Preparazione all'Audit di Conformità: Un Countdown di 90 Giorni

Giorni 90–60: Valutazione e Definizione dell'Ambito

Settimana 1: Rivedere i requisiti del framework e identificare le lacune nelle evidenze. Settimana 2: Definire l'ambito del tuo Penetration Testing in linea con il perimetro di conformità (descrizione del sistema per SOC 2, CDE per PCI DSS, ambito ISMS per ISO 27001). Settimana 3: Coinvolgere il tuo fornitore di test e pianificare l'engagement. Settimana 4: Preparare l'ambiente di test, creare account di test e notificare i team interessati. Iniziare a raccogliere evidenze non di test (policy, procedure, access review).

Giorni 60–30: Testing e Correzione

Settimane 5–6: Esecuzione di Penetration Testing e scansione delle vulnerabilità. I risultati appaiono in tempo reale se si utilizza una piattaforma TaaS come Penetrify. Iniziare immediatamente la correzione delle vulnerabilità critiche e ad alta priorità. Settimane 7–8: Completare la correzione di tutte le vulnerabilità critiche e ad alta priorità. Richiedere il retesting per le correzioni completate. Compilare le evidenze del retest che confermano la correzione.

Giorni 30–0: Documentazione e Revisione

Settimane 9–10: Finalizzare il report di conformità con la metodologia, i risultati, la correzione e le evidenze del retest. Verificare che tutti i mapping dei controlli del framework siano completi. Settimane 11–12: Condurre una revisione interna di tutte le evidenze. Verificare che le date del pentest rientrino nel periodo di audit. Confermare che l'allineamento dell'ambito corrisponda al perimetro del framework. Prepararsi per le domande dell'auditor sui risultati e sulla correzione.

Perché gli Audit Falliscono

Iniziare il pentesting troppo tardi (nessun tempo per la correzione prima dell'audit). Ambito del pentest non allineato con il perimetro di conformità. Mancanza di evidenze di retest per i risultati corretti. Evidenze datate al di fuori del periodo di audit. Report generici senza mapping dei controlli specifici del framework.