Quando un servizio cloud è descritto secondo ISO 17788 (Cloud Computing – Overview and Vocabulary), con ruoli, attori e categorie di servizio ben definiti, la domanda operativa diventa concreta: quali prove tecniche servono davvero per dimostrare che il perimetro di rischio è stato compreso correttamente?
La risposta dipende da cosa è già stato chiarito sul modello cloud e da quali componenti digitali devono essere effettivamente verificati. Scegliere l’attività sbagliata — o nel momento sbagliato — produce output tecnici scollegati dal rischio reale e difficili da usare in sede di audit o vendor assessment.
In breve: quando ISO 17788 richiede un test tecnico
Il penetration test è la scelta giusta quando ISO 17788 si appoggia a componenti digitali esposti, processi ad alto rischio o servizi che devono dimostrare affidabilità tecnica verso clienti, auditor o stakeholder interni. Serve molto meno come prima attività quando il problema principale è ancora chiarire ruoli cloud, attori coinvolti, service model o confini della responsabilità.
Quando il penetration test è la scelta giusta
Il test ha senso quando:
- Esistono applicazioni, portali, API o componenti cloud da validare;
- Un buyer o un auditor richiede prove tecniche, non solo dichiarazioni;
- Ci sono ruoli privilegiati, dati critici o superfici esposte;
- Shared responsibility, tenant segregation o componenti gestiti dal provider incidono sul rischio reale;
- La remediation deve essere tracciata e confermata da un retest.
Quando conviene partire da un’altra attività
Il penetration test può non essere la prima leva quando:
- Mancano ancora perimetro, inventario o architettura chiara;
- Serve prima una lettura di rischio o un assessment preliminare;
- Bisogna ancora chiarire ruoli, attori e componenti condivisi del modello cloud;
- Il requisito è soprattutto lessicale o organizzativo e non ancora tradotto in un perimetro tecnico concreto.
Come scegliere la prova tecnica più adatta
| Se il bisogno principale è… | La leva più utile è… | Perché |
|---|---|---|
| Chiarire l’esposizione applicativa | Web Application Penetration Testing | Verifica sfruttabilità e impatto |
| Capire il rischio tecnico prima del test | Secure Architecture Review | Aiuta a definire meglio perimetro e responsabilità |
| Leggere il rischio cloud in modo strutturato | Cloud Security Assessment | Collega modello cloud e controlli operativi |
L’errore più frequente
Trattare penetration test, assessment e cloud governance come attività alternative è l’errore più comune. In pratica funzionano meglio in sequenza: prima si chiarisce il perimetro, poi si testa ciò che conta davvero, infine si traducono i risultati in remediation e decisioni concrete.
Domande frequenti su ISO 17788 e penetration test
- ISO 17788 rende il penetration test obbligatorio?
- Non necessariamente. Dipende da come il modello cloud è implementato e da quali componenti digitali devono essere realmente verificati.
- Cosa conviene fare prima del penetration test?
- Definire bene il perimetro, chiarire il rischio e identificare quali asset, dati, attori e interfacce incidono davvero sul requisito.
- Come si valuta se si sta scegliendo l’attività giusta?
- Se l’attività produce un’evidenza utile a chi deve decidere, auditare o acquistare il servizio, la direzione è corretta. Se produce solo output tecnici scollegati da ruoli cloud e responsabilità reali, probabilmente no.
Le vulnerabilità delle applicazioni web possono esporre la tua azienda a rischi e attacchi informatici.
Affidati a ISGroup per:
- Web Application Penetration Test efficace e mirato
- Individuazione e correzione preventiva delle falle di sicurezza
- Supporto tecnico da esperti in sicurezza applicativa
Se occorre capire se ISO 17788 richiede davvero un penetration test o prima un’altra forma di assessment, il passo utile è chiarire perimetro, rischio e obiettivo decisionale. A seconda del contesto, si può partire da una Secure Architecture Review, passare a un Cloud Security Assessment o procedere direttamente con il Web Application Penetration Testing.
Approfondimenti correlati
- Per il quadro completo sul tema, la guida principale su ISO 17788 e penetration test offre il contesto normativo e operativo di riferimento;
- Per capire quali evidenze produrre in sede di audit o vendor assessment, è utile la sezione dedicata a ISO 17788 e le evidenze per audit e vendor assessment;
- Per definire scope, deliverable e retest in modo coerente con il modello cloud, la guida su scope, deliverable e retest per ISO 17788 fornisce indicazioni operative.