ISO 27001 Pentest Italia: Controllo A.8.29 e Test di Sicurezza per il Sistema di Gestione
ISO/IEC 27001:2022 — adottata in Italia come UNI CEI ISO/IEC 27001:2023 — è lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS). La revisione 2022 ha introdotto una ristrutturazione significativa dei controlli dell'Annex A, passando da 114 a 93 controlli organizzati in 4 temi. Il nuovo controllo A.8.29 «Security testing in development and acceptance» richiede che le organizzazioni definiscano e attuino processi di test di sicurezza sistematici durante lo sviluppo e prima dell'accettazione in produzione dei sistemi. In Italia, l'accreditamento per la certificazione ISO 27001 è gestito da Accredia (Ente Italiano di Accreditamento); gli organismi di certificazione accreditati Accredia sono i soli a poter rilasciare certificazioni riconosciute a livello nazionale e internazionale. I test di penetrazione sono un elemento frequentemente verificato dagli auditor ISO 27001 come prova dell'efficacia del sistema di gestione.
ISO 27001:2022 e i test di sicurezza: cosa richiede il nuovo Annex A
La revisione ISO/IEC 27001:2022 ha introdotto 11 nuovi controlli, di cui diversi direttamente rilevanti per i test di sicurezza. Il controllo A.8.29 «Security testing in development and acceptance» è uno dei più direttamente applicabili: richiede che i processi di sicurezza siano testati durante lo sviluppo e prima dell'accettazione in produzione, con documentazione dei risultati e degli interventi correttivi. Gli auditor ISO 27001 interpretano questo controllo come inclusivo di penetration test per i sistemi che gestiscono informazioni sensibili. Altri controlli rilevanti: A.8.8 «Management of technical vulnerabilities» richiede la gestione sistematica delle vulnerabilità tecniche, con valutazione del rischio e remediation tempestiva — la cui efficacia è verificabile solo tramite test tecnici; A.8.25 «Secure development life cycle» richiede che la sicurezza sia integrata nel ciclo di sviluppo del software, inclusi i test di sicurezza; A.8.34 «Protection of information systems during audit testing» regola come condurre i test di audit in modo sicuro. In Italia, la certificazione ISO 27001 è sempre più richiesta come prerequisito per le gare d'appalto pubbliche (CAM ICT), per accedere a clienti enterprise e per soddisfare i requisiti contrattuali di DORA (Art. 30) per i fornitori TIC delle banche.
- ISO/IEC 27001:2022 Annex A controllo A.8.29 (Security testing in development and acceptance): definizione e attuazione di processi sistematici di security testing — include penetration test, security review del codice, SAST/DAST per le applicazioni — documentazione dei risultati e tracciamento della remediation.
- ISO/IEC 27001:2022 Annex A controllo A.8.8 (Management of technical vulnerabilities): processo formalizzato di vulnerability management con inventario degli asset, valutazione periodica delle vulnerabilità, prioritizzazione basata sul rischio, SLA di remediation documentati — il penetration test è lo strumento per verificare l'efficacia del processo.
- ISO/IEC 27001:2022 Annex A controllo A.8.25 (Secure development lifecycle): integrazione della sicurezza in tutte le fasi del SDLC — design review, code review, test di sicurezza funzionale, penetration test pre-go-live; rilevante per le organizzazioni che sviluppano software internamente.
- ISO/IEC 27001:2022 clausola 9.1 (Monitoring, measurement, analysis and evaluation): l'organizzazione deve valutare le prestazioni della sicurezza e l'efficacia dell'ISMS — gli auditor richiedono misure quantitative dell'efficacia dei controlli, e i risultati dei penetration test sono la prova più forte.
- Accredia e la certificazione ISO 27001 in Italia: Accredia è l'ente di accreditamento italiano (membro EA e IAF); solo gli organismi di certificazione accreditati Accredia possono rilasciare certificazioni ISO 27001 con valore legale e riconoscimento internazionale nel circuito EA-MLA/IAF-MLA.
- ISO 27001 e CAM ICT (Criteri Ambientali Minimi ICT): la certificazione ISO 27001 è sempre più richiesta nei capitolati tecnici degli appalti pubblici italiani per servizi ICT — il D.Lgs. 36/2023 (Codice dei Contratti Pubblici) favorisce la certificazione ISO 27001 come criterio di qualificazione.
