Gambar: Pixabay

OFiSKITA - Dari perspektif keamanan jaringan, uji penetrasi adalah langkah penting untuk mencari tahu adakah celah dalam sistem yang berpotensi untuk ditembus oleh orang luar. Untuk itulah myshield hadir sebagai solusi yang akan membantu Anda dalam mensimulasikan serangan-serangan yang mungkin saja terjadi pada sistem Anda. Berikut beberapa pertanyaan yang perlu Anda gali lebih lanjut.

1. Apa saja sertifikasi yang sudah dimiliki?

Sertifikasi adalah tanda kredibilitas karena penyedia layanan bersertifikat terikat untuk mengikuti praktik standar industri. Anda dianjurkan untuk memilih penyedia layanan yang memiliki sertifikasi CREST (The Council for Registered Ethical Security Testers). CREST adalah badan akreditasi dan sertifikasi nirlaba internasional yang mewakili dan mendukung technical information security market.  Anda juga memeriksa apakah mereka memiliki  ISO/IEC 27001:2013, PCI DSS, dan patuh pada HIPAA dan GDPR.

2. Apa metodologi uji penetrasi yang digunakan?

Setiap organisasi berbeda dalam hal infrastruktur, orang, teknologi, tujuan, tantangan, dan lain-lain. Namun penyedia pengujian penetrasi harus dapat memandu Anda melalui semua metodologi dan membuat rencana yang sesuai dengan kebutuhan organisasi Anda. Standar PTES (The Penetration Testing Execution Standard) dianggap sebagai dasar yang baik untuk merencanakan uji penetrasi untuk organisasi Anda.

3. Apa saja hal-hal yang tercakup dalam laporan uji penetrasi?

Laporan pengujian penetrasi sangat penting untuk organisasi Anda karena membantu dalam memahami kelemahan infrastruktur teknis. Bahkan setelah tes selesai, laporan yang terdokumentasi dengan baik dapat berfungsi sebagai referensi yang baik bagi tim internal untuk merencanakan operasi mereka. Laporan uji penetrasi yang ideal harus mengandung unsur-unsur di bawah ini:

• Ringkasan Umum

• Vulnerability Overview

• Vulnerability Details

• Risk Score (such as CVSS)

• Usulan/Rekomendasi Perbaikan yang dilakukan

• Kesimpulan

4. Apakah layanan pengujian penetrasi dilakukan secara otomatis atau manual?

Perangkat otomatis adalah titik awal yang baik dalam uji penetrasi, tetapi ia memiliki keterbatasan. Batasan ini hanya dapat diatasi dengan pengujian manual yang ekstensif oleh personel yang berkualifikasi. Umumnya, setidaknya 80% dari total aktivitas pengujian harus manual dan sisanya harus berbasis alat.

5. Apakah layanan saya akan tetap tersedia selama tes dilakukan?

Tes penetrasi adalah serangan yang disimulasikan, dan secara praktis selama tes dilakukan ketersediaan layanan Anda tidak dijamin. Walaupun demikian, tim penguji penetrasi juga harus tahu serangan mana yang melemahkan sistem dan mana yang tidak. Selain itu, Anda juga dapat berbagi informasi yang relevan tentang sistem atau jaringan yang kurang kuat dalam infrastruktur teknis Anda. Penyedia layanan yang baik pasti akan bekerja sama dengan Anda untuk mengatasi masalah operasional dan terus memantau semua sistem dalam infrastruktur teknis Anda untuk mengendalikan gangguan dalam layanan, jika ada.

Sumber: breachlock.com