Page 18 - newDATAmagazine | 13>05>2022
P. 18
O nível do modelo de maturidade de Desta forma, importa selecionar com
desenvolvimento seguro da organização irá precaução quem serão os intervenientes
influenciar em muito o quão eficiente e de nestas atividades, quer sejam elementos
limitada duração poderá ser a atividade de internos ou externos à organização.
pentesting. Da perspetiva de capacidade técnica, será
Para que tal seja possível, é necessária a essencial avaliar a experiência dos
introdução de processos e tecnologias que, de especialistas que irão executar os testes em
forma estruturada, integrada e eficiente, projetos semelhantes, bem como outros
p e r m i t a m c o n t r i b u i r p a r a q u e o s
desenvolvimentos cheguem à fase de indicadores de níveis de conhecimentos
pentesting com níveis de maturidade de necessários. Um destes indicadores é, sem
desenvolvimento seguro muito elevados, dúvida, as certificações específicas nesta
ajudando a reduzir o esforço necessário para a área, que, não sendo uma garantia por si
atividade de pentesting. Permite ainda reduzir mesmas, mostram alinhamento com o tipo de
o esforço das equipas de desenvolvimento conhecimento necessário para realizar
associado à alterações de código para a atividades de pentesting.
adequada correção das incidências Destacamos neste campo as certificações
identificadas. da Offensive Security tais como o OSCP, OSWE
Selecionar a equipa ou OSCE, certificações da SANS GIAC tais
como o GPEN, GWAPT ou GXPN, e ainda
Sendo uma atividade que lida com certificações do CREST tais como o CRSA,
informação sensível, muito focada em
atividades executadas por especialistas, em CRT, CCWAT ou CCIT, não sendo, no entanto,
que se pretende que os resultados sejam, de esta lista exaustiva.
facto, uma mais valia para todo o processo de Sendo que, durante todo o processo de
gestão da cibersegurança da organização, é teste, se lida com informação potencialmente
essencial garantir que o pentesting seja sensível da organização e dos seus clientes, é
executado de forma profissional, ética e essencial garantir a idoneidade dos
estruturada. Assim, importa garantir que quem intervenientes, nomeadamente através de
os executa detém as necessárias qualidades background checks, validando o histórico
para o fazer, quer a nível de capacidade profissional e registo criminal, por exemplo. É
técnica, bem como elevados níveis de ética, e ainda essencial garantir a existência de
que todo o processo tenha em conta os riscos acordos de confidencialidade que assegurem
associados. que a informação não poderá ser divulgada a
Alguns destes riscos passam, por exemplo,
pelo acesso da equipa de pentesting a terceiros.
informação crítica da organização e seus No caso de ser um fornecedor externo,
clientes, podendo, em casos extremos, existir importa ainda avaliar de que forma é tratada
impactos inesperados nos sistemas e toda a informação referente aos testes, de que
aplicações alvo dos testes, ou ainda forma é armazenada, quem a ela tem acesso,
conhecimento técnico insuficiente por parte como é transmitida e, finalmente, como é
de quem executa os testes. destruída no final da atividade.
18 newDATAmagazine.com
