Contents
Apa itu Penetration Testing?
Penetration Testing atau pentest adalah salah satu pengujian keamanan sistem informasi dari segala bentuk serangan. Orang yang melakukan penetration testing ini disebut dengan Penetration Tester (Pentester). Tujuannya adalah untuk mengidentifikasi kerentanan atau celah keamanan pada sistem informasi dan memberikan rekomendasi untuk memperbaikinya. Dalam implementasi ISO 27001, pentest menjadi salah satu bagian penting dalam menjaga keamanan informasi.
Baca juga: Perbedaan Vulnerability Assessment Dan Penetration Testing
Pentingnya Penetration Testing dalam mengimplementasikan ISO 27001
Penetration testing merupakan salah satu syarat penting dalam implementasi ISO 27001. Hal ini karena penetration testing merupakan metode yang efektif dalam menguji keamanan sistem informasi di organisasi. Selain itu, metode ini juga dapat membantu mengidentifikasi dan mengurangi risiko keamanan yang mungkin terjadi. Dalam prosesnya, penetration testing harus dilakukan oleh pihak independen yang memiliki kualifikasi dan pengalaman di bidang keamanan informasi.
Pentest dapat membantu organisasi memastikan bahwa sistem informasi yang diterapkan telah memenuhi standar keamanan ISO dan dapat melindungi informasi dari berbagai serangan yang mungkin terjadi. Dalam implementasi ISO 27001, pentest wajib dilakukan secara rutin yaitu minimal setahun sekali untuk memastikan sistem informasi yang digunakan konsisten dan dapat selalu memenuhi standar keamanan yang ditetapkan oleh ISO.
Baca juga: Pentingnya Pelatihan Dan Sertifikasi Penetration Testing
Tahap Penetration Testing
Sebelum menemukan sistem yang sesuai untuk keamanan server, ada beberapa tahapan yang perlu dilalui selama proses uji coba. Berikut tahapannya!
Tahapan Penetration Testing
- Perencanaan atau Planning
Tahap Penetration Testing yang pertama adalah merencanakan metode pengujian yang akan dipakai, memahami sistem keamanan server, hingga mengumpulkan dan mempersiapkan nama domain server.
- Pemindaian atau Scanning
Proses ini biasanya menggunakan alat tambahan seperti service enumeration, port scanning, dan vulnerability scanning. Pentester akan melakukan dua cara untuk proses pemindaian, yaitu analisis statis dan dinamis.
- Mendapatkan akses atau Gaining Access
Dalam proses ini Pentester sudah mengetahui celah keamanan yang memungkinkan untuk dimasuki. Kemudian pentester akan mencoba masuk ke dalam sistem tersebut.
- Mempertahankan akses atau Maintaining Access
Setelah pentester sudah mendapatkan akses penuh, pentester akan memantau apakah celah kerentanan yang ada bisa bertahan atau bersifat permanen.
- Pelaporan hasil atau Reporting
Semua hasil pindaian hingga pertahanan akses kemudian akan dilaporkan kepada perusahaan. Laporan tersebut berisikan informasi mengenai bagian mana saja yang mudah dimasuki, solusi terbaik, hingga rekomendasi sistem keamanan yang sesuai.
- Perbaikan atau Remediation
Jika masih ditemukan bahwa server memiliki tingkat kerentanan yang tinggi, maka server akan diuji coba kembali untuk memastikan keamanan jaringan telah ditingkatkan.
Baca juga: Legalitas Dan Etika Dalam Tahapan Penetration Testing
Hubungan Penetration Testing dengan ISO 27001
ISO 27001 adalah standar internasional yang diterbitkan ISO sebagai pedoman untuk menerapkan manajemen keamanan informasi. Sertifikasi ISO 27001 menunjukkan bahwa organisasi telah berkomitmen dalam menerapkan standar keamanan informasi sebagai usaha untuk melindungi aset-aset informasi yang dimilikinya. Sertifikasi ini memberikan keyakinan kepada pelanggan dan mitra bisnis bahwa perusahaan telah memenuhi standar keamanan informasi internasional yang diakui.Organisasi yang telah berhasil menerapkan standar ISO 27001 dan melakukan penetration testing secara teratur dapat memperoleh manfaat yang signifikan, seperti meningkatkan kepercayaan pelanggan, memperkuat reputasi perusahaan, dan memenuhi persyaratan regulator. Sehingga, standar ini sangat direkomendasikan bagi organisasi untuk mengimplementasikan ISO 27001 dan menggunakan penetration testing sebagai salah satu alat untuk meningkatkan keamanan informasinya.
