Quando un repository ISO 14721 (Open Archival Information System, OAIS) si appoggia a portali di ingest, API, sistemi di preservazione, storage e workflow di accesso, la domanda utile non è se lo standard “equivale” a un penetration test, ma quali prove tecniche servono davvero per dimostrare che i controlli funzionano.
Scegliere l’attività sbagliata — o farla nel momento sbagliato — produce output tecnici scollegati dal rischio reale e non convince auditor, buyer o stakeholder interni.
In breve: quando ISO 14721 richiede un test
Il penetration test serve quando ISO 14721 si appoggia a componenti digitali esposti, workflow archivistici ad alto impatto o servizi che devono dimostrare affidabilità tecnica verso auditor, clienti o stakeholder interni. Serve molto meno come prima attività quando il problema principale è ancora chiarire perimetro, ruoli, catena del dato o architettura del repository.
A chi serve questa guida
Questa pagina è utile per capire:
- quando il penetration test ha senso in un percorso legato a ISO 14721;
- quando bastano assessment architetturali o scoping preliminari;
- come scegliere la prova tecnica più credibile per lo scenario specifico;
- come evitare costi o attività scollegate dal rischio reale.
Quando il penetration test è la scelta giusta
Ha senso avviare un penetration test quando:
- esistono applicazioni, portali, API o componenti cloud da validare;
- un buyer o un auditor vuole vedere prove tecniche, non solo dichiarazioni;
- ci sono ruoli privilegiati, metadati critici o superfici esposte;
- l’integrità dei contenuti dipende da workflow digitali concreti;
- la remediation deve essere tracciata e confermata da un retest.
Quando non è la prima attività da avviare
Può non essere la leva giusta come primo passo quando:
- mancano ancora perimetro, inventario o architettura chiara;
- serve prima una lettura di rischio o un assessment preliminare;
- bisogna ancora ricostruire workflow SIP/AIP/DIP, trust boundary e responsabilità;
- il requisito è soprattutto organizzativo e non ancora implementato in sistemi digitali concreti.
Come scegliere la prova tecnica più adatta
| Bisogno principale | Attività più utile | Perché |
|---|---|---|
| Chiarire l’esposizione applicativa | Web Application Penetration Testing | Verifica sfruttabilità e impatto |
| Capire il rischio tecnico prima del test | Secure Architecture Review | Aiuta a definire perimetro e trust boundary |
| Validare rete e storage di supporto | Network Penetration Testing | Verifica esposizione, segmentazione e hardening |
L’errore più frequente
Trattare penetration test, assessment e governance archivistica come attività alternative è l’errore più comune. In pratica funzionano meglio in sequenza: prima si chiarisce il perimetro, poi si testa ciò che conta davvero, infine si traducono i risultati in remediation e decisioni concrete.
Domande frequenti su ISO 14721 e penetration test
- ISO 14721 rende il penetration test obbligatorio?
- Non necessariamente. Dipende da come il modello OAIS è implementato e da quali componenti digitali devono essere realmente verificati.
- Cosa conviene fare prima del penetration test?
- Definire il perimetro, chiarire il rischio e identificare quali asset, contenuti, metadati e interfacce incidono davvero sul requisito.
- Come si valuta se si sta scegliendo l’attività giusta?
- Se l’attività produce un’evidenza utile a chi deve decidere, auditare o acquistare il servizio, la direzione è corretta. Se produce solo output tecnici scollegati da integrità archivistica e continuità, probabilmente no.
Le vulnerabilità delle applicazioni web possono esporre la tua azienda a rischi e attacchi informatici.
Affidati a ISGroup per:
- Web Application Penetration Test efficace e mirato
- Individuazione e correzione preventiva delle falle di sicurezza
- Supporto tecnico da esperti in sicurezza applicativa
Per capire se ISO 14721 richiede un penetration test o prima un’altra forma di assessment, il passo utile è chiarire perimetro, rischio e obiettivo decisionale. Si può partire da una Secure Architecture Review, procedere con il Web Application Penetration Testing o integrare un Network Penetration Testing per validare rete e storage.
Approfondimenti correlati
- La guida principale su ISO 14721 e penetration test offre il quadro completo dello standard e del suo rapporto con le attività di verifica tecnica;
- La pagina su ISO 14721 e le evidenze utili per audit e vendor assessment approfondisce come strutturare le prove per auditor e fornitori;
- La guida su scope, deliverable e retest per ISO 14721 chiarisce cosa aspettarsi dall’attività e come gestire la fase di remediation.