Uma cotação de pentest, também conhecido como teste de intrusão, é uma proposta detalhada dos serviços que serão prestados, o escopo de trabalho e os custos associados a ele. Essa proposta serve como um mapa que guia tanto o fornecedor do serviço, quanto o cliente ao longo do processo do teste de segurança. No entanto, é comum que as cotações variem significativamente entre diferentes fornecedores, o que pode levar a confusões e dificultar a comparação entre os serviços.
Compreender as nuances dessas cotações vai ajudá-lo a tomar uma decisão assertiva ao selecionar um fornecedor e garantir que o pentest atenda às necessidades e requisitos específicos que sua empresa possui. O objetivo deste artigo é desmistificar o processo de cotação de um pentest, explicando porque eles podem ser diferentes entre os fornecedores e como comparar as propostas de forma eficaz.
Uma pergunta recorrente entre os responsáveis por segurança é justamente quanto custa um pentest, sendo essa dúvida sobre o valor do serviço uma das principais motivações para a busca por cotações.
Este artigo é indicado para diretores de segurança da informação (CISOs), diretores de tecnologia (CTOs), gerentes de segurança da informação, gerentes de risco e auditoria e outras pessoas encarregadas de pedir cotações de pentests.
Cotação de um pentest
Em média, o orçamento de um pentest pode variar entre R$ 15.000 e R$ 50.000 para uma avaliação básica de segurança de aplicativos web, cloud, infraestrutura ou um teste de penetração de aplicativos móveis. Para escopos como aplicações mais complexas, testes de segurança de produtos ou testes de intrusão em sistemas de grande porte com alto número de ativos, o preço pode ultrapassar R$ 100.000. Esses valores referem-se ao mercado do Brasil, onde existem empresas especializadas que oferecem diferentes modelos de precificação, adaptados às necessidades do mercado brasileiro.
Os orçamentos para um teste de intrusão podem variar significativamente com base em vários fatores. Nos próximos tópicos, vamos explicar porque é fundamental pedir várias cotações diferentes, entender a sua estrutura e os motivos pelos quais podem variar, às vezes radicalmente, dependendo do fornecedor do pentest.
Entendendo os fundamentos de uma cotação de pentest
Entender a cotação de um teste de intrusão envolve avaliar aspectos fundamentais, incluindo o escopo dos testes, sua metodologia, a experiência dos profissionais envolvidos, a reputação da empresa que vai fornecer o serviço e muito mais. Cada elemento contribui para o orçamento final, influenciando tanto o preço quanto o valor agregado do que você vai receber.
Quais são os principais componentes de um orçamento de pentest?
No geral, uma proposta comercial de pentest consiste em três componentes fundamentais:
- Escopo da análise: Esse componente detalha o âmbito dos testes, incluindo aplicações web, APIs e endereços IP para redes-alvo, etc. Também descreve a abordagem de pentest que será realizada nas simulações de ataques (ex.: black box, white box, gray box), as metodologias usadas, requisitos de compliance a serem atendidos e qualquer risco específico que será o foco da análise.
- Prazos: A proposta ou orçamento deve prever o tempo necessário para o pentest. Isso vai depender do tamanho do escopo, da complexidade do ambiente e da profundidade dos testes. Note que um teste de intrusão minucioso não deve ser apressado. É importante considerar que um pentest mais rápido e menos dispendioso pode não entregar a profundidade que você precisa, correndo o risco de não avaliar de forma adequada as ameaças à segurança da sua empresa.
- Preço e investimento: Essa parte destaca o custo do serviço. Alguns fornecedores podem oferecer um preço fixo, enquanto outros baseiam o orçamento no tempo, recursos utilizados e material entregue. Nem sempre um custo mais elevado de pentest significa necessariamente que terá uma qualidade mais alta, e vice-versa.
Equívocos mais comuns sobre cotações de pentest
Um erro muito comum é achar que todos os pentests são criados da mesma maneira, e isto não poderia estar mais distante da realidade. Cada fornecedor tem metodologia própria, ferramentas, expertise em determinadas tecnologias, certificações da empresa e da equipe – tudo isso vai refletir na cotação.
