Keamanan informasi menjadi hal yang perlu diperhatikan untuk saat ini dikarenakan adanya isu-isu pencurian data dari pihak-pihak yang memiliki kepentingan tertentu. Seperti yang kita ketahui akhir-akhir ini sering sekali terdengar berita-berita mengenai kebocoran data dengan jumlah yang sangat massif, contohnya adalah kebocoran 252 GB data pelanggan dari suatu perusahaan di Indonesia. Ancaman-ancaman ini tentunya akan sangat merugikan pada suatu perusahaan dan mempengaruhi image terhadap customer, nah lalu bagaimana caranya untuk memastikan bahwa sistem informasi yang digunakan sudah aman? Salah satu cara yang dapat digunakan adalah dengan melaksanakan security testing pada sistem informasi yang saat ini sedang digunakan.
Pengertian Security Testing
Security Testing adalah pengujian pada software atau perangkat lunak untuk melihat atau mengidentifikasi vulnerability atau celah yang dapat dimanfaatkan oleh pihak lain. Security Testing ini akan dilakukan secara berkala agar selalu terupdate dan mengetahui celah-celah lain yang dapat dimanfaatkan. Dalam melakukan security testing biasanya ada beberapa area yang akan diberikan perhatian khusus karena rentan dengan keamanannya, beberapa area ini adalah :
- Network Security : Pengujian untuk mencari celah dari infrastruktur jaringan yang dimiliki
- Software Security : Pengujian untuk mencari celah dari software yang digunakan untuk operasional
- Client-side application security : Pengujian pada bagian client yang menggunakan untuk memastikan bahwa tidak ada celah keamanan yang dapat dimanfaatkan
- Server-side application security : Pengujian pada bagian server untuk memastikan bahwa keamanan dan celah-celahnya tidak dapat dimanfaatkan celah keamanannya
Metode Security Testing
Untuk melakukan security testing terdapat beberapa jenis metode yang dapat diimplementasikan, metodenya antara lain yaitu :
- Security Scanning
Security scanning merupakan jenis kegiatan berupa scanning yang dilakukan untuk menemukan suatu celah yang tidak diinginkan dalam aplikasi berbasis web. Dengan melakukan scanning maka akan diketahui celah dalam keamanan informasi yang kedepannya dapat segera diperbaiki.
- Penetration Testing
Penetration Test adalah salah satu kegiatan untuk melakukan pengujian pada sistem informasi dengan cara mensimulasi serangan cyber pada sistem. Dalam melakukan pengujian ini tidak boleh dilaksanakan oleh personil sembarangan, pengujian ini perlu dilakukan oleh penetration tester professional dan bersertifikat. Output dari test ini adalah apabila penetration tester dapat membobol sistem maka celah tersebut yang selanjutnya dilakukan perbaikan.
Berbicara tentang keamanan informasi dan security testing maka tidak akan jauh dengan implementasi dari Sistem Manajemen Keamanan Informasi ISO 27001:2022. Untuk mengimplementasikan ISO 27001 ini membutuhkan beberapa dokumen dan best practices yang harus dipenuhi, untuk memenuhi persyaratan-persyaratan ini Anda dapat menggunakan jasa Konsultan ISO yang berkompeten agar dapat membantu ada mengimplementasikan sistem ini.
Penulis : YW