- ISO 27001 come prerequisito DORA per i fornitori TIC: DORA Art. 30 richiede che le banche includano nei contratti con i fornitori TIC critici clausole sulla sicurezza, tra cui il diritto di audit e la richiesta di certificazioni di sicurezza — ISO 27001 è la certificazione più comunemente richiesta.
Cosa testare per soddisfare ISO 27001:2022 Annex A e superare l'audit
- Perimetro del Sistema di Gestione (ISMS scope): tutti i sistemi e i processi nel perimetro certificato ISO 27001 — inventario degli asset aggiornato come prerequisito per un pentest ISO 27001.
- Controllo A.8.8 — Vulnerability management: verifica dell'efficacia del processo di gestione delle vulnerabilità — presenza di CVE critici senza patch, SLA di remediation rispettati, CVE-2023-44487 (HTTP/2 Rapid Reset, CVSS 7.5) come benchmark per i server web.
- Controllo A.8.29 — Security testing nelle applicazioni: test di sicurezza su tutte le applicazioni nel perimetro ISMS — OWASP Top 10 (2021), OWASP ASVS (Application Security Verification Standard) livello 2 come riferimento.
- Autenticazione e controllo accessi (Annex A controlli A.5.15, A.5.17, A.8.2): implementazione MFA, politiche di password, gestione degli account privilegiati, revisione periodica dei diritti di accesso — CVE-2023-23397 (Microsoft Outlook NTLM hash theft, CVSS 9.8) come esempio di vulnerabilità che bypassa l'autenticazione.
- Cifratura (Annex A controllo A.8.24): verifica delle implementazioni crittografiche — TLS 1.3, gestione delle chiavi, algoritmi deprecati (SHA-1, MD5, RC4, DES) — CVE-2022-0778 (OpenSSL infinite loop, CVSS 7.5) come riferimento.
- Sicurezza delle comunicazioni (Annex A controllo A.8.20): segmentazione di rete, firewall, IDS/IPS — test di attraversamento della segmentazione, verifica delle regole firewall, verifica dei controlli di rilevamento.
- Continuità operativa e backup (Annex A controlli A.8.13, A.8.14): verifica della robustezza dei backup e dei piani di continuità — test della capacità di un attaccante di compromettere i backup; verifica dei recovery time rispetto agli obiettivi.
- Sicurezza degli endpoint (Annex A controllo A.8.7): verifica delle configurazioni degli endpoint — EDR, patch degli OS, configurazioni hardening (CIS Benchmarks livello 2 per Windows/Linux); CVE-2024-1709 (ConnectWise ScreenConnect RCE, CVSS 10.0) come riferimento endpoint.
- Gestione degli incidenti (Annex A controllo A.5.26): verifica che le attività di attacco vengano rilevate e che i playbook di incident response siano attivati correttamente — misurazione del MTTD (Mean Time to Detect) e MTTR (Mean Time to Respond).
Esempio di finding
Microsoft Outlook senza patch — furto NTLM hash tramite invito calendario (CVE-2023-23397)
Un server di posta Exchange On-Premises nel perimetro ISMS risulta privo della patch per CVE-2023-23397 (Microsoft Outlook Elevation of Privilege / NTLM hash relay, CVSS 9.8). La vulnerabilità consente a un attaccante di inviare un invito calendario a un utente Outlook con un UNC path verso un server controllato dall'attaccante: al momento della visualizzazione dell'invito (senza apertura), Outlook invia automaticamente le credenziali NTLM dell'utente al server dell'attaccante. Questi hash NTLM possono essere usati in attacchi Pass-the-Hash per accedere a sistemi Windows nel perimetro senza conoscere la password in chiaro. La vulnerabilità è stata sfruttata attivamente dal gruppo APT28 (Fancy Bear) contro organizzazioni europee da marzo 2023. Il server Exchange non aveva applicato la patch Microsoft (KB5023697) disponibile da marzo 2023 — il sistema è senza patch da oltre 12 mesi.
