Blunder dalam Pentest: Mengabaikan Faktor Manusia

Pentest hanya dapat menemukan kerentanan yang diketahui oleh tim pentest. Jika ada kerentanan yang belum diketahui, maka pentest tidak akan dapat menemukannya. Selain itu, pentest hanya dilakukan pada waktu tertentu, sehingga tidak dapat mendeteksi kerentanan yang muncul atau berubah setelah pentest dilakukan.

Kesalahan umum dalam dunia keamanan siber adalah pendekatan tes penetrasi (pentest) yang mengabaikan faktor manusia. Ironisnya, dalam banyak kasus kehidupan nyata, faktor manusia sering menjadi penyebab utama masalah keamanan. Mari kita ulas lebih lanjut tentang pentingnya memasukkan faktor manusia dalam pentest untuk mendapatkan hasil yang lebih valid dan representatif.

Kesalahan Pentest: Mengabaikan Faktor Manusia. Pentingnya Faktor Manusia dalam Keamanan Siber:

• Survei dan studi menunjukkan bahwa sekitar 80% masalah keamanan siber disebabkan oleh faktor manusia. Hal ini mencakup kesalahan pengguna, kelemahan dalam prosedur, atau manipulasi melalui teknik social engineering.
• Dengan hanya fokus pada aspek teknologi, pentest hanya mengevaluasi sekitar 20% dari potensi risiko, meninggalkan celah besar dalam keamanan.

Studi Kasus: Kesalahan dalam Pentest Perbankan

1. Regulasi Pentest dalam Perbankan:

• Sebagai contoh, regulator perbankan sering mensyaratkan pentest pada sistem elektronik perbankan. Namun, banyak dari laporan pentest ini mengesampingkan faktor manusia, sehingga memberikan gambaran keamanan yang tidak lengkap.
• Akibatnya, bank-bank mungkin memiliki rasa aman yang palsu, percaya bahwa sistem mereka aman, sementara celah keamanan signifikan tetap tidak terdeteksi.

2. Risiko bagi Pelanggan:

• Kondisi ini menciptakan situasi yang menguntungkan bagi penjahat siber dan merugikan bagi pelanggan. Penjahat siber dapat mengeksploitasi kelemahan manusia, yang tidak terdeteksi dalam pentest yang terfokus pada teknologi saja.

Studi kasus yang disebutkan menunjukkan bahwa hasil pentest yang tidak memasukkan faktor manusia dapat menjadi sangat menyesatkan. Dalam kasus tersebut, sebuah bank melakukan pentest pada sistem elektronik perbankannya. Hasil pentest menunjukkan bahwa sistem tersebut aman, sehingga bank tersebut merasa aman dan tidak perlu melakukan perbaikan.

Namun, pada kenyataannya, sistem tersebut masih memiliki kerentanan yang disebabkan oleh faktor manusia. Misal Seorang karyawan bank yang tidak puas dengan gajinya berhasil melakukan serangan siber terhadap sistem tersebut dan mencuri data nasabah. Untuk itu harus dipahami pentingnya Pendekatan Holistik:

1. Kesadaran akan Pentingnya Faktor Manusia:

• Perusahaan dan organisasi perlu menyadari bahwa keamanan siber bukan hanya tentang teknologi. Perlunya pendekatan holistik yang mempertimbangkan perilaku manusia, pelatihan keamanan, dan kebijakan internal.

2. Menggabungkan Faktor Manusia dalam Pentest:

• Dalam melakukan pentest, faktor manusia harus dimasukkan sebagai bagian dari ruang lingkup pekerjaan. Hal ini termasuk menguji seberapa mudah karyawan dapat tertipu oleh serangan phishing atau manipulasi sosial.

Kasus ini menunjukkan bahwa faktor manusia merupakan faktor yang sangat penting dalam keamanan siber. Sebanyak 80% masalah keamanan disebabkan oleh manusia. Oleh karena itu, penting bagi organisasi untuk memasukkan faktor manusia dalam pentest.

Pendekatan yang terlalu teknis dalam pentest sering kali menyesatkan dan tidak memberikan gambaran yang akurat tentang keamanan sistem. Dengan mengintegrasikan faktor manusia dalam pentest, perusahaan dapat mengidentifikasi dan menangani celah keamanan yang lebih luas, mengurangi risiko, dan melindungi baik diri mereka sendiri maupun pelanggan mereka dari serangan siber. Keamanan siber yang efektif memerlukan kombinasi antara teknologi yang tangguh dan pemahaman mendalam tentang perilaku manusia.

Demikian pula, teknologi keamanan siber adalah kunci untuk menjaga keamanan sistem informasi. Namun, teknologi keamanan siber saja tidak cukup untuk menjamin keamanan sistem informasi. Kita juga perlu berhati-hati agar teknologi keamanan siber tersebut tidak disalahgunakan oleh orang yang tidak bertanggung jawab.