Tietoturva & kyberturvallisuus blogi – Silverskin

Mitä tietoturvatestaus maksaa ja mikä hintaan vaikuttaa?

Kirjoittanut Jani Kirmanen | 6 / 2024

Mistä tietoturvatestauksen hinta oikeastaan muodostuu? Tässä artikkelissa pyrimme avaamaan testauksen työmäärään liittyviä tekijöitä sekä tarjoamaan suuntaviivoja budjetointia varten.

Tietoturvatestauksen hintaan vaikuttaa kohteen tyyppi, koko ja testausmenetelmät

Tietoturvatestaaminen on asiantuntijatyötä. Testauksen työmäärä riippuu sekä testattavan kohteen tyypistä, laajuudesta ja kompleksisuudesta että valitusta tietoturvan arviointimenetelmästä.
 
  • Kohteen tyyppejä ovat mm. web- tai mobiilisovellus, integraatiorajapinnat, IT-infrastruktuuri (ulkoverkko ja/tai sisäverkko) sekä pilviympäristöt, IoT-laitteet ja sulautetut järjestelmät.
  • Laajuuteen vaikuttavat tietoverkoissa mm. palvelinten ja laitteiden lukumäärä, sovellustasolla taas toimintojen tai API endpointien lukumäärä sekä eri käyttöoikeustasot.
  • Kompleksisuutta taas lisäävät monimutkaiset käyttötapaukset tai toimialatuntemusta vaativat työnkulut (workflow't). Verkkotasolla puolestaan segmentoinnit tai tiukat rajoitukset scopeen lisäävät monimutkaisuutta.
  • Arviointimenetelmiä ovat mm. haavoittuvuusskannaus, penetraatiotestaus sekä auditointi. Näiden eroja ja käyttötarkoituksia on avattu tarkemmin blogeissa Pentestaus ja haavoittuvuuksien skannaus ja Tietoturva-auditointi vai pentestaus.

Tässä artikkelissa puhutaan ennen kaikkea penetraatiotestauksen hinnan muodostumisesta.

 

Liiketoimintatarpeen huomioiminen voi moninkertaistaa testaustyön arvon

Testaaminen itsessään on teknistä asiantuntijatyötä, mutta tulosten arvo syntyy tilaajan liiketoimintakontekstin ymmärtämisestä. Tämän takia on tärkeä ymmärtää kohteen roolin lisäksi, miksi ylipäätään halutaan testata, ketkä kaikki raportin tarvitsevat, mihin tietoturvaprosesseihin tulokset toimivat syötteenä, joustaako aikataulu jne. 

Toisin sanoen jokainen testauskohde on liiketoimintakontekstin ja teknologian yhdistelmä, ja tähän yhdistelmään perehtyminen vie oman aikansa. Tämä perehtyminen kuitenkin kannattaa tehdä, sillä se omalta osaltaan varmistaa, että tehdään oikea asia oikealla tavalla.

Parhaimmillaan testaustulos voi toimia syötteenä viestintään, markkinointiin, tilannekuvan muodostamiseen, riskienhallintaan ja prosessien kehittämiseen!

 

Paljonko penetraatiotestaus maksaa? Tässä esimerkkihintoja:


Vaikka jokainen kohde onkin erilainen edellä mainituista syistä, kustannukset projektityyppisesti toteutetuissa penetraatiotestauksissa liikkuvat seuraavissa hintahaarukoissa:

  • Web- ja mobiilisovelluksen penetraatiotestaus
    - 10 000 - 20 000 euroa

  • Ulkoverkon penetraatiotestaus
    - 10 000 - 30 000 euroa

  • Sisäverkon penetraatiotestaus
    - 15 000 - 40 000 euroa

  • IoT/Sulautetun järjestelmän penetraatiotestaus
    - 20 000 - 50 000 euroa

Mikä vaikuttaa hinnoitteluun ja miksi hinnat vaihtelevat eri yrityksillä? 

Tarjotun hinnan ja työmäärän tulee luonnollisesti heijastaa myös työn laatua.

Hinta arvioidaan usein päivissä ja eri palveluntarjoajilla voi olla toisistaan poikkeavia näkemyksiä työn laajuudesta. Työn laajuuden arviointiin ei ole standardia ja eri yritysten arviot ja näkökulmat usein poikkeavatkin toisistaan. Yksi yritys voi arvioida työmääräksi viisi päivää ja toinen seitsemän päivää.

Aloittelevilla testaajilla myös päivähinta saattaa olla edullisempi kuin kokeneemmilla. Asiakkaan voi olla hankala suoraan arvioida testauksen laatua, ja siksi hintoja arvioidessa voi olla hyvä kiinnittää huomiota myös mm. palveluntarjoajan kokemukseen, asiantuntemukseen ja sertifikaatteihin laadun varmistamiseksi. Voit esimerkiksi tarkistaa, onko yritys CREST-sertifioitu tai minkälainen kokemus ja mitä mahdollisia sertifikaatteja testaajalla on.

 

Mitä saan kun tilaan Silverskiniltä testausprojektin?

 

  • Asiantuntijan, jonka johdolla varmistetaan, että valittu testausmenetelmä on asianmukainen ja oikein mitoitettu kohteen tietoturvaan liittyvään liiketoimintatavoitteeseen.
  • Tiimin teknisiä ammattilaisia, jotka osaavat tiukassakin aikataulussa löytää systemaattisella ja läpinäkyvällä menetelmällä tietoturvapuutteita, arvioida niiden vakavuuden sekä kommunikoida korjaustoimenpiteet selkeällä tavalla.
  • Projektipäällikön, joka huolehtii aikataulusta ja kaikkien pysyvän kärryillä siitä, mitä tehdään seuraavaksi, mitä tietoa ja toimia keneltäkin edellytetään ja mihin mennessä. Näin yhteistyö sujuu mahdollisimman kitkattomasti ja asiakas voi keskittyä omiin hommiinsa sillä aikaa, kun testausta suoritetaan.
  • Raportin, jolla voidaan viestiä ulkoisille ja sisäisille sidosryhmille tietoturvan tasosta eli välittömästi tarvittavista toimenpiteistä ja pidemmän aikavälin suosituksista - tietoturvaprosessien kypsyyden mukaan.

Tarvitsetko penetraatiotestausta? Pyydä meiltä tarjous.