Correzione: Applicare immediatamente la patch Microsoft KB5023697 (Exchange Server Security Update, marzo 2023) o la versione cumulativa più recente. Come misura alternativa immediata: bloccare il traffico SMB/NTLM in uscita verso Internet (porta TCP 445) sul firewall perimetrale. Abilitare la protezione Extended Protection for Authentication (EPA) per Exchange. Valutare la migrazione a Exchange Online con Entra ID (Azure AD) per eliminare strutturalmente il rischio NTLM. Documentare la vulnerabilità e il piano di remediation nel registro dei rischi ISMS come richiesto da ISO 27001:2022 A.8.8, con aggiornamento dello stato nella prossima management review ISMS.
Riferimento: CVE-2023-23397 (Microsoft Outlook NTLM hash relay, CVSS 9.8) · MITRE ATT&CK T1557.001 LLMNR/NBT-NS Poisoning and SMB Relay · CWE-294 Authentication Bypass by Capture-replay · ISO/IEC 27001:2022 A.8.8 (vulnerability management) · ISO/IEC 27001:2022 A.8.29 (security testing)
Pentest ISO 27001: confronto delle opzioni
| — | Scan gratuito | Matproof Sentinel | Consulenza tradizionale |
|---|---|---|---|
| Motore di scansione automatizzato | ✓ (anteprima 3 min) | ✓ Scansione completa | ✗ Solo manuale |
| Copertura OWASP Top 10 | Parziale | ✓ Completa | ✓ Completa |
| Prova di exploit | ✗ | ✓ Per finding | ✓ Per finding |
| Mapping normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizzato | ✓ Manuale |
| Report PDF pronto per l'audit | ✗ | ✓ Immediato | ✓ Consegna 2–4 settimane |
| Scansioni continue / ricorrenti | ✗ | ✓ Per deploy | ✗ Impegno annuale |
| Tempo al primo risultato | ~3 min | ~30 min scansione completa | 2–4 settimane |
| Prezzo | €0 | Da €149 | €8.000–€25.000 |
| Revisione codice sorgente (SAST) | ✗ | ✓ Piano Growth | ✓ In scope |
| Test API (REST/GraphQL) | ✗ | ✓ Automatizzato | ✓ Manuale |
Offerte di pentest per la certificazione ISO 27001
- 1 scansione pentest completa
- Risultati prioritizzati da AI con CVSS 3.1
- Proof-of-exploit per ogni finding
- Report PDF (pronto per l'audit)
- Mapping normativo (DORA, NIS2, ISO 27001)
- Scansioni illimitate (fino a 3 domini)
- Monitoraggio continuo
- Integrazione CI/CD (GitHub, GitLab)
- Tutti i mapping normativi
- Supporto prioritario
- Scansioni + domini illimitati
- Test autenticati / White-Box
- Test API e infrastruttura cloud
- Account manager dedicato
- SLA risposta 24h
Domande frequenti su ISO 27001 e i test di penetrazione in Italia
ISO 27001 richiede obbligatoriamente un penetration test?
ISO 27001 non prescrive esplicitamente i penetration test come obbligatori — lo standard è basato sul rischio e l'organizzazione sceglie i controlli in funzione del proprio profilo di rischio. Tuttavia, il controllo A.8.8 (vulnerability management) e A.8.29 (security testing) richiedono la valutazione tecnica dell'efficacia dei controlli di sicurezza. Gli auditor degli organismi di certificazione Accredia interpretano questi controlli come inclusivi di test tecnici periodici per i sistemi che gestiscono informazioni sensibili. In pratica, un'organizzazione che non effettua mai test tecnici avrà difficoltà a superare l'audit di certificazione o sorveglianza ISO 27001.
Con quale frequenza un'organizzazione certificata ISO 27001 dovrebbe effettuare penetration test?
Non esiste una frequenza prescritta dallo standard — la frequenza è determinata dalla valutazione del rischio (clausola 6.1). Prassi comune per le organizzazioni certificate ISO 27001: penetration test annuale completo del perimetro ISMS; vulnerability assessment continuo o trimestrale dei sistemi critici; pentest aggiuntivo dopo modifiche significative all'infrastruttura o alle applicazioni. Gli auditor di certificazione verificano che la frequenza sia proporzionata al profilo di rischio dell'organizzazione e coerente con le procedure documentate nell'ISMS.
Come si ottiene la certificazione ISO 27001 in Italia tramite Accredia?
