A dúvida de muitos profissionais na área de PenTest é referente ao preço que se deve cobrar em um serviço freelancer.
Muita das vezes alguns profissionais tem a oportunidade de trabalhar em um PenTest como Freelancer, mas não tem noção ou base de quanto deve cobrar.
Antes de tudo, você precisa analisar alguns fatores para cobrar um determinado valor:
- Qual é o Tempo de Projeto?
- Qual tipo de PenTest você vai realizar?
- Qual o grau de conhecimento você possui?
- Quais metodologias que você utiliza?
- Possui relatório de PenTest?
- Utiliza ferramentas pagas ou não?
- O PenTest tem como objetivo compliance?
- Quais certificações você possui?
- Quais referências você possui?
- Quanto de experiência você tem?
Sendo esses alguns dos fatores especificos, com certeza muitos outros englobam, mas antes de tudo é bom analisar pelo menos esses 10 tópicos.
Quando vamos realizar um PenTest, obviamente que antes de tudo precisa ser feito um Assessment, para entender o tipo de teste que será realizado, o que seu cliente precisa, pois muita das vezes o seu cliente não precisa de um PenTest, mas talvez de uma analise de vulnerabilidade. Por isso, a etapa de Assessment é crucial junto com a RFP.
Entender o que seu cliente busca em um PenTest também é essencial, não basta apenas ir lá e fazer o teste sem nenhum propósito, apenas levantar vulnerabilidades e explora-lás. Mas buscar um foco no seu teste, seja analisar o grau de risco que seu cliente tem para algum potencial vazamento de dados ou até mesmo percas financeiras. Principalmente hoje com muitas regulamentações como a GDPR/LGPD, o mercado ele mudou a forma de pensar referente a um teste de invasão, focando mais no risco e na natureza que uma brecha de segurança pode ser explorada e causar grandes impactos.
Por isso, cobrar um PenTest não é apenas analisar somente o tipo que ele será, pois mesmo que seja um White Box, Gray Box ou Black Box, cada um tem uma forma de ser trabalhada, um escopo a ser desenvolvido e principalmente uma pré-avaliação a ser trabalhada para entender até aonde os testes vão chegar. Desse modo, cobrar um valor seja por dia, hora, projeto ou semana, precisa ser calculado bem. Principalmente o tipo de teste, quanto tempo será investido, qual o escopo do teste, seja ele um PenTest em Aplicações Web, sistemas IoT, Cloud, Infraestrutura de redes e etc. Assim você consegue traçar um preço bom para você, principalmente parametrizando os testes que você tem mais conhecimento e habilidades, essencialmente o relatório também deve ser incluso.
Além disso, manter seu cliente informado no andamento dos testes é crucial, seja um report diário ou semanal, para assim manter o seu cliente a par de qualquer situações, sendo o mais profissional e o mais direto possível.
E como ponto crucial, o seu relatório tem que ser um relatório que consiga atender as necessidades do cliente, por isso é sempre bom apresentar um modelo no inicio do projeto, pois além de mostrar que se importa com o entendimento dos resultados e com a forma que o cliente vai receber a cereja do bolo, sua expertise em trabalhar reports vai melhorar, pois você consegue criar um banco de dados de conhecimentos de diferentes tipos de relatório, afinal como escrevi nesse artigo, muitos clientes querem analisar algum ponto crítico da empresa e saber o seu grau de risco.
Dessa maneira, perceba que muitos pontos são cruciais para cobrar um valor, não é apenas certificação ou certas habilidades que contam, mas sim a forma que você gerencia os testes para atender a necessidade do cliente, pois podemos comparar com Bug Bounty, afinal muitos programas definem um escopo que interessa a eles no momento e excluem o que não é tão impactante naquele momento para eles. E consequentemente no PenTest é a mesma coisa, afinal muita das vezes você tem uma estação de trabalho gigantesca ou inúmeras aplicações, mas muita das vezes apenas 2 ou 3 são de interesse crucial naquele momento, por conta disso, tudo precisa ser esquematizado corretamente.
Portanto, para cobrar um teste de vulnerabilidade leve em conta tudo isso, e cobre o preço que você achar justo, mas tenha em mente a responsabilidade de um teste, não é apenas rodar ferramentas, sair explorando vulnerabilidades e entregar um resumo. Mas ao contrário, um teste é essencial para medir a maturidade do seu cliente, uma oportunidade para gerar novos leads e garantir seu nome no mercado.
LinkedIn: https://www.linkedin.com/in/joas-antonio-dos-santos/
Views: 1616