Keamanan berbanding terbalik dengan kenyamanan”, jargon ini agaknya lazim terdengar, tidak terkecuali pada web atau platform mobile. Selain pengamanan dari sisi coding, Kita perlu assessment berkala untuk menjaga segala kemungkinan celah. Kegiatan assessment ini disebut uji penetrasi (penetration testing atau disingkat pentest). 

Pentest adalah kegiatan dimana seseorang mencoba mensimulasikan serangan yang bisa dilakukan terhadap jaringan organisasi / perusahaan tertentu untuk menemukan kelemahan pada sistem jaringan tersebut. Orang yang melakukan kegiatan ini disebut penetration tester disingkat pentester. Pentest mempunyai standar resmi sebagai acuan dalam pelaksanaannya. Standar ini bisa dilihat di pentest-standard.org.

Adapun time set atau kapan pentest sebaiknya dilakukan, antara lain:

1.Pre Production

Sebelum produk atau platform dirilis, kita perlu melakukan uji penetrasi. Selain berdampak positif bagi pemilik platform, melakukan pentest juga mengacu pada aturan Kementerian Komunikasi dan Informatika. Bahwa setiap Penyelenggara Sistem Elektronik (PSE) harus melakukan uji penetrasi sebelum launching produk (kalau visi ke depan akan melibatkan pemerintah). 

2.Kuartal kedua (6 bulan pasca production) atau 6 bulan sekali

Disrupsi security memang sangat cepat terjadi. Durasi 6 bulan bukan merupakan waktu yang baku, hanya saja beberapa praktisi menyarankan waktu ini.

Seberapa sering Anda perlu melakukan pentest?

Pentest bukan aktivitas yang dilakukan cukup satu kali. Jaringan dan sistem komputer itu dinamis. Mereka tidak akan tetap sama untuk waktu yang lama. Seiring berjalannya waktu, perangkat lunak baru diterapkan dan perubahan dibuat, sehingga mereka perlu diuji ulang.

Seberapa sering perusahaan harus melakukan pentest tergantung pada beberapa faktor, termasuk:

a.Ukuran perusahaan

Bukan rahasia lagim perusahaan besar dengan kehadiran online yang lebih besar mungkin juga lebih mendesak untuk menguji sistem mereka. Alasannya karena mereka akan punya lebih banyak vektor serangan dan mungkin menjadi target yang lebih menarik bagi pelaku kejahatan siber.

b.Anggaran

Biaya pentest bisa jadi mahal. Organisasi dengan anggaran lebih kecil mungkin kurang bisa melakukannya. Kekurangan dana dapat membatasi pengujian menjadi dua tahun sekali, misalnya, sementara anggaran cukup besar memungkinkan pengujian lebih sering dan menyeluruh. Peraturan, hukum dan kepatuhan bergantung pada industrinya. Berbagai undang-undang dan peraturan mungkin mengharuskan organisasi melakukan tugas keamanan tertentu, termasuk pentest. 

c.Infrastruktur

Perusahaan tertentu mungkin punya lingkungan cloud 100 % dan tidak diizinkan untuk menguji infrastruktur penyedia cloud. Penyedia mungkin sudah melakukan pentest secara internal.

Abdul Azis, IT Security Auditor Vascomm