Il percorso di certificazione ISO 27001 in Italia prevede: scelta di un organismo di certificazione accreditato da Accredia (es. Bureau Veritas, DNV, TÜV Italia, RINA, BSI Group Italia); Stage 1 audit: revisione documentale dell'ISMS (politiche, procedure, registrazioni, risk assessment); Stage 2 audit: audit operativo on-site per verificare l'implementazione dei controlli dell'Annex A; Emissione del certificato (validità 3 anni, con audit di sorveglianza annuali). I test di penetrazione sono tipicamente verificati nella Stage 2 o negli audit di sorveglianza come evidenza dell'A.8.8 e A.8.29.
Qual è la differenza tra ISO 27001:2013 e ISO 27001:2022 per i test di sicurezza?
ISO 27001:2013 aveva il controllo A.14.2.8 «System security testing» e A.12.6.1 «Management of technical vulnerabilities» come riferimenti per i test di sicurezza. ISO 27001:2022 ha consolidato e rafforzato questi controlli: A.8.29 è più esplicito sull'integrazione della security testing nel development e acceptance; A.8.8 è più specifico sul processo di vulnerability management. Le organizzazioni certificate con ISO 27001:2013 avevano tempo fino al 31 ottobre 2025 per completare la transizione alla versione 2022.
ISO 27001 e NIS2 / DORA: ci sono sovrapposizioni rilevanti per un'organizzazione italiana?
Sì — ISO 27001 è uno strumento di implementazione eccellente per la conformità NIS2 e DORA: ACN ha riconosciuto ISO 27001 come riferimento tecnico per le misure di sicurezza richieste dal D.Lgs. 138/2024; DORA Art. 30 incentiva le banche a richiedere la certificazione ISO 27001 ai propri fornitori TIC critici; una certificazione ISO 27001 in perimetro riduce l'onere di dimostrazione della conformità nelle ispezioni ACN e Banca d'Italia. Non si tratta di equivalenza formale, ma di riduzione significativa del rischio di non conformità.
Come viene valutato il penetration test in un audit di sorveglianza ISO 27001?
In un audit di sorveglianza ISO 27001, l'auditor tipicamente: verifica che esista una procedura documentata per i test di sicurezza tecnica (controlli A.8.8 e A.8.29); richiede evidenza dell'ultimo penetration test effettuato (report o sommario executive); verifica il stato di remediation dei finding critici identificati nel pentest; valuta se la frequenza dei test è proporzionata al profilo di rischio; verifica che i risultati dei test siano stati portati all'attenzione del management (management review, clausola 9.3). Matproof Sentinel genera automaticamente la documentazione richiesta per questi controlli.
Cosa sono i CIS Benchmarks e come si collegano a ISO 27001?
I CIS Benchmarks (Center for Internet Security) sono linee guida tecniche di hardening per sistemi operativi, applicazioni e infrastrutture cloud — ampiamente utilizzate come riferimento tecnico per implementare i controlli ISO 27001. Il CIS Controls v8 è mappato direttamente ai controlli ISO 27001:2022 e fornisce una guida operativa per implementarli. Per i test di sicurezza, i CIS Benchmarks Level 2 definiscono le configurazioni sicure da verificare; la verifica della conformità ai CIS Benchmarks è spesso inclusa nel perimetro di un penetration test ISO 27001.
Matproof produce report conformi ai requisiti degli auditor ISO 27001 Accredia?
Sì — il report Matproof Sentinel è strutturato per rispondere esattamente ai requisiti degli auditor ISO 27001: metodologia documentata (OWASP Testing Guide, PTES) con tracciamento ai controlli Annex A rilevanti; vulnerabilità con CVSS score, descrizione, evidenza di sfruttamento e riferimento al controllo ISO 27001 violato; stato di remediation aggiornabile nel tempo (evidenza continuativa); piano di remediation prioritizzato con SLA; executive summary per il management ISO 27001 (clausola 9.3). Il report è accettato da tutti i principali organismi di certificazione accreditati Accredia.
Approfondisci — articoli correlati dal blog
Avvii il Suo pentest per la certificazione ISO 27001
Superi l'audit ISO 27001 con evidenza concreta dell'efficacia dei Suoi controlli di sicurezza. Matproof Sentinel produce un report strutturato secondo i controlli A.8.8 e A.8.29 di ISO/IEC 27001:2022 — pronto per gli auditor Accredia.
Avvia il pentest ISO 27001