Pentest ISO 27001:2022 — Controlli A.8.8 e A.8.29
Pentest allineato a ISO/IEC 27001:2022 con mapping diretto su A.8.8 (Gestione delle vulnerabilità tecniche) e A.8.29 (Test di sicurezza in sviluppo e accettazione).
Perché ora
Il dolore reale
Gli auditor BSI, BV, DNV e TÜV aprono l'Allegato A e chiedono: "Come dimostrate A.8.8 e A.8.29?". Una risposta con screenshot di Nessus boccia. Pentest manuale con catena di sfruttamento, PoC riproducibile ed evidenza di retest è la consegna che passa la ricertificazione annuale senza non-conformità.
Norma e riferimento
/superficie-di-attacco
ISO 27001:2022
Ogni ingaggio è progettato per il vostro ambiente. I punti seguenti fanno parte del nostro playbook standard per questo settore — lo scope finale è adattato al vostro stack e contratto.
A.8.8 — Gestione delle vulnerabilità tecniche
Inventario degli asset, validazione di patch, retest, evidenza di remediation con finestra temporale.
A.8.29 — Test di sicurezza
Test in sviluppo, omologazione e produzione — con criteri di accettazione documentati.
A.8.25-28 — SDLC sicuro
Validazione di revisione del codice, ambienti segregati, controllo del cambiamento.
A.5.7 — Threat intelligence
CTI che alimenta il pentest come input.
A.8.16 — Monitoring
Validazione di logging e SIEM durante l'esercizio.
A.8.20-23 — Rete e cloud
Segregazione, controllo di flusso, web filtering, hardening, gestione di accesso al cloud.
Evidenza per l'auditor
Report tecnico strutturato per controllo dell'Allegato A con mapping inverso.
/metodologia
Pentest manuale vero
Gli scanner automatici trovano ciò che è documentato. Gli attaccanti veri trovano ciò che non lo è. Il 90% del lavoro è manuale — eseguito da specialisti con OSCP, CISSP, CRTO e GPEN.
01 · Ricognizione
Mapping del target, OSINT, footprint, threat modeling specifico del settore.
02 · Scoperta
Enumerazione approfondita, scansione complementare, identificazione manuale dell'esposizione.
03 · Sfruttamento
Validazione manuale con PoC controllata, concatenamento di finding, escalation.
04 · Report
Esecutivo + tecnico, replica passo-passo, mappato alla regolamentazione applicabile.
/perche-fidarsi
Chi si è già fidato del nostro lavoro
Aziende in ciclo di certificazione BSI, BV, DNV, TÜV. Ricertificazione annuale accettata senza non-conformità tecniche su A.8.8/A.8.29.
Valutazione tecnica riconosciuta in ambienti regolamentati ad alta criticità — il pentest che trova ciò che nessuno aveva trovato prima.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programma di integrità
dei candidati pentester non supera il nostro Crivo
Sai chi avrà accesso al tuo ambiente?
L'NDA vale in tribunale. Non vale nel quotidiano. Prima del primo accesso, ogni nostro pentester passa background, profilo psicometrico e test di integrità.
- Verifica criminale, fiscale e professionale approfondita
- Valutazione psicometrica e profilo di rischio
- Test di integrità pratico con scenari controllati
- Team fisso — non rotativo, niente "sconosciuto a ogni ingaggio"
/faq
FAQ — ISO 27001:2022
Il pentest è obbligatorio per ISO 27001:2022?
Non letteralmente, ma A.8.8 richiede gestione delle vulnerabilità tecniche e A.8.29 richiede test di sicurezza. Senza pentest manuale serio, è praticamente impossibile dimostrare quei controlli.
Funziona per certificazione iniziale e ricertificazione?
Sì. Per iniziale, consegnamo report + piano. Per ricertificazione, retest dei finding + nuovi vettori che coprono cambiamenti dell'ultimo ciclo.
L'auditor BSI/BV/DNV accetta il report?
Sì. Modello strutturato per controllo dell'Allegato A, con PoC riproducibile e mapping inverso.
ISO 27701 anche?
Sì. ISO 27701 (estensione privacy) riutilizza gran parte dello scope, con focus aggiuntivo su LGPD/GDPR.
/contatti
Validare ISO 27001:2022
Fissa una riunione riservata. Entro 48h inviamo la proposta con scope, tempi e prezzo.