Avete deciso di sottoporre i vostri sistemi a un penetration test. Ora arriva la parte più difficile: scegliere a chi affidarlo. Il mercato è pieno di fornitori che dichiarano di fare la stessa identica cosa, con preventivi che variano enormemente, e dall’esterno è quasi impossibile capire chi offre un test serio e chi una scansione automatica con un nome altisonante. Questa è la lista delle domande da fare prima di firmare: le risposte vi diranno molto più di qualsiasi brochure.

  1. Il test è manuale o automatico?
  2. Chi esegue il test, e con quali certificazioni
  3. Posso vedere un report di esempio?
  4. Quale metodologia seguite e come definite il perimetro
  5. Cosa succede dopo la consegna del report
  6. Come gestite la riservatezza dei dati
Come scegliere una società di penetration test affidabile tra più fornitori

Il test è manuale o automatico?

È la prima domanda da fare, e la più rivelatrice. Un penetration test serio ha una forte componente manuale: un analista che prova attivamente a sfruttare le vulnerabilità, ne concatena di apparentemente minori, ragiona come farebbe un attaccante reale. Una scansione automatica, da sola, non è un penetration test: è uno strumento che produce un elenco di vulnerabilità potenziali, utile ma molto diverso.

Il problema è che molti fornitori vendono la seconda spacciandola per il primo, ed è proprio qui che si annida la differenza di prezzo più sospetta. Chiedete esplicitamente quanta parte del lavoro è manuale e quanta automatizzata. Una risposta vaga, o un’enfasi eccessiva sugli “strumenti avanzati” senza menzione del lavoro degli analisti, è un segnale da non sottovalutare.

Chi esegue il test, e con quali certificazioni

Un penetration test vale quanto le persone che lo conducono. Vale la pena chiedere chi materialmente eseguirà l’analisi e quali certificazioni possiede, sia a livello di singoli analisti sia a livello aziendale.

Le certificazioni dei pentester attestano competenze verificate da enti terzi, e sono un indicatore concreto in un campo dove è facile autodefinirsi esperti. Sul piano aziendale, una certificazione come la ISO 27001 dice che l’azienda gestisce la sicurezza delle informazioni secondo uno standard riconosciuto, il che conta parecchio quando state per dare a qualcuno le chiavi dei vostri sistemi. Un fornitore serio risponde a queste domande senza esitare; chi glissa, o risponde genericamente, merita qualche cautela in più.

Posso vedere un report di esempio?

Il report è il prodotto finale che vi resta in mano, ed è ciò che distingue un’analisi utile da un esercizio fine a sé stesso. Chiedere di vederne uno di esempio, anonimizzato, prima di firmare è del tutto legittimo, e la disponibilità a mostrarlo è già di per sé un segnale di trasparenza.

Quando lo guardate, valutate alcune cose. Le vulnerabilità sono ordinate per priorità, o è un elenco piatto in cui non si capisce da dove cominciare? C’è una spiegazione dell’impatto reale sul business, o solo gergo tecnico? Le raccomandazioni sono concrete e azionabili dal vostro reparto IT, o generiche? Un buon report è leggibile sia dal management sia dai tecnici, ciascuno trova la parte che gli serve. Un report che è solo l’esportazione grezza di uno scanner racconta che dietro non c’è stato molto lavoro umano.

Quale metodologia seguite e come definite il perimetro

Un test condotto a caso non vale niente. Chiedete quale metodologia riconosciuta segue il fornitore: standard come quelli OWASP per le applicazioni web o i framework NIST indicano un approccio strutturato e ripetibile, non improvvisato. Un fornitore che lavora secondo standard sa esattamente cosa verifica e perché.

Altrettanto importante è come viene definito il perimetro, cioè cosa esattamente sarà testato. Un preventivo serio nasce dopo una conversazione in cui si stabilisce con precisione quali sistemi, applicazioni o reti rientrano nell’analisi, e queste cose vengono messe per iscritto. Se un fornitore vi propone un prezzo senza prima aver chiarito il perimetro, sta vendendo qualcosa di standardizzato che con la vostra realtà ha poco a che fare. La chiarezza su cosa è incluso, e cosa no, vi protegge anche da spiacevoli sorprese a lavoro iniziato.

Cosa succede dopo la consegna del report

Molti fornitori consegnano il report e spariscono. Ma il report non è il traguardo, è il punto di partenza: il valore vero sta in cosa fate con quelle informazioni. Vale la pena chiedere, prima di firmare, cosa è previsto dopo la consegna.

C’è un momento di confronto per spiegare i risultati e aiutarvi a stabilire le priorità di intervento? È prevista la possibilità di una verifica successiva, per controllare che le correzioni applicate abbiano davvero chiuso le falle? Un fornitore che accompagna l’azienda anche in questa fase dimostra di avere interesse al risultato, non solo alla consegna del documento. È una differenza che si sente, soprattutto se il vostro reparto IT non ha competenze specialistiche di sicurezza interne.

Come gestite la riservatezza dei dati

Durante un penetration test il fornitore entra in contatto con informazioni estremamente sensibili: le vulnerabilità dei vostri sistemi, in alcuni casi dati reali, la mappa di come siete fatti dentro. È materiale che, nelle mani sbagliate, è esattamente ciò che cercherebbe un attaccante. Per questo la gestione della riservatezza non è un dettaglio formale.

Chiedete come vengono trattati i dati raccolti durante il test, se è previsto un accordo di riservatezza, per quanto tempo vengono conservati i risultati e come. Un fornitore professionale ha procedure chiare su questo e ve le illustra senza problemi. È l’ultimo tassello della fiducia: state scegliendo qualcuno a cui mostrare deliberatamente i vostri punti deboli, e dovete essere certi che quelle informazioni restino al sicuro.

La scelta giusta non è quasi mai la più economica, è quella più trasparente su questi punti. Cyberment affianca le aziende italiane con servizi di Penetration Test manuale condotti da analisti certificati, con metodologia riconosciuta, report orientati alle priorità e pieno rispetto della riservatezza. Contattaci ora per parlare della tua esigenza e ricevere una valutazione del tuo caso.


    Dichiaro di aver letto e compreso l'Informativa sul trattamento dei dati