Faça um pentest pelo menos uma vez por ano e sempre após uma mudança significativa: novo sistema publicado, migração de infraestrutura, um incidente de segurança ou uma exigência de cliente ou regulação. O teste anual é a linha de base; os gatilhos são o que evita que uma alteração recente abra uma porta que ninguém validou.
Um pentest — ou teste de invasão — é uma simulação controlada de ataque em que um especialista tenta entrar no seu ambiente do mesmo jeito que um invasor real tentaria, mas sob autorização e com o objetivo de documentar as falhas antes que alguém mal-intencionado as encontre. A pergunta natural que vem depois do primeiro teste é: e agora, quando faço de novo?
A regra geral: anual + após mudanças
A resposta que serve para a maioria das empresas tem duas partes. A primeira é o ritmo mínimo: pelo menos um pentest por ano. Um ano é tempo suficiente para que novas vulnerabilidades sejam descobertas no mundo, para que sua equipe faça dezenas de pequenas mudanças e para que a superfície de ataque mude sem que ninguém tenha percebido. Testar uma vez por ano garante que exista uma foto atualizada da sua exposição.
A segunda parte é o gatilho por evento: independentemente do calendário, toda mudança relevante no ambiente merece um teste. Não porque a equipe seja descuidada, mas porque é justamente nas alterações que os erros aparecem — uma configuração esquecida, uma permissão ampla demais, uma dependência nova com uma falha conhecida. O teste de invasão feito logo após a mudança pega o problema enquanto ele ainda é barato de corrigir.
Gatilhos que pedem um novo teste
Na prática, estes são os eventos que devem disparar um pentest fora do calendário anual:
- Novo sistema ou aplicação em produção: subiu um portal, um app, uma API pública? Ele precisa ser testado antes de virar alvo.
- Mudança de infraestrutura ou migração: trocar de nuvem, reconfigurar rede, mover servidores — tudo isso reescreve a superfície de ataque.
- Alteração relevante em código já existente: uma refatoração grande ou uma nova funcionalidade sensível (pagamento, login, upload de arquivos) merece validação.
- Depois de um incidente: se houve uma invasão ou tentativa séria, um pentest confirma se a porta foi realmente fechada e se não há outras.
- Exigência de cliente ou regulação: contratos B2B, auditorias e normas de conformidade cada vez mais pedem um laudo recente de teste de invasão.
Pentest não substitui monitoramento contínuo
Um ponto importante: por mais frequente que seja, o pentest é uma foto, não um filme. Ele mostra como estava sua segurança no dia do teste. No dia seguinte, uma nova vulnerabilidade pode ser divulgada, ou alguém pode publicar uma mudança sem passar por revisão. Por isso o pentest não substitui a vigilância do dia a dia — ele complementa.
A cobertura contínua é papel de um SOC gerenciado, que observa o ambiente 24 horas, detecta atividade suspeita e reage a incidentes em tempo real. Pense assim: o pentest testa se as portas estão trancadas; o SOC vigia se alguém está tentando entrar por elas agora. Juntos, um valida a estrutura periodicamente e o outro guarda a casa o tempo todo.
Pentest vs scan de vulnerabilidade
Vale não confundir as duas coisas. Um scan de vulnerabilidade é automatizado: uma ferramenta varre o ambiente e lista falhas conhecidas. É rápido, barato e pode rodar toda semana — ótimo para higiene contínua. Um pentest é conduzido por uma pessoa que raciocina como um atacante, encadeia falhas, testa lógica de negócio e chega onde o scanner não chega. O scan diz "esta porta parece frágil"; o pentest diz "consegui entrar por ela e chegar até aqui". São complementares: o scan mantém a base limpa entre os testes, e o pentest aprofunda de tempos em tempos.
O que muda por setor e maturidade
A frequência ideal também depende do seu contexto. Empresas com dados sensíveis — saúde, financeiro, jurídico — ou que operam sistemas expostos à internet o tempo todo tendem a testar com mais frequência, às vezes duas vezes por ano ou a cada release importante. Já uma operação menor, com menos superfície exposta, pode se organizar bem com o ciclo anual mais os gatilhos por mudança. Setores regulados muitas vezes têm a frequência definida por norma, e aí o calendário é imposto de fora.
Maturidade também pesa: quem está começando costuma descobrir muita coisa no primeiro teste e se beneficia de retestar mais cedo, para confirmar as correções. Quem já tem um programa maduro consegue espaçar mais, apoiado no monitoramento contínuo entre um pentest e outro.
Como é o pentest da NoBug
O pentest da NoBug segue a metodologia OWASP Top 10, é sempre executado sob autorização e entrega um relatório em português, com as falhas explicadas, priorizadas por risco e acompanhadas de recomendações claras de correção. Depois que sua equipe corrige, fazemos o reteste para validar que a brecha realmente foi fechada — porque encontrar a falha só resolve metade do problema. Se quiser montar um calendário de testes que faça sentido para o seu ambiente, é só falar com a gente.
- Faça pentest pelo menos uma vez por ano como linha de base.
- Teste também após mudanças: novo sistema, migração, incidente, exigência de cliente ou regulação.
- Pentest é uma foto; o monitoramento 24h (SOC) é o que cobre o resto do tempo.
- Scan automatizado e pentest são complementares, não substitutos.
- Setor, exposição e maturidade ajustam a frequência para cima ou para baixo.