus testes manuais e a variedade de serviços oferecidos após o pentest.

      Cada cotação é mais do que somente um orçamento de preço – é um plano estratégico que vai delinear a abordagem do fornecedor para conduzir os testes de segurança, é o escopo de trabalho, o tempo que o projeto vai levar e quais serão os resultados finais, além dos relatórios. Investir tempo para dissecar cada cotação, entendendo as nuances e comparando a eficiência entre elas, terá um impacto significativo na qualidade dos resultados e no valor do que sua empresa irá extrair.

      Agora que você está equipado com conhecimento para entender e comparar as cotações dos testes de intrusão, entre em contato com os nossos especialistas para receber uma cotação personalizada de acordo com as suas necessidades de cibersegurança.

      FAQ

      Por que algumas cotações de pentest são mais caras do que outras?

      As cotações podem variar devido às diferenças na complexidade do ambiente de TI, as metodologias de teste utilizadas, a expertise da equipe e a varidade de serviços pós-teste. Orçamentos mais elevados geralmente envolvem processos de teste mais detalhados e extensivos.

      O que devo observar em uma cotação de pentest?

      Você deve observar o escopo da análise, os métodos utilizados, a expertise da equipe, os serviços pós-teste e a reputação do fornecedor no mercado. Certifique-se de que o orçamento ofereça um bom custo-benefício, em vez de simplesmente optar pelo menor custo.

      About the author

      Luana Cruz

      Luana Cruz

      RELATED POSTS

      Um novo patamar
      em segurança digital.
      Você está pronto?

      Nós estamos! Fale com nossos especialistas e entenda como podemos auxiliar sua empresa a criar fortes defesas contra ameaças cibernéticas.

      Esteja sempre informado

      Assine nossa newsletter

      Receba as últimas notícias de cibersegurança, artigos e insights dos nossos especialistas