Un tester di penetrazione dovrebbe seguire una formazione ISO 27001 / ITIL, ecc.?

Anche se potrebbe non essere la pentecoste tecnica a cui sei abituato, ti aiuterà sicuramente a comprendere i processi e i controlli di sicurezza all'interno di un'azienda. Questo può aiutarti a portare le tue scoperte in un modo comprensibile al business e alla gestione IT.

Ovviamente significa anche che potresti fare molto di più del semplice pentesting in quanto potresti anche scrivere uno standard o una linea di base (27001).

Non aver paura di provare qualcosa di nuovo di volta in volta:).

Raramente ho trovato più conoscenze per essere una cosa dannosa. Potrebbe non essere molto utile, ma potrebbe essere d'aiuto in alcuni rari scenari.

Non di molto beneficio. Sono un PenTester con certificazioni ITIL e ISO 27k. Mentre ITIL non ha praticamente nulla a che fare direttamente con la sicurezza delle informazioni ed è molto generica, ma può essere efficace nel mettere un processo per una risposta agli incidenti più veloce e cambiare il controllo. ISO 27k esiste come linee guida standard e molto ampie per i processi che devono essere seguiti da qualsiasi organizzazione che prende sul serio InfoSec. Lo standard prevede inoltre disposizioni per gli audit per misurare l'efficacia dei processi e dei controlli di sicurezza delle informazioni. Questo controllo può includere sia l'analisi del codice sorgente che i test di penetrazione. L'unico modo in cui un Penetration Tester può trovarne un uso è di prevedere un certo livello di sicurezza se l'Organizzazione è certificata ISO 27k. Non ti verrà insegnato un singolo comando quando partecipi a questi corsi di formazione.

La conoscenza di ITIL e ISO 27k sarà necessaria se stai cercando di ottenere un ruolo manageriale all'interno delle grandi organizzazioni. A loro piace misurare tutto e avere metriche per quasi tutti i risultati del processo. ITIL e ISO 27k sono più incentrati sui processi che hanno obiettivi e meccanismi sviluppati per il miglioramento continuo.