Informasi bisa dikatakan menjadi sumber daya yang paling penting dalam organisasi terutama pada era modern seperti sekarang. Kemudahan akses yang diberikan membuatnya semakin rentan terkena serangan siber. Untuk membantu organisasi melindungi informasi, perusahaan bisa mengadopsi standar global seperti standar ISO 27001 yang akan memberikan panduan dalam melindungi informasi. Namun, dengan mengadopsi standar saja tidak cukup untuk menjaga data dan informasi aman dari peretas. Salah satu hal penting yang diperlukan untuk memenuhi standar ISO 27001 adalah dengan melakukan penetration testing.
Baca juga: Perlindungan data pelanggan dalam ISO 27001:2022
Apakah ISO 27001 membutuhkan penetration testing?
Sebetulnya hal ini akan disesuaikan lagi dengan kebutuhan organisasi. Sebagai contoh untuk sistem dengan fungsionalitas standar dan mempunyai karakteristik umum maka organisasi dapat memenuhi persyaratan ini hanya dengan penilaian atau analisis kerentanan saja. Namun, jika terdapat sistem yang lebih kompleks seperti aplikasi web khusus maka melakukan penetration testing akan sangat diperlukan untuk memastikan sistem keamanan tetap memadai untuk perlindungan data dan menjaganya dari serangan siber.
Dalam merancang aplikasi web alat pemindai standar mungkin tidak efektif dalam mengidentifikasi kerentanan seperti kontrol akses yang rusak, penyalahgunaan akses, dan kerentanan lainnya. Jadi, dalam berbagai situasi, penetration testing ini diperlukan untuk memverifikasi semua aspek keamanan informasi yang ada dalam persyaratan ISO 27001.
Baca juga: Keamanan Cloud dalam Konteks ISO 27001:2022
Persyaratan Penetration Testing ISO 27001
Kontrol ISO yang ditetapkan dalam lampiran A menyatakan bahwa informasi tentang kerentanan teknis sistem keamanan informasi harus diperoleh secara berkala. Dalam hal ini kerentanan yang terdapat pada sistem keamanan harus dievaluasi secara berkala. Maka dari itu melakukan penetration testing dapat berguna untuk memenuhi persyaratan ini karena pentest menyediakan analisis celah kerentanan dalam bentuk simulasi serangan pada sistem keamanan. Pengujian ini harus dilakukan oleh para profesional bersertifikat yang sudah berpengalaman di bidangnya. Hasil temuan ketidaksesuaian dalam pentest akan dapat membantu organisasi menentukan langkah mitigasi yang tepat untuk meningkatkan kontrol keamanan informasi yang dimiliki organisasi.
Hubungi Kami
Diskusikan kebutuhan konsultansi dan pendampingan sertifikasi Anda bersama kami. Kami siap membantu Anda.