Além disso, a cotação de um pentest não é só um documento com preço – é uma proposta completa que deve fornecer uma visão geral detalhada das ofertas do fornecedor, como eles irão abordar o teste e quais são os resultados que você pode esperar, como comentamos brevemente no tópico anterior.
Entender esses elementos pode ajudar você a estimar o real valor por trás dos números.
Fatores que influenciam o preço de um pentest
Entender os fatores que influenciam o custo de uma cotação de pentest é fundamental para tomar uma decisão assertiva quando você estiver escolhendo um fornecedor. Escrevemos um artigo completo sobre os custos e fatores que influenciam na precificação de um teste de intrusão, mas abaixo vamos explorar os detalhes essenciais que podem influenciar o orçamento.
Tamanho e complexidade do escopo e do ambiente
O tamanho e a complexidade do seu ambiente de TI são fatores determinantes na cotação de um teste de segurança. Redes extensas e ambientes ou escopos complexos frequentemente exigem mais tempo e recursos do que aqueles menores e menos robustos.
Por exemplo, uma empresa multinacional com várias redes conectadas provavelmente receberá um orçamento mais alto do que uma pequena empresa com um único website para testar.
Métodos de teste a serem utilizados
A abordagem de teste escolhida também pode influenciar a cotação. Testes de segurança podem ser black-box (testes a partir da perspectiva de um observador externo, sem nenhum conhecimento prévio), white-box (testes com total conhecimento sobre o sistema), ou gray-box (uma junção dos dois tipos anteriores). Cada abordagem requer diferentes níveis de esforço e expertise, o que será refletido na cotação. Ademais, tipos especializados de testes, como segurança física ou testes de engenharia social, podem aumentar o custo.
Experiência e competência técnica da equipe de pentest
O nível de especialização e know-how da equipe que vai realizar o pentest é outro elemento-chave. Uma equipe com um histórico sólido e profunda experiência invariavelmente irá cobrar preços mais elevados. É essencial ponderar isso em relação ao potencial qualitativo dos resultados.
Acreditações e certificados relevantes para a indústria
Certificações relevantes para o setor servem como um atestado de proficiência e comprometimento da equipe de pentest em manter altos padrões em seus trabalhos.
É bem mais provável que equipes compostas por pentesters com qualificações como o Offensive Security Certified Professional (OSCP), CREST CRT e CCT, ou SANS GIAC Penetration Tester (GPEN) estejam melhor preparadas para realizar esse tipo de trabalho do que equipes que não possuem certificação. Portanto, isso pode influenciar o preço do serviço.

Utilização de ferramentas automatizadas vs testes manuais
Embora ferramentas automatizadas possam realizar com rapidez o scan de determinadas vulnerabilidades, testes manuais permitem identificar problemas de segurança mais complexos e que podem escapar às automações. Um pentest bem feito geralmente combina as duas abordagens. Se um fornecedor depender mais de testes manuais, que requerem um nível de expertise elevado e consomem mais tempo, é muito provável que isso também se reflita na cotação.
Serviços pós-testes – relatórios personalizados, retestagem e consultoria
Os serviços pós-teste podem aumentar significativamente o valor de um teste de intrusão. Relatórios abrangentes e prontos para auditoria, que não só listam as vulnerabilidades encontradas, mas também incluem uma análise profunda e detalhada das mesmas, juntamente com uma avaliação precisa dos riscos e estratégias de mitigação recomendadas, são extremamente úteis. A profundidade e a qualidade desses serviços podem influenciar o valor total do orçamento de um teste de intrusão.
Em seguida, iremos abordar as razões pelas quais as cotações de pentests são tão diferentes dependendo dos provedores.
Por que é importante obter múltiplos orçamentos de pentest?
Assim como qualquer empresa solicita múltiplos orçamentos para contratar um serviço ou produto, o mesmo princípio se aplica a um teste de intrusão. Este processo ajuda empresas a garantir que estão recebendo o melhor valor pelo que estão pagando e também a identificar qual é o fornecedor mais apropriado para as suas necessidades.
