Hola,
Maneras de generar una oferta de servicios de seguridad hay varias. Suele ser frecuente, al menos en mi experiencia, toparse con dos métodos diferenciados, dependiendo de la capacidad de planificación, tiempo disponible y conocimiento que tenga el oferente. Desde levantar el dedo al aire y decidir si una cosa cuesta 1000, 2000 o nmil euros, a realizar un estudio detallado para ofertar un servicio de una manera certera y ajustada a los consumos de recursos previstos y los beneficios esperados. El abanico es tremendamente amplio, y os puedo asegurar que he visto absolutamente de todo.
Independientemente de las distintas modalidades de análisis de recursos que podamos encontrar, parece sensato pensar que, siempre que sea posible, es deseable que las estimaciones que conducen a una oferta económica sean lo más certeras posibles. De lo contrario, pueden darse eventos no deseados: pillarse los dedos ofertando un trabajo costoso a bajo precio o quedarnos sin vender por haber pedido demasiado dinero por un trabajo que apenas consume recursos (y que tu competencia, sin recurrir a tirar precios, oferta a la mitad). También podemos acertar y generar una oferta económica adecuada, pero si vamos a basar el éxito comercial de las empresas en ver si atinamos o no con las ofertas, sin esforzarnos en planificar bien la presupuestación, mejor dedicarse a la videncia.
En el caso de auditorías perimetrales, test de penetración y trabajos de seguridad similares podemos apoyarnos en herramientas de cálculo y generación de presupuestos de diversa índole. La experiencia es fundamental, ya que para realizar ofertas comerciales correctas la clave está en hacer bien las valoraciones previas de consumo de recursos. Esto cobra especial importancia en las pruebas de caja negra, en las que hay que estimar teniendo un acceso limitado al servicio a analizar, con lo que las probabilidades de equivocarnos valorando son elevadas.
Para facilitar este tipo de estimaciones podemos emplear Time and Attack Mapper (TA-Mapper). Esta utilidad es muy elemental, y de hecho, no todo el mundo podrá usarla porque está pensada para ser ejecutada en entornos Windows (es un ejecutable W32 y además depende de una hojita Excel, entre otras cosas) pero creo que puede ser tremendamente útil a la hora de hacer estimaciones certeras en trabajos relacionados con la auditoría perimetral y los test de intrusión.
El método detrás de TA-Mapper es simple: desglosar el servicio de seguridad a efectuar en tareas, lo más atómicas posibles, para luego poder ponderar los consumos de recursos, especialmente, de tiempo. Teniendo en cuenta lo que queremos cobrar por hora trabajada, y estimando de un modo certero el número de horas necesarias, realizar una oferta acertada es cuestión de tener tino con el cálculo de beneficios esperados y costes a imputar al trabajo.
A mí, que vengo del campo de la ingeniería, este formato me recuerda mucho al fundamento de un presupuesto de obra, donde no resulta complicado imaginar lo arriesgado que es ofertar poniendo dedos al viento. Hay que efectuar mediciones, hay que conocer bien los precios precios unitarios, hay que saber desglosar en precios descompuestos y finalmente, hay que saber armar un presupuesto (de ejecución material, y de ejecución por contrata, dependiendo de si contemplanos o no el beneficio y los gastos generales)
Quien quiera probar TA-Mapper, puede descargar gratuitamente el programa en http://www.coffeeandsecurity.com/resources/tools/tamapper.aspx. Los que no usen Windows pueden aprovechar al menos la hoja Excel que acompaña el paquete (TAM-Config.xls) para documentarse sobre cómo realizar escandayos de tareas, lo que siempre viene bien para coger alguna idea.
Visto en Darknet.
Sergio, muy buen post, me fue de mucha utilidad, mas que nada porque nosotros evaluamos costos y con esta herramienta podría ser posible tener una línea base de como nos desvíamos del calculo del mismo.
Saludos desde Argentina,
Leandro Ferrari
Leandro,
Creo que esta herramienta puede ser muy útil, no por ser una herramienta que con un click o dos nos da una estimación, sino por ilustrar cómo valorar trabajos de difícil valoración. Ese es el verdadero valor de estos trabajos. Se me ocurre igualmente que puede servir para evaluar otros métodos de, valga la redundancia, evaluación, como es tu caso. Mire como se mire, estos aportes son altamente beneficiosos.
Un saludo, y espero encuentres mucha utilidad en TA-Mapper en tus proyectos profesionales.