Pentesty dla firm, kiedy i jak często wykonywać testy?
Jednorazowy test penetracyjny to dobry początek, ale bezpieczeństwo to proces. Systemy się zmieniają, pojawiają się nowe podatności, a atakujący nie ustają. Jak często więc wykonywać pentesty?
Zasada ogólna
Większość firm powinna wykonywać testy penetracyjne co najmniej raz w roku oraz dodatkowo po każdej istotnej zmianie w systemie.
Kiedy zlecić test poza harmonogramem?
- Po wdrożeniu nowej aplikacji lub dużej funkcji.
- Po migracji, integracji lub zmianie infrastruktury.
- Przed audytem lub w ramach wymogów kontrahenta.
- Po incydencie bezpieczeństwa.
- Gdy wymaga tego zgodność, np. NIS2 lub ISO 27001.
Retest po naprawach
Po wdrożeniu poprawek warto wykonać retest, który potwierdza, że luki faktycznie zniknęły. To element, który zawsze proponujemy w naszej usłudze.
Zaplanuj badanie: testy penetracyjne dla firm lub umów rozmowę.
Kiedy wykonać test penetracyjny, najczęstsze sytuacje
| Sytuacja | Zalecana częstotliwość |
|---|---|
| Aplikacja produkcyjna przetwarzająca dane klientów | Minimum raz w roku |
| Wdrożenie nowej funkcji lub większa zmiana | Przed publikacją na produkcji |
| Wymóg regulacyjny (NIS2, DORA, PCI DSS) | Zgodnie z wymogiem (zwykle min. rocznie) |
| Po incydencie bezpieczeństwa | Niezwłocznie + retest po naprawie |
| Nowa infrastruktura lub migracja | Przed udostępnieniem użytkownikom |
Źródła i standardy
Przeczytaj także
Autor
Dominik Rulkiewicz
IT Security Manager · Octopus Lab
Ekspert cyberbezpieczeństwa z ponad 10-letnim doświadczeniem w sektorach regulowanych (ubezpieczenia, farmacja, logistyka). Process Owner ds. zarządzania podatnościami i hardeningu w Grupie ERGO, Audit Lead ISO 27001. Specjalizuje się w testach penetracyjnych, audytach bezpieczeństwa oraz zgodności z NIS2, DORA, ISO 27001 i RODO.
Certyfikaty: ISC2 CC · Cybersecurity Blue Team (Uniwersytet Jagielloński) · ITIL v4 · Microsoft Azure (AZ-900)