Todos os proprietários da informação devem participar do Teste de Invasão. O proprietário da informação é responsável pela criação, classificação da informação e definir quais departamentos ou pessoas devem ter acesso aos dados.

O proprietário da informação atua no estratégico da empresa. Ou seja, os principais executivos devem participar o Teste de Invasão. Isso ocorre porque um dos objetivos do Teste de Invasão é acessar as informações classificadas como confidenciais ou restritas pelo proprietário da informação. Na prática, o alto escalão da organização nem sempre pode participar do Teste.

Outros departamentos ou gestores da sua empresa que devem participar do Teste de Invasão são: Auditoria, TI e área de Security Officer. Existem casos onde o departamento jurídico também acompanha os procedimentos realizados durante o Teste de Invasão. A equipe de especialistas em segurança da informação deve realizar uma reunião com os departamentos ou gestores envolvidos no Teste de Invasão, para explicar a metodologia e procedimentos que serão utilizados durante o teste. Durante a reunião serão definidos os alvos do Teste de Invasão. Por exemplo, servidores web, e-mails, servidores de arquivos, fórmulas de produtos, processo judiciais etc.

Qual será o tamanho da equipe?

O tamanho da equipe que irá realizar o Teste de Invasão pode variar de acordo com os alvos definidos. Tudo irá depender do número de máquinas que sofrerão as invasões, número de redes ou até mesmo número de aplicações (folha de pagamento, folha de ponto, sistema financeiro etc).

Recomendo que a equipe tenha no mínimo três especialistas em segurança da informação. Um único especialista não terá habilidade para realizar todos os tipos de ataque em um determinado alvo.