Cada prueba de penetración debe estar orientada a metas. Es decir el propósito de las pruebas debe ser identificar vulnerabilidades específicas, las cuales conduzcan hacia el compromiso de la empresa, u objetivos por misión del cliente. No se trata de encontrar sistemas sin parchar. Esto se trata sobre identificar el riesgo el cual impactará negativamente a la organización.

Primario

La principal meta de la prueba no debe ser conducida por el cumplimiento. Existen un número de diferentes justificaciones para este razonamiento. Primero, el cumplimiento no es igual a seguridad. Mientras esto debe ser entendido como muchas organizaciones se someten a las pruebas debido al cumplimiento, esta no debe ser la principal meta de la prueba. Por ejemplo, se puede contratar una firma para completar una prueba de penetración como parte de requerimientos sobre PCI-DSS.

No faltan compañías las cuales procesan información sobre tarjetas de crédito. Sin embargo los rasgos los cuales hacen a la organización en evaluación única y viable en un mercado competitivo, tendrán un gran impacto si son comprometidos. Los sistemas procesando tarjetas de créditos siendo comprometidos, ciertamente serán un serio problema; pero los números de tarjetas de crédito junto con los datos asociados del cliente expuestos; serían catastróficos

Secundario

Las metas secundarias están directamente relacionadas con el cumplimiento. Es común para las metas primarias y secundarias estar muy cercanamente relacionadas. Por ejemplo en las pruebas conducidas por PCI-DSS, obtener las tarjetas de crédito es la meta secundaria. Vincular esta brecha de datos hacia la empresa o conductores de misión de la organización es la meta principal. Las metas secundaria significan algo para el cumplimiento y/o TI. Las metas principales obtienen la atención de la alta gerencia.

Análisis Comercial

Antes de realizar una prueba de penetración, es beneficioso determinar el nivel de madurez sobre la postura de seguridad del cliente. Existen diversas organizaciones las cuales eligen saltar directamente hacia la prueba de penetración, evaluando primero este nivel de madurez. Para los clientes con un programa de seguridad inmaduro, es frecuentemente una buena idea realizar primero un análisis de madurez.

Algunos profesionales creen existe un estigma alrededor de un trabajo de Análisis de Vulnerabilidades. Estos profesionales olvidan la meta es identificar riesgos en la organizaciones evaluadas. Si una compañía no está lista para una prueba de penetración completa, obtendrá de lejos más valor de un buen Análisis de Vulnerabilidades, comparado con una prueba de penetración.

Se debe establecer con el cliente por adelantado cual información será proporcionada sobre los sistemas. También puede ser de ayuda consultar por información sobre las vulnerabilidades ya documentadas. Esto ahorrará tiempo a los profesionales, además de ahorrar dinero el cliente al no superponer los descubrimientos de las pruebas con problemas conocidos. Del mismo modo una prueba de caja blanca completa o parcial podría proporciona más valor al cliente, comparado con una prueba de caja negra, si el cumplimiento no es absolutamente requerido.

Fuentes:

http://www.pentest-standard.org/index.php/Pre-engagement#Goals
https://www.pcisecuritystandards.org/