Cliente bancario mediano me pide propuesta para TLPT (Threat-Led Penetration Test). El RTS de ESAs marca ciclos cada 3 años pero la fase de scoping varía mucho según el TIBER. ¿Cuántos días-persona soléis incluir en preparación, ejecución y debrief? Estoy entre 35 y 60 person-days dependiendo del scope, pero quiero contrastar.
4 respuestas
Para entidad bancaria mediana hemos cerrado 45 person-days la última vez. El scoping con la autoridad TCT consume más de lo que parece — al menos 7 días de coordinación.
Yo añadiría el coste del Generic Threat Landscape (GTL) si el cliente no lo tiene actualizado. Y reservar buffer para el Purple Team final, suele bajar la satisfacción si se recorta.
Gracias a los dos. ¿Y la fase de Red Team puro la facturáis a parte? Me da miedo meterlo todo en un mismo SoW.
Separado siempre. SoW del Red Team con cláusula de no-disclosure específica + accept-by-name de los testers. El cliente lo agradece luego con su comité de riesgos.
Inicia sesión para responder y votar.