Vai al contenuto
Home » Quanto costa un pentest?

Quanto costa un pentest?

Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?

Ma quanto costerebbe fare questo penetration test?

Magari specificando già in anticipo il budget che si avrebbe a disposizione:

Sì, ho capito l’attività, ma io a budget ho 1000 €

Storie di vita vissuta: la quotazione pilotata

Quando non buco siti e revisiono codice per il mio datore di lavoro, la sera
dopo aver letto la storia ai bimbi faccio qualche attività come freelance (se
ci sono).

L’anno scorso a Gennaio mi contatta un Senior Project Manager di una
webagency con cui avevo fatto una bella attività di test su un portale concorso
per un lettore di ebook. Soddisfatto io con un bel po’ di findings, soddisfatto
il cliente, soddisfatta la webagency. Tutti contenti. Bene.

Qualche mese dopo quel lavoro, a Gennaio appunto, mi contatta un nuovo
referente dell’agenzia che mi chiede una quotazione per il penetration test di
un’applicazione web per un loro cliente.

Io gli faccio qualche domanda per capire di cosa stiamo parlando e la risposta
per “ma quanto è grande l’applicazione? quanto è complessa? me la puoi
descrivere?”
la risposta è stata:

Noi l’applicazione non l’abbiamo ancora scritta, ma non sarà complessa vedrai
e comunque per l’attività non ho a budget più di 400€. Tuttavia poi faremo
tanti lavori insieme, abbiamo tanti progetti e blablabla.

Purtroppo ci sono troppi professionisti nel mio campo che, di fronte ad un
cretino simile, calano le brache e credono alle promesse di una lunga e
duratura collaborazione per qualche tozzo di pane.
Tenete conto che l’analisi di quel progetto sarebbe stata ibrida, pentest e
code review.

Inutile dire che dopo aver detto loro che non era modo di lavorare, soprattutto
con un profilo senior, e che il budget stimato era ridicolo, i rapporti si sono
interrotti qui.

Buono sì, fesso no.

Lo fareste con altri professionisti?

Un po’ come se voi andaste in un negozio di elettrodomestici, dicendo al
commesso “voglio esattamente quel televisore. Quanto costa? Ah, tenga presente
che io non ho più di 800€”
e abbiate indicato l’ultimo modello LCD 3D che sul
mercato tocca i 2K.

Un po’ come se voi andaste in gioielleria, dicendo al commesso “senta io
vorrei un anello d’oro con incastonati sopra almeno 3 carati di diamanti. Però
guardi, io non voglio spendere più di 500€”
.

Un po’ come se voi andaste dal concessionario, dicendo all’addetto vendite
“senta io vorrei l’ultimo modello di SUV nella versione full optional. Però
guardi, io non spendo più di 20K ma non si preoccupi che mando qui mio cuGGino
a prendere tante auto”
.

Il Senior Project Manager di quella webagency come si sarebbe rivolto ad un
altro professionista in un campo non ICT?

Probabilmente non avrebbe tenuto la cresta alta pensando di essere una divinità
nel campo dei media e della comunicazione digitale.
Probabilmente avrebbe sì previsto un budget massimo, realistico, e avrebbe
contrattato dopo la quotazione.

Come fare una stima realistica? Quanto costa un penetration test?

Ritorniamo quindi alla nostra domanda iniziale: “quanto costa un penetration
test?”
. La risposta corretta a questa domanda è… suspence… dipende.

Il primo fattore, quello base che determina il costo di un’attività di
application security, è chiaramente la seniority del professionista che hai
di fronte.

Quando ho dovuto operarmi al crociato, sono andato a cercare il migliore in
questo campo (opera anche nel settore pubblico, basta attendere qualche mese in
lista d’attesa), non sono andato in un ospedale qualsiasi. Probabilmente avrei
avuto una buona operazione comunque, tuttavia i dettagli nello scegliere il
migliore fanno la differenza. La tecnica utilizzata, l’esperienza, le tecniche
di riabilitazione e dopo 3 anni posso ancora fare sport dove le sollecitazioni
al ginocchio sono molto violente.

Voi dovete fare un test di security, chi chiamareste? Magari per un sito poco
importante, un sito vetrina, potrete affidarvi ad un profilo junior, magari per
conoscervi reciprocamente e contenere i costi. Lui farebbe comunque esperienza
e riceverebbe un giusto compenso.

Ma per un sito importante con premi in denaro, a chi affiderete il test?
Decisamente ad un profilo più senior, che sicuramente costa di più ma ti da
garanzie che non si limiterà a lanciare qualche tool e darti un report.

Il primo problema è proprio quello di saper scegliere il professionista e non
pensare solo al risparmio, per avere comunque un proprio margine elevato sul
progetto.

Parlando di cifre, una forchetta tra le 200 e le 300€ lorde al giorno per un
junior non sono scandalose e invece per un senior qualcosa che può andare tra
le 500 e le 700€.
Sono cifre un po’ a naso, basate su quello che ho visto e che ho proposto in
questi anni.

E’ chiaro che il nome blasonato potrebbe anche chiedervi di più. Il problema è
se qualcuno si offre a meno. So che ingolosisce fare un test di security
spendendo 400€ per una settimana di attività, ma praticamente è buttare via i
soldi. Un professionista si fa pagare e deve essere pagato il giusto.
Sottopagare un lavoro tecnico vuol dire che non hai di fronte un
professionista, quindi stai dando soldi a qualcuno che farà un lavoro
approssimativo e quindi stai buttando via i tuoi soldi.

Immagina se il sito che il tuo fantomatico cugino che fa pentest a 300€ viene
bucato poco dopo il lancio. Lui in fondo è junior, non dico che è giustificato
ma ci sta che la poca esperienza non garantisca il 100% dell’accuratezza. Tu
fai una figura pessima con il tuo cliente. Il tuo cliente fa una figura
peggiore con i propri clienti.

Nessuno vince, nessuno è contento.

Off by one

Dovremmo essere ormai abituati che un servizio va pagato in relazione al valore
che ci porta, alla difficoltà nell’esecuzione e alla qualità che ci viene
offerta. Questo, purtroppo, non vale ancora nel mondo delle yeah yeah startup
innovative
,
anche se iniziano a vedersi qualche mosca bianca.

Sposando questa filosofia, scegliete con cura lo specialista a cui affidarvi e
non decidete a priori un budget… affidatevi alle sue stime e magari cercate
di capire insieme il perché di uhn preventivo che vi sembra troppo alto.

Sì, potete chiederne uno anche a me

UPDATE Stefano mi fa notare che le rate
ipotizzate vanno bene nel caso si tratti di un freelance. Nel caso di società
di consulenza, potete considerare un overhead di +50%.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.