Em nossa experiência, empresas que procuram por serviços de pentest procuram obter pelo menos três orçamentos diferentes. Esse número oferece um bom equilíbrio, providenciando um leque de opções para comparação sem tornar o processo desgastante. A obtenção de várias propostas permite uma comparação eficiente entre diversos aspectos que são cruciais – o escopo do serviço, a metodologia utilizada no teste, a complexidade dos relatórios e entregáveis, opções de retestagem, assim como a estruturação do preço.
Para projetos mais complexos ou contratos de vários anos, realizar uma solicitação de proposta (do inglês Request for Proposal, ou RFP) pode ser mais eficaz. Uma RFP convida os fornecedores a enviarem seus orçamentos para um serviço específico, o que contribui para que a instituição que está conduzindo o processo obtenha detalhes aprofundados sobre o que cada um deles tem a oferecer. Essa abordagem traz a oportunidade de esclarecer necessidades e requisitos específicos do projeto, alinhando expectativas e comparando essas ofertas de uma maneira mais aprofundada.
Compare mais do que preços.
A Blaze ajuda você a definir o escopo certo e receber uma proposta alinhada ao risco real do seu ambiente.
Por que os orçamentos para testes de intrusão podem variar de acordo com o fornecedor?
Os orçamentos de pentest podem variar significativamente consoante os fornecedores, o que às vezes pode ser confuso para potenciais clientes. Aqui estão alguns motivos que justificam essa disparidade:
Metodologias diferentes
Cada provedor emprega metodologias e processos únicos para conduzir os testes de intrusão, o que pode influenciar a cotação que você vai receber. Alguns utilizam uma abordagem mais minuciosa, personalizada e aprofundada, o que resulta em uma precificação mais alta. Em contrapartida, existem outras propostas simplificadas ou padronizadas, logo, a cotação pode ser mais em conta. Entender as especificidades metodológicas dos fornecedores vai ajudar você a avaliar se o orçamento oferece um bom custo-benefício.
Divergências na expertise e experiência
A experiência e a expertise da equipe responsável pelo teste vão influenciar significativamente a cotação do serviço. Uma equipe de especialistas em segurança que é experiente e certificada, actuando nesse ramo há vários anos, com uma trajetória sólida, provavelmente resultará em uma cotação mais elevada do que um pentester menos experiente.
Enfoque diferente no tipo de teste de intrusão
Testes de intrusão distintos se focam em diferentes áreas. Por exemplo, alguns focam em aplicações web, outros em segurança de rede, e ainda existem outros que podem focar na engenharia social ou até mesmo em uma visão holística da segurança do seu negócio, como um exercício de red team amplo. Dependendo das suas especificações, o foco do teste pode influenciar o orçamento.
Requisitos específicos do pentest
A precificação de um pentest também pode variar com base nos requisitos específicos solicitados. Por exemplo, testes conduzidos fora do horário comercial ou aqueles que exigem serviços in loco geralmente vão ser mais caros por causa dos recursos adicionais e também da logística envolvida.
Portanto, a complexidade e as condições específicas de um teste de intrusão são fatores importantes para se levar em consideração quando você estiver comparando orçamentos.
Você recebeu a cotação para um scan de vulnerabilidades, não para um pentest manual
É importante observar que um pentest manual pode diferir consideravelmente de um scan automático de vulnerabilidades, ainda que ambos sejam componentes-chave para elaborar uma estratégia de segurança completa.
O scan de vulnerabilidades é um processo automatizado que identifica as áreas vulneráveis de um sistema, enquanto o teste de intrusão em si é mais aprofundado e extenso. Este não só identifica os riscos, como também busca explorá-los para entender qual seria o impacto potencial em caso de um ataque real.
Portanto, se a cotação que você receber parecer mais barata do que o esperado ou boa demais para ser verdade, talvez seja importante verificar se o serviço foi cotado para um scan de vulnerabilidades ao invés de um pentest manual, abrangente e profundo.
Discrepâncias nos serviços pós-testes e entregáveis
O que acontece após o pentest também pode afetar o orçamento. Alguns fornecedores oferecem como parte dos seus serviços relatórios prontos para auditoria, novos testes gratuitos, apresentação de resultados e acompanhamentos regulares através de consultorias – já outros podem simplesmente entregar uma lista das vulnerabilidades encontradas. A profundidade e qualidade desses serviços pós-teste vão interferir na cotação final.

