Mengalokasikan dana besar untuk menghadapi pembobolan keamanan tanpa adanya strategi pencegahan yang baik dapat menjadi ancaman kerugian bisnis perusahaan.
Serangan siber terhadap sebuah perusahaan maupun institusi bukanlah suatu hal yang baru di era disrupsi digital saat ini, termasuk di Indonesia. Sebagai negara berkembang dengan potensi ekonomi dan inovasi digital yang luas, Indonesia merupakan salah satu negara yang mengalami kerugian terhadap tindakan ini. Secara umum, studi dari Frost & Sullivan yang disponsori Microsoft menyebutkan, potensi kerugian akibat pembobolan data di Indonesia telah mencapai USD 34,2 miliar, atau setara dengan 3,7 persen produk domestik bruto (PDB) Indonesia di tahun 2018. PricewaterhouseCoopers (PwC) melaporkan bahwa serangan siber di Indonesia kebanyakan terkait dengan informasi bisnis, antara lain catatan internal, informasi tentang karyawan, pelanggan, dan kekayaan intelektual.
Melihat potensi tersebut pun pada akhirnya memicu perusahaan untuk menginvestasikan keamanan siber untuk menjaga performa dan kinerja operasional perusahaan. Menurut data yang dimiliki Gartner pada tahun 2017, dana yang dibutuhkan untuk meningkatkan keamanan aplikasi di perusahaan diperkirakan mencapai IDR 17 milyar pada tahun 2019. Untuk hal ini, rata-rata tiap perusahaan meningkatkan belanja sebesar 18 persen, baik untuk perangkat maupun personil.
Secara sekilas, nilai belanja yang dibutuhkan untuk meningkatkan kapabilitas keamanan siber tampak sangat besar. Namun apabila dibandingkan dengan potensi kerugian ekonomi yang diderita bila perusahaan terlambat melakukan tindakan pencegahan, nilai belanja tersebut masih terbilang kecil. World Economic Forum (WEF) memperkirakan bahwa potensi kerugian bisa mencapai lebih dari IDR 42 triliun.
Karena biaya yang dibutuhkan untuk meningkatkan kapabilitas keamanan siber cukup tinggi, suatu perusahaan mungkin akan mengalami kesulitan dalam memprioritaskan langkah awal yang diperlukan untuk implementasi sistem keamanannya.
Uji Penetrasi Sebagai Investasi Awal
Uji penetrasi (penetration testing, atau biasa disingkat sebagai pen-test) adalah investasi awal yang seharusnya dilakukan oleh perusahaan yang ingin mengamankan infrastruktur dan informasinya. Uji penetrasi akan membantu perusahaan secara praktis dan efektif memeriksa keampuhan langkah-langkah pengamanan yang sudah diambil dan memahami risiko terhadap sistem secara lebih realistis. Ini akan membantu perusahaan untuk dapat menentukan kapan dan di mana mereka harus memulai investasi terkait keamanan siber.
Uji penetrasi saja tidak dapat memberikan perlindungan yang memadai untuk keamanan jaringan, namun merupakan komponen integral untuk mencapai program keamanan yang komprehensif. Hal ini merupakan langkah awal terbaik yang perlu dilakukan perusahaan dalam penerapan siklus informasi dan keamanan jaringan untuk program kepatuhan keamanan IT.
Uji penetrasi melibatkan simulasi serangan siber untuk (1) menemukan titik-titik lemah dalam sistem perusahaan, (2) menentukan kemungkinan dan kelayakan serangan yang dapat terjadi dan (3) dampak serangan secara luas terhadap sistem perusahaan. Kelemahan dalam sistem inilah yang akan menjadi titik masuk untuk penyerang, yang bisa berupa kerentanan dalam jaringan atau kesalahan sumber daya manusia (human error). Untuk aplikasi atau prasarana yang masih dalam tahap pengembangan, uji penetrasi sebaiknya dilakukan sebelum produk dijalankan (deployment), dalam lingkungan pementasan (staging environment).
Sebagian besar organisasi, terutama yang berada dalam industri yang diatur secara ketat, memahami pentingnya peran uji penetrasi untuk menguji postur keamanan perusahaan. Namun hal yang sering terlupakan oleh banyak organisasi adalah pentingnya pelibatan peran pihak ketiga yang independen dalam melakukan pengujian ini.
Buku panduan IT dari Federal Financial Institutions Examination Council’s (FFIEC) di Amerika menyatakan bahwa uji keamanan sistem dari pihak independen mampu memberikan kredibilitas lebih tinggi pada hasil pengujian. Laporan yang dihasilkan dari pengujian sebaiknya disiapkan oleh pihak ketiga terpercaya yang tidak terafiliasi secara langsung dan terlibat dalam dalam desain, pemasangan, pemeliharaan, dan pengoperasian sistem yang diuji.
Layanan Uji Penetrasi Keamanan oleh Telkomtelstra
Uji penetrasi merupakan bagian dari solusi keamanan secara menyeluruh (end-to-end solution) yang ditawarkan oleh telkomtelstra. Berkat uji penetrasi, sebelum serangan sebenarnya terjadi, tim telkomtelstra dapat mengidentifikasi potensi-potensi kebobolan yang dapat terjadi serta dampaknya pada sistem Anda.
Lewat proses pengumpulan informasi (recon), tim telkomtelstra dapat menentukan titik-titik yang bisa dijadikan sebagai pintu untuk para peretas masuk ke dalam sistem perusahaan. Seberapa tangguhkah pertahanan sistem Anda untuk menghadapi para peretas? Para pakar keamanan kami akan mengeksekusi dan mendemonstrasikan serangan dapat terjadi pada di dunia nyata (real-world attack) untuk menemukan kerentanan sistem Anda.
Pada praktiknya, perusahaan Anda pasti memiliki layanan dan aplikasi yang terbuka untuk diakses publik melalui internet. Dalam hal ini, kami sangat menyarankan perusahaan untuk melakukan uji penetrasi eksternal. Melalui proses ini, Anda dapat mengidentifikasi kerentanan dari sistem yang terekspos pada publik pada basis harian, akses internal inilah yang dapat digunakan sebagai batu loncatan untuk masuk lebih jauh ke dalam jaringan internal oleh peretas.
Dengan uji penetrasi eksternal, Anda dapat memperoleh beberapa keuntungan antara lain, mengetahui risiko-risiko ancaman terhadap asset-aset penting Anda; mengenali kerentanan keamanan yang kompleks; dan melakukan pencegahan sebelum sistem Anda tereksploitasi oleh para peretas. Melalui layanan solusi dari kami, Anda dapat memahami berbagai skenario yang sering dilakukan oleh para peretas. Dengan demikian, perusahaan Anda dapat memperoleh temuan yang realistis dan rekomendasi yang holistik bagi sistem Anda.