Benarkah Penetration Testing adalah Kunci Keamanan Perusahaan?

Penetration Testing Adalah – System informasi merupakan aset yang berharga bagi perusahaan atau organisasi. Sering kali sistem informasi sebuah perusahaan merupakan kunci kesuksesan dan keberlangsungan perusahaan tersebut, misalnya organisasi yang bergerak di bidang perbankan, bayangkan jika sembarang orang dapat mengakses informasi finansial nya. Tentunya akan sangat merugikan dan membahayakan bisnis Bank tersebut. Oleh karena itu diperlukan system yang dapat mengamankan system informasi yang ada pada organisasi.

Keamanan dalam teknologi informasi bukan hanya sekedar mengamankan perangkat atau infrastruktur TI dari pencurian secara fisik, namun juga keamanan terhadap segala aspek yang dapat mengakibatkan berpindahnya atau diketahuinya informasi yang terkandung di dalamnya termasuk keamanan terhadap akses dari orang yang tidak memiliki hak atau otorisasi, hacker, cracker, carder, spammer dan dari berbagai kemungkinan yang dapat merusak availability dari system informasi seperti virus, malware, worm dan sebagainya.

Baca

Ada dua metode dalam keamanan sistem informasi yaitu : defensive security dan offensive security.

  • Defensive security yaitu  mengamankan informasi dengan cara memperkuat pertahanan system informasi. Seperti menginstal antivirus, memasang dan mengkonfigurasi firewall, intrusion detection system (IDS) atau intrusion prevention system (IPS), management IP, access control, network dan traffic monitoring dan sebagainya.
  • Offensive security yaitu mengamankan informasi dengan cara menguji pertahanan system informasi. Salah satu cara offensive security yaitu dengan penetration testing.

Penetration Testing adalah proses mencoba untuk mendapatkan dan memperkuat akses ke sumber daya tanpa pengetahuan tentang username, password dan cara akses normal lainnya. Jika fokusnya adalah pada sumber daya komputer, maka contoh dari penetration testing yang sukses akan memperoleh atau memalsukan dokumen rahasia, pricelists, database dan informasi lain yang dilindungi.

Orang yang melakukan penetration testing adalah penetration tester (Pentester). Apa yang membedakan pentester dengan hacker? Yang membedakan pentester dengan hacker yaitu:

Tujuan dari dilakukannya penetration terhadap system. Tujuan pentester melakukan penetrasi terhadap system yaitu untuk menguji keamanan system informasi dan memeriksa apakah terdapat celah yang dapat di masuki hacker, dan segala kemungkinan yang dapat dilakukan oleh hacker seperti mengakses system informasi, mendapatkan informasi, dan mengedit informasi secara illegal, dan memberikan seluruh informasi tersebut kepada pemilik system informasi dan memberikan rekomendasi untuk meningkatkan keamanan system informasi tersebut.

Izin. Tentunya pentester sebelum melakukan penetration terhadap system, harus telah miliki izin dari pemilik system dan izin tersebut berkekuatan hukum. Penetration testing juga memiliki aturan/ Policy yaitu:

  1. Perusahaan harus menyediakan pentester informasi mengenai ruang lingkup (scope) dan batasan yang jelas terhadap system informasi yang akan di tes dan semua informasi disediakan harus benar dan akurat.
  2. Pentester harus mengumpulkan semua informasi yang diperlukan untuk pengujian hanya dalam batas-batas yang ditentukan dari tes dan semua informasi ini harus dilaporkan sepenuhnya pada akhir tes.
  3. Perusahaan dan pentester harus menyepakati batas waktu tes yang dilakukan.
  4. Penetrasi tester harus bertanggung jawab atas semua kerusakan yang terjadi akibat kerusakan yang terjadi bukan dikarenakan kesalahan dari tes adalah tanggung jawab dari perusahaan.
  5. Perusahaan dan pentester harus menyimpan semua informasi dari tes, termasuk kontrak sebagai rahasia .
  6. Penyedia dapat menetapkan atau sub-kontrak seluruh atau sebagian dari hak dan kewajiban di bawah kontrak kepada pihak ketiga tanpa Perusahaan sebelum ditulis.
  7. Pentester dan Perusahaan secara berkala memberikan setiap informasi rahasia tertentu lainnya yang berkaitan dengan bisnis masing-masing termasuk dokumentasi tertentu .
  8. Masing-masing pihak harus menggunakan informasi rahasia tersebut hanya untuk keperluan tes dan bahwa hal itu tidak harus diungkapkan langsung atau tidak langsung kepada pihak ketiga .
  9. Setelah selesai pengujian dan pelaporan penyedia tidak memiliki hak untuk informasi atau data dari Perusahaan , kecuali disetujui oleh Perusahaan .
  10. Penetrasi tester tidak bertanggung jawab atas kerugian dan / atau kerusakan yang terjadi dalam kasus jika terjadi serangan yang sebenarnya / dari pihak lain selama periode pengujian .

Baca Juga:

Penetration testing juga dapat dilakukan oleh tim IT security internal perusahaan.  Dengan membagi IT menjadi dua tim, tim pertama fokus pada defensive security dan tim kedua di khususkan untuk offensive security dengan melakukan penetration testing secara rutin dapat meningkatkan keamanan system informasi. Namun tetap diperlukan pentester dari pihak luar agar didapatkan sudut pandang yang berbeda.

ITGID menyediakan solusi Training Penetration Testing. Dengan mengikuti pelatihan Penetration Testing diharapkan peserta mampu menguji keamanan system informasi dan memeriksa apakah terdapat celah yang dapat di masuki hacker, dan segala kemungkinan yang dapat dilakukan oleh hacker seperti mengakses system informasi. Untuk Informasi lebih lanjut dapat lihat di: http://itgid.org/training/

Sumber artikel: Fahrizal Fatah, Consultant & Assessment Business, Proxsis IT
Sumber foto: www.isysl.net

Bagikan:

Menu

[yikes-mailchimp form=”2″]

Open chat