Como comparar de forma eficiente orçamentos de pentest
Após receber os orçamentos de diferentes fornecedores, é importante entender como compará-los com eficiência. Aqui estão alguns elementos-chave que você pode levar em consideração:
Garanta que está comparando escopos e serviços similares
Ao comparar as cotações, certifique-se de que o escopo e os serviços oferecidos são similares. Não é uma comparação de igual para igual se um deles oferecer outros serviços após o teste, como um relatório detalhado e acompanhamento através de consultoria, mas o outro incluir apenas o pentest em si ou, pior, uma simples varredura automatizada. Certifique-se de considerar todos os aspectos do serviço ao comparar cotações.
Avalie a metodologia e abordagem propostas
Considere a metodologia e abordagem propostas de cada fornecedor. Seguem os padrões e metodologias de mercado para pentests? Os processos de teste são minuciosos? A abordagem pode afetar significativamente a qualidade dos resultados e deve ser um pilar fundamental para se levar em consideração quando estiver comparando as cotações.
Analise a reputação e o histórico do fornecedor de pentest
É de suma importância avaliar a reputação e o histórico do provedor de serviços. Solicite avaliações, depoimentos, referências de clientes e qualquer outra informação que possa fornecer insights sobre a confiabilidade e a qualidade dos serviços deles. Além disso, um provedor de serviços com um histórico consolidado no seu nicho de mercado pode ser um parceiro muito mais valioso do que outro que tenha um portfólio mais genérico, como empresas de serviços gerenciados (MSPs) ou empresas de auditoria que não têm cibersegurança como foco principal.
Escrevemos um artigo com as 10 principais dicas para escolher o fornecedor de pentest que melhor irá atender às suas necessidades.
Compare o detalhamento do relatório final
A abrangência e detalhamento do relatório final que será entregue é outro aspecto que deve ser levado em consideração. Um report minucioso, que inclui a análise de tudo que foi encontrado, seus impactos potenciais e sugestões de estratégias para a mitigação dos problemas é mais valioso do que uma simples listagem das vulnerabilidades sem contextualização – especialmente se você tem pretensão de usar esse documento em uma auditoria ou para a avaliação de segurança para um parceiro de negócios. Esse diferencial nos entregáveis pode ser um fator determinante quando estiver comparando cotações.

Conclusão
Em um mercado saturado de fornecedores de pentest e serviços de segurança cibernética, compreender e comparar as cotações de orçamento para o serviço é crucial na garantia de que se está escolhendo o melhor parceiro de acordo com as suas necessidades. Como vimos, os orçamentos podem ser significativamente diferentes consoante uma série de fatores, incluindo a complexidade do seu ambiente de TI, os métodos específicos que vão ser utilizados, a experiência e expertise da equipe, o uso de ferramentas de automação versus testes manuais e a variedade de serviços oferecidos após o pentest.
Cada orçamento é mais do que apenas um preço – é um plano estratégico que vai delinear a abordagem do fornecedor para conduzir os testes de segurança, o escopo de trabalho, o tempo que o projeto vai levar e quais serão os resultados finais, além dos relatórios.
Investir tempo para dissecar cada cotação, entendendo as nuances e comparando a eficácia entre elas, terá um impacto significativo na qualidade dos resultados e no valor que sua empresa irá extrair.
FAQ
Por que algumas cotações de pentest são mais elevadas do que outras?
As cotações podem variar devido às diferenças na complexidade do ambiente de TI, às metodologias de teste utilizadas, à expertise da equipe e à variedade de serviços pós-teste. Orçamentos mais elevados geralmente envolvem processos de teste mais detalhados e extensivos.
O que devo observar em uma cotação de pentest?
Você deve observar o escopo da análise, os métodos utilizados, a expertise da equipe, os serviços pós-teste e a reputação do fornecedor no mercado. Certifique-se de que o orçamento ofereça um bom custo-benefício, em vez de simplesmente optar pelo menor custo.


