Definir el alcance es posiblemente uno de los más importantes componentes de una prueba de penetración, pero también es uno de lo más obviados. Aunque se escribe mucho sobre las diferentes herramientas y técnicas factibles de ser utilizadas para ganar acceso hacia una red, muy poco se ha sido escrito sobre el tópico precediendo a la penetración: preparación. Ser negligente al completar las actividades previas al contrato tiene el potencial de generar al profesional en pruebas de penetración (o su empresa) muchos de dolores de cabeza, lo cual incluye pérdida del alcance, clientes insatisfechos, e incluso problemas legales. El alcance de un proyecto específicamente define aquello lo cual debe ser probado.

Uno de los componentes clave del alcance para un contrato, es describir como los profesionales deben invertir su tiempo. Como un ejemplo, un cliente requiere sean probadas un ciento de direcciones IP por el precio de $ 100,000 dólares. Esto implica el cliente está ofreciendo $ 1,000 dólares por dirección IP probada. Sin embargo esta estructura de costos únicamente permanece efectiva con este volumen. Una trampa común en la cual caen algunos profesionales es mantener un costo lineal a través del proceso de pruebas. Si el cliente únicamente hubiera requerido probar una aplicación crítica de la empresa al mismo precio ($ 1,000 dólares), aunque el profesional evalúe una dirección IP, el volumen de trabajo se incrementa dramáticamente. Es importante variar los costos basándose en el trabajo realizado. De otra manera una empresa puede fácilmente encontrarse a si misma cobrando menos por sus servicios, lo cual motiva a realizar un trabajo menos al requerido.

Aunque se pueda tener una estructura sólida de precios, el proceso no es todo blanco y negro. No es infrecuente un cliente desconozca exactamente aquello lo cual necesita probar. Es también posible el cliente no conozca como comunicar de manera efectiva aquello lo cual requiere lograr con las pruebas. Es importante en la etapa previa al contrato, el profesional sea capaz de servir como una guía a través de aquello lo cual puede ser un territorio inexplorado para el cliente. El profesional debe entender intensamente la diferencia entre una prueba la cual se enfoca en una aplicación, comparado con una prueba donde el cliente proporciona un amplio rango de direcciones IP a probar, donde la meta sea simplemente encontrar una forma de penetrar.

Fuentes:

http://www.pentest-standard.org/index.php/Pre-engagement