Quando un servizio cloud è descritto secondo ISO 17789 (Cloud Computing – Reference Architecture), la domanda utile non è se lo standard “equivale” a un penetration test, ma quali prove tecniche servono davvero per dimostrare che il disegno architetturale regge.
La risposta dipende da cosa è già stato chiarito: se componenti, trust boundary e superfici esposte sono definiti, il penetration test ha senso; se l’architettura è ancora in fase di scoping, conviene partire da un assessment preliminare.
In breve: quando serve il penetration test con ISO 17789
Il penetration test è la scelta giusta quando ISO 17789 si appoggia a componenti digitali esposti, processi ad alto rischio o servizi che devono dimostrare affidabilità tecnica verso clienti, auditor o stakeholder interni. Serve molto meno come prima attività quando il problema principale è ancora chiarire componenti architetturali, trust boundary, ruoli o interazioni del servizio.
A chi serve questa guida
Questa pagina è utile per capire:
- quando il penetration test ha senso in un percorso legato a ISO 17789;
- quando convengono prima scoping, assessment architetturale o chiarimento del disegno cloud;
- come scegliere la prova tecnica più credibile per lo scenario specifico;
- come evitare costi o attività scollegate dal rischio reale.
Quando il penetration test è la scelta giusta
Ha senso avviare un penetration test quando:
- Esistono applicazioni, portali, API o componenti cloud da validare;
- Un buyer o un auditor vuole vedere prove tecniche, non solo dichiarazioni;
- Ci sono ruoli privilegiati, dati critici o superfici esposte;
- Componenti condivisi, control plane o orchestrazione incidono sul rischio reale;
- La remediation deve essere tracciata e confermata da un retest.
Quando conviene un’altra attività prima
Il penetration test può non essere la prima leva quando:
- Mancano ancora perimetro, inventario o architettura chiara;
- Serve prima una lettura di rischio o un assessment preliminare;
- Bisogna ancora chiarire componenti funzionali, piani e trust boundary dell’architettura;
- Il requisito è soprattutto architetturale e non ancora tradotto in uno scope tecnico concreto.
Come scegliere la prova tecnica più adatta
| Bisogno principale | Attività più utile | Perché |
|---|---|---|
| Chiarire l’esposizione applicativa | Web Application Penetration Testing | Verifica sfruttabilità e impatto |
| Capire il rischio tecnico prima del test | Secure Architecture Review | Aiuta a definire meglio perimetro e componenti |
| Leggere il rischio cloud in modo strutturato | Cloud Security Assessment | Collega architettura e controlli operativi |
L’errore più frequente
Penetration test, assessment e reference architecture vengono spesso trattati come attività alternative. In pratica funzionano meglio in sequenza: prima si chiarisce il perimetro, poi si testa ciò che conta davvero, infine si traducono i risultati in remediation e decisioni concrete.
Domande frequenti su ISO 17789 e penetration test
- ISO 17789 rende il penetration test obbligatorio?
- Non necessariamente. Dipende da come l’architettura cloud è implementata e da quali componenti digitali devono essere realmente verificati.
- Cosa conviene fare prima del penetration test?
- Definire bene il perimetro, chiarire il rischio e capire quali asset, interfacce e componenti incidono davvero sul requisito.
- Come capire se si sta scegliendo l’attività giusta?
- Se l’attività produce un’evidenza utile a chi deve decidere, auditare o comprare il servizio, la direzione è quella giusta. Se produce solo output tecnici scollegati da componenti e trust boundary reali, probabilmente no.
Le vulnerabilità delle applicazioni web possono esporre la tua azienda a rischi e attacchi informatici.
Affidati a ISGroup per:
- Web Application Penetration Test efficace e mirato
- Individuazione e correzione preventiva delle falle di sicurezza
- Supporto tecnico da esperti in sicurezza applicativa
Per capire se ISO 17789 richiede un penetration test o prima un’altra forma di assessment, il passo utile è chiarire perimetro, rischio e obiettivo decisionale. A seconda del contesto, si può partire da una Secure Architecture Review, passare a un Cloud Security Assessment o procedere direttamente con il Web Application Penetration Testing quando il perimetro è già definito.
Approfondimenti correlati
- La guida principale su ISO 17789 e penetration test offre il quadro completo su compliance, scope e metodologia;
- La pagina su ISO 17789 e le evidenze utili per audit e vendor assessment approfondisce come strutturare le prove per auditor e buyer;
- La guida su scope, deliverable e retest per ISO 17789 chiarisce cosa aspettarsi dal report e come gestire la fase di remediation.