En muchos casos la reunión para definir el alcance ocurrirá después del contrato haya sido firmado. También ocurren situaciones donde muchos de los temas relacionados con el alcance pueden discutirse antes de la firma del contrato, pero son pocos y distantes entre si. Para aquellas situaciones se recomienda firmar un acuerdo de no divulgación, antes de ocurra cualquier discusión a profundidad relacionado con el alcance. La meta de la reunión para definir el alcance es discutir aquello lo cual se evaluará.

Las reglas del contrato y los costos no serán abarcados en esta reunión. Cada uno de estos temas deberá tratarse en reuniones donde cada elemento sea enfocado en la reunión. Esto es realizado así porque las discusiones pueden fácilmente convertirse confusas si el enfoque no es explícitamente establecido. Es importante actuar como un moderador y mantener las discusiones en el tema, previniendo tangentes y aclarando ciertos temas sean los más adecuados para la discusión cuando sea necesario.

Establecida un (ROM) o por su traducción al idioma español; Orden de Magnitud Aproximado; para el proyecto, es momento de tener una reunión con el cliente para validar las suposiciones. Primero, es necesario establecer explícitamente cuales rangos de direcciones IP están en el alcance del contrato. No es raro el cliente se resista y asuma esto es una prerrogativa del profesional en pruebas de penetración, identificar la red y atacarla, para hacer las pruebas lo más reales posibles. Esto sería de hecho es una circunstancia ideal; sin embargo; las posibles ramificaciones legales deben ser consideradas por encima de todo. Debido a esto es responsabilidad del profesional transmitir al cliente estas preocupaciones, e impartirle la información de un alcance implícito. Por ejemplo en la reunión se debe verificar el cliente sea propietario de todos los entornos a evaluar; el servidor DNS, el servidor de correo electrónico, el hardware donde se ejecutan sus servidores web, sus soluciones de firewall/IDS/IPS, etc. Existen muchas empresas las cuales subcontratan la gestión de estos dispositivos a terceros.

Adicionalmente, se deben identificar los países, provincias, o estados, en los cuales operen los entornos a evaluar. Las leyes varían de región en región, y las pruebas pueden verse afectadas por estas leyes. Por ejemplo, países de la región europea son conocidos por tener leyes muy estrictas sobre la privacidad de las personas, lo cual cambia significativamente la manera en la cual se ejecutarían las pruebas de ingeniería social.

Fuentes:

http://www.pentest-standard.org/index.php/Pre-engagement
https://pmdocuments.com/how-to-develop-a-rough-order-of-magnitude-estima...