Akhir-akhir ini kegiatan pentest (penetration testing) tampaknya semakin diminati oleh organisasi. Barangkali ini dipicu karena peristiwa kebocoran informasi beberapa waktu lalu.
Di satu sisi, ini adalah hikmah bagi pentester karena mungkin permintaan atau kebutuhan dari organisasi untuk melakukan pentest akan bertambah banyak.
Di sisi lain, ada hal menarik dari sudut pandang pentester. Rekan penulis yang seorang pentester mengatakan (sesuatu yang kurang lebih bermakna):
Pentest itu adalah kegiatan pengujian di ujung depan. Tapi kalau tata kelola di belakang masih belum menjadi kultur, maka tujuan (pentest-nya) percuma (tidak maksimal).
Bagi saya ini menarik.
Pengamanan Informasi
Salah satu kontrol pengamanan informasi di ISO/IEC 27001:2013 adalah Manajemen Kerentanan Teknis (A.12.6.1 — Technical Management Vulnerabilities).
Asesmen Kerentanan (Vulnerability Assessment / VA) adalah kegiatan mencari celah keamanan dari objek yang dituju. Sedangkan pentest adalah kegiatan mengeksploitasi celah keamanan yang berhasil ditemukan pada aktivitas VA untuk membuktikan bahwa celah tersebut benar bisa ditembus.
Sebuah kontrol bernama VAPT saja (Vulnerabilities Assessment and Penetration Testing) tidaklah cukup. Perlu kontrol lain seperti A.13.1.3 — Segregation in Network dan A.14.1.1 — Information security analysis and specification yang perlu diimplementasikan.
Contoh: Apakah sebelum perangkat lunak dibangun, telah ada persyaratan keamanan informasi untuknya sebagai koridor yang harus dipatuhi?
Kadang ditemukan, wajar saja jika aplikasinya mudah ditembus, karena misalnya saat sang pengembang (developer) membangunnya, tidak ada persyaratan bahwa perangkat lunak tersebut tidak boleh menggunakan kata sandi yang lemah seperti 123456.
Maka pengembang berpotensi tidak membuat kontrol “If user input 123456 as a password, then reject”
Tata kelola
Pemahaman penulis, tata kelola adalah seperangkat persyaratan yang disepakati untuk dijalankan secara konsisten dalam rangka mencapai tujuan yang ditentukan bersama.
Apa gunanya tata kelola ini?
Pastinya ada banyak pendapat mengenai kegunaan tata kelola. Penulis memahaminya adalah dengan tata kelola, maka akan ada keteraturan dan keseragaman dalam pelaksanaan kegiatan. Dua aspek ini akan memudahkan pelaksanaan aktivitas.
Apalagi jika diikuti dengan evaluasi berkala untuk peningkatan berkelanjutan. Tambah mantap!
Pada referensi lain, seperti COBIT 2019, proses pelaksanaan aktivitas bahkan diberikan nilai dengan jenjang 0 s/d 5.
Penilaian Kapabilitas Proses
Jika diterjemahkan, kurang lebih seperti ini:
Pemahaman setiap jenjang penilaian
Mengapa para ahli di dunia sampai repot-repot membuat referensi tata kelola seperti ini?
Karena ketidakteraturan pelaksanaan aktivitas, pada akhirnya akan menyulitkan kita sendiri jika ada insiden.
Penutup
Tantangan dalam menjalankan persyaratan adalah perlunya komitmen dan kesadaran dari seluruh lapisan organisasi.
Karena tanpanya, maka persyaratan hanyalah menjadi koleksi dokumen yang tidak memberikan manfaat.
Apalagi jika sampai terlintas pemikiran berbahaya seperti ini:
Ah, peraturan (persyaratan) kan dibuat untuk dilanggar.
Tetap Semangat!
