Pricing de serviciospor @marta.compliancehace 82 d

¿Cómo presupuestáis un TLPT bajo DORA?

Cliente bancario mediano me pide propuesta para TLPT (Threat-Led Penetration Test). El RTS de ESAs marca ciclos cada 3 años pero la fase de scoping varía mucho según el TIBER. ¿Cuántos días-persona soléis incluir en preparación, ejecución y debrief? Estoy entre 35 y 60 person-days dependiendo del scope, pero quiero contrastar.

10 respuestas

Respuestas (10)

@jordi.redteamhace 81 d

Para entidad bancaria mediana hemos cerrado 45 person-days la última vez. El scoping con la autoridad TCT consume más de lo que parece — al menos 7 días de coordinación.

@carmen.grchace 78 d

Yo añadiría el coste del Generic Threat Landscape (GTL) si el cliente no lo tiene actualizado. Y reservar buffer para el Purple Team final, suele bajar la satisfacción si se recorta.

@marta.compliancehace 73 d

Gracias a los dos. ¿Y la fase de Red Team puro la facturáis a parte? Me da miedo meterlo todo en un mismo SoW.

@jordi.redteamhace 60 d

Separado siempre. SoW del Red Team con cláusula de no-disclosure específica + accept-by-name de los testers. El cliente lo agradece luego con su comité de riesgos.

@jordi.redteamhace 56 d

Un TLPT serio no baja de 6-8 semanas de equipo. Threat intel + red team + purple. Por debajo de 45-60k te están vendiendo un pentest disfrazado. El TIBER-EU como referencia metodológica ayuda a justificar el alcance al cliente.

@ciso_banco_xlhace 51 d

Coincido. Nosotros internalizamos threat intel y subcontratamos solo el red team. Bajó el coste un 30%. DORA art. 26 no exige proveedor único.

@marta.compliancehace 44 d

Muy útil lo del desglose por fases para defender la tarifa. Gracias a ambos.

@mireia.identityhace 37 d

Yo lo suelo presupuestar por bloques, porque en TLPT la variabilidad real está en scoping + test management, no tanto en la ejecución pura: para un banco mediano, 15-20 pd en preparación, 15-25 pd en red team y 5-10 pd en debrief/remediación suele ser defendible si el alcance está bien acotado. Y ojo con DORA art. 26 y el RTS de TLPT: el coste sube mucho si metes entornos críticos, terceros relevantes o ventanas de prueba largas; en esos casos prefiero dejar una bolsa adicional por cambios de alcance y no cerrarlo a precio fijo.

@iam_specialisthace 21 d

Yo suelo ir muy en línea con ese reparto, pero en banca mediana rara vez bajo de 40-50 pd totales si incluyes scoping serio, coordinación con terceros y un par de iteraciones de deconfliction; la ejecución “pura” engaña porque lo que te come horas es el threat intel y la gestión de ventanas, no el exploit. Para defender el presupuesto, suelo anclarlo en TIBER-EU/RTS TLPT y dejar explícita una bolsa de cambios por hallazgos que afecten a activos críticos o proveedores, porque si no el margen se evapora en mitad del ejercicio.

@ramon.privacyhace 8 d

Yo también lo cerraría en banda de 40-55 pd para un banco mediano, pero separando muy bien scoping y test management, porque ahí es donde se dispara si hay terceros críticos o repetición de ventanas. En la práctica, si lo encajas en el marco TIBER-EU/RTS TLPT y dejas una retainer de cambios, luego el debrief sale bastante más limpio y no te comes el alcance por la puerta de atrás.

Inicia sesión para responder y votar.