Kenapa Penetration Testing Penting Bagi Perusahaan?
Ada berbagai alasan untuk melakukan penetration testing. Salah satu alasan utama adalah untuk menemukan kerentanan dan memperbaikinya sebelum terjadi penyerangan terhadap sistem. Terkadang, departemen TI dalam sebuah prusahaan menyadari kerentanan yang dilaporkan tetapi mereka perlu seorang ahli luar untuk secara resmi melaporkan kepada mereka sehingga manajemen akan menyetujui sumber daya yang diperlukan untuk memperbaikinya.
Alasan lain untuk penetration testing adalah untuk memberikan kesempatan kepada target perusahaan untuk menanggapi serangan.
Menemukan titik-titik kelemahan sebuah sistem sebelum pihak lain yang menemukannya.
Penetration testing memberikan Departemen TI sebuah pandangan terhadap jaringan perusahaan dari sudut pandang yang berbahaya. Tujuannya adalah bahwa pentester akan menemukan cara ke dalam jaringan, sehingga dapat diperbaiki sebelum seseorang yang tidak diinginkan menemukan titik-titik kelemahan yang sama.
Melaporkan Masalah kepada Manajemen
Jika tim TI telah menunjukkan kepada manajemen atas kurangnya keamanan di lingkungan perusahaan, hasil pengujian penetrasi membantu untuk memberikan justifikasi terkait sumber daya untuk memenuhi kebutuhan perusahaan.
Verifikasi Keamanan Konfigurasi
Jika tim TI yakin atas pekerjaan yang telah mereka lakukan, laporan hasil penetration testing memverifikasi bahwa mereka melakukan pekerjaan yang baik. Dengan menggunakan jasa eksternal, dalam memverifikasi keamanan sistem memberikan pandangan tanpa preferensi internal, dan dapat mengukur efisiensi tim sebagai operator keamanan. Penetration testing tidak membuat jaringan lebih aman, tapi untuk mengetahui adanya gap antara pengetahuan dan implementasi.
Sebagai Pelatihan Keamanan Untuk Staf Jaringan
Penetration testing memberikan kesempatan untuk mengenali dan menanggapi serangan jaringan. Sebagai contoh, jika pentester berhasil meretas sistem tanpa ada yang mengetahui, ini bisa menjadi indikasi kegagalan bagi perusahaan. Hal ini dapat melatih staf untuk dapat memantau keamanan jaringan secara tepat. Pengujian terhadap monitoring yang dilakukan tim penanganan insiden dapat menunjukkan jika mereka mampu mencari tahu apa yang terjadi dan seberapa efektif respon mereka. Ketika security staff tidak dapat mengidentifikasi aktivitas musuh, pelaporan pasca-pengujian dari hasil penetration testing dapat digunakan untuk membantu mereka mengasah kemampuan respon insiden mereka.
Menemukan Kesenjangan Terhadap Kepatuhan
Pelaksanaan penetration testing dalam menemukan kesenjangan terhadap kepatuhan mirip dengan sistem audit. Kebanyakan peraturan memiliki beberapa komponen khusus yang berkaitan dengan sistem audit dan keamanan.
Pengujian Teknologi Baru
Waktu yang ideal untuk menguji teknologi baru sebelum di produksi. Melakukan penetration testing pada teknologi baru, aplikasi dan lingkungan sebelum didiproduksi dapat menghemat waktu dan uang karena akan lebih mudah untuk menguji dan memodifikasi teknologi baru saat belum ada orang yang menggunakannya.
Penulis: Fahrizal Fatah (Proxsis IT Consultant) & Putih Ayu P. (Proxsis IT Consultant)
Referensi: Northcutt S., Shenk J., et al. (2006). Penetration Testing: Assessing Your Overall Security Before Attackers Do. (www.sans.org)
Komentar