Waktu Terbaik Untuk Pentest: Sebuah Analisa

Keamanan siber telah menjadi kebutuhan utama bagi perusahaan di era digital saat ini. Dalam mewujudkan keamanan tersebut, pentest atau pengujian penetrasi menjadi salah satu instrumen vital. Namun, pertanyaannya adalah: kapan waktu yang tepat untuk melaksanakannya?

Kenapa Pentest Setahun Sekali?

Pertumbuhan teknologi yang begitu pesat tentunya diikuti oleh peningkatan risiko serangan siber. Hal ini mewajibkan perusahaan untuk selalu waspada dan up-to-date dengan potensi ancaman yang ada. Maka dari itu, pentest tahunan menjadi solusi yang ideal. Kenapa?

• Perubahan Teknologi: Seperti yang telah disebutkan, teknologi berkembang dengan cepat. Dalam setahun, bisa jadi telah muncul berbagai teknik serangan baru yang belum dikenal sebelumnya.

• Kerentanan Baru: Pasca-pentest, bukan berarti sistem Anda 100% aman. Kerentanan baru dapat muncul kapan saja, dan pentest tahunan memastikan bahwa potensi risiko ini selalu teridentifikasi.

Pentingnya Peraturan dari OJK

Otoritas Jasa Keuangan (OJK) memiliki peran penting dalam mengatur industri perbankan di Indonesia. Melalui surat edarannya, OJK memastikan bahwa setiap lembaga keuangan menjalankan pentest setidaknya satu kali dalam setahun. Ini menegaskan pentingnya pengujian keamanan dalam industri yang sangat bergantung pada data nasabah.

Hal ini tertuang khususnya untuk industri perbankan merujuk pada peraturan dari OJK yang mengatur tentang penerapan manajemen risiko untuk Bank Umum maupun Bank Syariah di mana kita dapat mengacu kepada peraturan tersebut untuk meminimalisir ancaman yang ada. Sesuai Surat Edaran Otoritas Jasa Keuangan Nomor 21 /SEOJK.03/2017 halaman 94 (sembilan puluh empat) yang berbunyi:

“pengujian penetrasi (penetration testing) terhadap jaringan intern dan ekstern secara berkala paling sedikit 1 (satu) kali dalam 1 (satu) tahun;”

Namun, walaupun annual pentest telah dilakukan secara berkala, jika terdapat suatu aplikasi baru yang akan dipublikasikan, kegiatan pentest juga perlu dilakukan sebelum aplikasi tersebut beredar di publik. Selain itu, hal ini pun berlaku terhadap lembaga perbankan seperti tertuang pada POJK nomor 38 /POJK.03/2016 Pasal 28 ayat 4, yang berbunyi:

“Penyampaian permohonan sebagaimana dimaksud pada ayat (2) harus dilengkapi dengan hasil pemeriksaan dari pihak independen untuk memberikan pendapat atas karakteristik produk dan kecukupan pengamanan sistem Teknologi Informasi terkait produk serta kepatuhan terhadap ketentuan dan/atau praktik yang berlaku secara internasional.” 

Pentest untuk Aplikasi Baru

Sebelum sebuah aplikasi diluncurkan ke publik, pentest merupakan langkah krusial. Hal ini menjamin bahwa aplikasi yang akan dirilis telah melewati prosedur keamanan yang ketat dan siap dihadapkan pada potensi serangan dari dunia luar.

Cakupan Pentest

Pengujian penetrasi tidak hanya terbatas pada sistem utama perusahaan. Ada berbagai aspek yang harus diperhatikan, seperti:

• Infrastruktur jaringan
• Layanan berbasis internet
• Sistem pihak ketiga
• Komunikasi dan basis data

Semua ini memastikan bahwa seluruh komponen teknologi informasi dalam perusahaan telah diamankan dengan baik.

Selain annual pentest, kegiatan pentest juga perlu dilakukan pada saat-saat tertentu, seperti:

• Sebelum aplikasi baru dipublikasikan. Hal ini untuk memastikan bahwa aplikasi tersebut sudah aman dari kerentanan sebelum digunakan oleh publik.
• Setelah terjadi perubahan sistem. Perubahan sistem, baik itu perubahan konfigurasi, perangkat lunak, atau perangkat keras, dapat memunculkan kerentanan baru. Oleh karena itu, perlu dilakukan pentest untuk mengidentifikasi kerentanan tersebut.
• Setelah terjadi insiden keamanan. Insiden keamanan dapat menjadi indikator adanya kerentanan pada sistem. Oleh karena itu, perlu dilakukan pentest untuk mengidentifikasi dan memperbaiki kerentanan tersebut.

Kesimpulan

Keamanan siber adalah perjalanan, bukan tujuan. Pentest adalah salah satu instrumen dalam perjalanan tersebut. Dengan menjadwalkan pentest secara berkala dan memahami cakupannya, perusahaan dapat meminimalisir risiko dan memastikan data serta sistemnya tetap terlindungi.