Las estimaciones sobre el tiempo están directamente enlazadas hacia la experiencia del profesional en ciertas áreas. Si un profesional tiene una significativa experiencia en un cierto tipo de prueba, probablemente pueda determinar cuanto tiempo durará la misma. Si el profesional tiene menos experiencia en el área, se sugiere leer nuevamente los mensajes de correo electrónico, además de los registros de escaneo correspondientes a las pruebas realizadas por la empresa anteriormente, las cuales sean similares comparadas con aquellas a realizar, esta una buena manera de estimar el tiempo requerido para el contrato actual. Una vez se determine el tiempo para la prueba, es prudente añadir el 20% adicional al tiempo.

El 20% adicional al final del valor correspondiente al tiempo se denomina relleno. El relleno es una necesidad absoluta para cualquier prueba. Esto proporciona un colchón en caso ocurriese alguna interrupción en la prueba. Existen muchos eventos los cuales comúnmente pueden ocurrir, y consecuentemente dificultar el proceso de la prueba. Por ejemplo un segmento de red puede desconectarse, o una vulnerabilidad significativa puede ser encontrada, la cual requiera muchas entrevistas con muchos niveles de gestión para abordarlo. Ambos de estos eventos consumen tiempo, y podrían significativamente impactar en el tiempo original estimado, si el relleno no fuese incluido.

¿Qué ocurre si el relleno del 20% no termina siendo necesario?. Facturar al cliente el tiempo no trabajado sería extremadamente no ético. Consecuentemente los profesionales deben proporcionar un valor adicional el cual normalmente no se hubiese proporcionado, si el limite en el proceso de evaluación se alcanzase. Ejemplos incluyen recorrer con el equipo de seguridad de la compañía, a través de todas las etapas realizadas para explotar las vulnerabilidades, proporcionar un resumen ejecutivo, si no formaba parte de la lista de entregables original, o invertir tiempo adicional intentando romper una vulnerabilidad difícil durante las pruebas iniciales.

Otro componente sobre las métricas del tiempo; además de las pruebas; es cada proyecto debe tener una fecha de entrega definitiva. Todos los buenos proyectos tienen un inicio y final bien definidos. Se necesita tener una declaración firmada del trabajo, especificando el trabajo y las horas requeridas si se alcanza la fecha específica para finalice la prueba, o si alguna prueba adicional o trabajo de prueba adicional es solicitado después de la fecha. Algunos profesionales tienen dificultades para hacer esto, pues perciben están siendo demasiado molestos cuando se trata de costos y horas. Sin embargo, según la experiencia, si se proporciona un valor excepcional para la prueba principal, el cliente no se negará a pagar el trabajo adicional.

Fuentes:

http://www.pentest-standard.org/index.php/Pre-engagement