Siamo onesti: scegliere un fornitore di cybersecurity non è esattamente una passeggiata. Il mercato è pieno di aziende che promettono protezione antiproiettile, “ethical hacking” e sofisticati paroloni sulla compliance. Ma se vuoi risultati che contano davvero, devi sapere come distinguere i professionisti seri da quelli che propongono solo scansioni automatizzate e PDF troppo costosi.

Ecco alcuni consigli diretti per aiutarti a individuare il partner giusto ed evitare di sprecare il tuo budget.

1. Diffida dei Preventivi Istantanei

Se un fornitore ti dà un prezzo subito, senza chiedere nulla sulle tue esigenze, è un campanelo d’allarme. Penetration testers professionali sanno che nessun ambiente è uguale all’altro. Dovrebbero voler conoscere i tuoi sistemi, applicazioni, infrastrutture, obiettivi e qualsiasi preoccupazione specifica tu abbia prima di offrire una proposta.

Attività simili non sono qualcosa che puoi acquistare da un listino prezzi standard come un prodotto in un negozio. Un buon fornitore si prenderà il tempo necessario per definire correttamente lo scope del lavoro. Ciò significa capire cosa vuoi testare, quanto è complesso, quanto sono sensibili i dati e quali sono le tue priorità. Senza queste informazioni, qualsiasi “preventivo rapido” sarà o ingannevolmente basso per accaparrarsi il tuo business, o così gonfiato da essere irragionevolmente alto.

È anche un segno di professionalità e rispetto. Fare le domande giuste dimostra che vogliono personalizzare il test in base alle tue esigenze, non venderti un servizio generico che potrebbe non cogliere ciò che conta davvero. Se qualcuno non cerca nemmeno di capire il tuo ambiente prima di prezzare il lavoro, è un forte indizio che non sta prendendo sul serio la tua sicurezza.

2. Controlla il Prezzo, Ma Usa la Testa

Se i numeri sono sospettosamente bassi, probabilmente stai pagando per scanner automatizzati e un report con un template riciclato. Se sono alle stelle senza giustificazione, potresti semplicemente stare finanziando la tesla di qualcuno. Come riferimento, ecco cosa puoi aspettarti:

  • Italia e Spagna: circa €500-€900 per giorno/uomo, a seconda dell’esperienza del team.
  • Regno Unito: raramente sotto le £1.000 al giorno.
  • USA: tipicamente $1.800-$2.400 al giorno.
  • Gran parte dell’Europa: circa €1.500 al giorno.

La qualità ha un costo e, onestamente, non vuoi l’opzione più economica quando la sicurezza dei tuoi sistemi e dei tuoi dati è in gioco.

3. Richiedi Test Manuali

Le scansioni automatizzate possono rilevare le vulnerabilità più semplici (low-hanging fruit), ma il vero penetration testing è un processo manuale e creativo. I tester esperti pensano come veri attaccanti. Incatenano le vulnerabilità e scoprono ciò che gli strumenti non possono vedere. Assicurati che chiunque tu assuma esegua valutazioni manuali approfondite, non solo “scansiona e stampa il report”.

4. Verifica Competenze ed Esperienza

Qualsiasi azienda rispettabile dovrebbe essere in grado di dimostrare la competenza dei propri tester. Chiedi informazioni su certificazioni pertinenti (come OSCP, CPTS, CWEE) o, ancora meglio, su anni di esperienza sul campo. In questo settore, la conoscenza del mondo reale spesso supera i “badge” luccicanti, ma vuoi comunque una prova che sappiano cosa stanno facendo.

5. Cerca Standard, Ma Non Solo Checklists

Buone aziende utilizzano framework come PTES, OWASP o OSSTMM come riferimenti. Ma diffida di coloro che si limitano a spuntare caselle senza andare oltre a questo. I migliori tester uniscono la metodologia con il proprio istinto e la loro creatività. È lì che risiede il vero valore.

Questi standard sono importanti. Garantiscono copertura, coerenza e una comprensione condivisa di ciò che viene testato. Aiutano i clienti a vedere che il processo è rigoroso e non casuale. Ma non sono destinati a sostituire il pensiero laterale necessario per svolgere queste attività. Gli attaccanti reali non seguono un playbook standard. Si adattano, cambiano rotta e incatenano piccole problematiche ottenendo grandi violazioni.

