7 Марта, 2013

Пентест для Бизнеса

Ильин Роман
Тут Алексей Лукацкий напал на пентест и "шьет" на него дело, по дискуссии он должен быть разложен на "деньги" ну или я понимаю хотя бы ROI должен быть какой-то? Хотел высказать несколько мыслей по этому делу.

Я считаю что пентест является вспомогательным сервисом, позволяющим внутренним или внешним аудиторам оценить ущерб и перевести его на деньги. ROI на пентест по факту также не считают в международном сообществе, т.е. в любом случае пентест без "правильного" аудитора или специалиста выступающего в этой роли, будет практически бесполезен для бизнеса, ну нашли дыры - и что, через годик все-равно все будет уязвимо без PDCA. Часто пентеров привлекают именно для того чтобы найти дыры а остальные работы проводят третьими силами или силами внутренних аудиторов, т.е. пентестер не видит стандартную классику такую как - инвентаризация активов, определение угроз, оценка возможности их реализации и финансовых последствий.

Да и нужно ли оно ему, поскольку по статистике пентестер это человек, который обладает только техническими навыками работы и специализируется на отдельной области работ. анализ кода, приложений, веба, сервисов и прочей технической части, и если он полезет в бизнес, это может привести к непредсказуемым последствиям.
или введите имя

CAPTCHA