Un penetration test che segue solo una checklist potrebbe sembrare completo, ma mancherà attacchi creativi. Gli strumenti automatizzati e le procedure standard possono rilevare problemi noti, ma spesso non riescono a vedere sottili difetti logici, percorsi di attacco non convenzionali o debolezze nel modo in cui diversi sistemi interagiscono.

I tester esperti sanno quando affidarsi al framework e quando andare oltre. Usano lo standard come guida, ma seguono la curiosità e l’intuizione per scoprire rischi reali. Sanno come porre le domande giuste, individuare anomalie e pensare come qualcuno con intenti malevoli.

Quando scegli un fornitore, chiedi loro come utilizzano questi framework. Ascolta risposte che dimostrino che comprendono la differenza tra copertura e creatività. Vuoi un team che possa dimostrare di seguire gli standard, ma che sappia anche uscire dagli schemi per fornire vere insight sulla sicurezza.

6. Cerca Certificazioni a Livello Aziendale

Verifica se l’azienda stessa possiede certificazioni come ISO 27001 o ISO 9001. Questo non garantisce che siano perfetti, ma dimostra che prendono sul serio la qualità e la sicurezza delle informazioni.

ISO 27001 è lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS). Significa che l’azienda ha processi formali, documentati e regolarmente auditati per proteggere le informazioni sensibili. Avranno modi definiti per gestire i dati in modo sicuro, gestire il rischio e rispondere agli incidenti, quindi è meno probabile che tu veda pratiche sciatte che mettano a rischio i tuoi dati.

ISO 9001 è lo standard internazionale per i sistemi di gestione della qualità. Segnala che l’azienda esamina e migliora costantemente il modo in cui fornisce i servizi. Questo è importante per te perché suggerisce che tengono effettivamente traccia della qualità del loro lavoro, imparano dagli errori e si concentrano sul soddisfare le esigenze dei clienti invece di vendere solo ore.

Queste certificazioni non rendono magicamente un’azienda eccellente nel penetration testing, ma sono forti segnali che gestiscono la loro attività in modo professionale. In un settore in cui chiunque può definirsi un “pentester”, sapere che sono seri riguardo ai processi è un indizio significativo che hai a che fare con veri professionisti, non con opportunisti.

7. Chiedi Esempi di Report

Prima di firmare qualsiasi cosa, richiedi esempi di deliverable: executive summary, finding dettagliati e raccomandazioni. Questo ti aiuterà a vedere quanto chiaramente comunicano e quanto siano attuabili i loro risultati. Un buon fornitore avrà report anonimi pronti da condividere. Dovrebbero essere disposti a mostrarti esattamente come presentano le vulnerabilità, spiegano l’impatto e indicano i passi per risolverle.

Guarda attentamente il livello di dettaglio. Si limitano a elencare numeri CVE e output di scanner, oppure spiegano come il problema potrebbe essere effettivamente sfruttato nel tuo ambiente? Priorizzano i finding in base al rischio reale, o li riversano tutti senza contesto? Le raccomandazioni sono chiare e fattibili per il tuo team da implementare?

I report professionali dovrebbero essere facili da comprendere sia per gli stakeholder tecnici che non tecnici. Dovrebbero dimostrare che i tester sanno come comunicare efficacemente con sviluppatori, amministratori di sistema ed executive allo stesso modo. Se un’azienda si rifiuta di condividere esempi, invia qualcosa di vago, o afferma “non possiamo mostrare assolutamente nulla,” consideralo una bandiera rossa. Spesso significa che non hanno nulla di degno di essere mostrato, o sanno che il loro lavoro non reggerà a un esame accurato.

8. Scegli un Team che Ascolti Veramente

Un buon fornitore di cybersecurity si prenderà il tempo per comprendere la tua attività, i tuoi obiettivi e la tua propensione al rischio. Adatterà il proprio approccio per adattarsi a te, non il contrario. Noi di Red Hive non crediamo negli engagement preconfezionati. Ogni progetto è personalizzato, perché ogni cliente è diverso.

In sintesi: Spendi un po’ di più. Fai domande. Chiedi prove. E ricorda: chiunque tu scelga sonderà i tuoi sistemi più sensibili. Assicurati di poterti fidare che lo facciano correttamente.

Se sei curioso di sapere come opera un vero team di offensive security, o vuoi semplicemente confrontare le note, siamo qui. A Red Hive non dispiace mostrare i nostri artigli, specialmente quando si tratta di proteggere ciò che conta.