Penetration Testing Eksternal Tanpa VA Internal, Aman?

Dalam upaya melindungi sistem informasi dari berbagai ancaman siber, banyak organisasi melakukan penetration testing (pentest) sebagai bentuk simulasi serangan untuk menemukan celah keamanan yang dapat dieksploitasi. Namun, karena keterbatasan sumber daya, beberapa organisasi hanya mengandalkan pentest eksternal dari vendor pihak ketiga tanpa melakukan vulnerability assessment internal terlebih dahulu. Meskipun sekilas tampak cukup, pendekatan ini sebenarnya menyimpan risiko besar bagi keberlangsungan keamanan organisasi secara menyeluruh.

Dalam artikel ini, kita akan mengupas tuntas mengapa penetration testing eksternal tanpa assessment internal sangat berisiko, serta bagaimana kombinasi keduanya dapat menjadi solusi terbaik untuk membangun sistem keamanan yang tangguh, proaktif, dan berstandar internasional.

Risiko Penetration Testing Eksternal Tanpa Vulnerability Assessment Internal

Karena alasan keterbatasan sumber daya (baik anggaran maupun personel), seringkali organisasi melakukan kegiatan penetration testing oleh pihak eksternal (menggunakan jasa pihak ketiga atau vendor) tanpa melakukan kegiatan vulnerability assessment oleh pihak internal sebelumnya. Hal ini boleh dilakukan, tetapi merupakan keputusan yang sangat berisiko dan sangat tidak dianjurkan. Pendekatan terbaik adalah dengan menjalankan vulnerability assessment internal secara rutin sebagai fondasi sebelum dan selama penetration testing eksternal dilakukan.

• Keterbatasan Ruang Lingkup dan Waktu untuk Pihak Eksternal
  Penetration testing eksternal memang seringkali dibatasi oleh ruang lingkup dan waktu. Hal ini dilakukan untuk memastikan pengujian lebih fokus dan efektif, serta sesuai dengan anggaran dan kebutuhan client. Oleh karena itu, penetration testing hanya memberikan snapshot pada ruang lingkup dan waktu tertentu tanpa siklus perbaikan berkelanjutan.  

• Potensi Melewatkan Kerentanan Penting
  Tanpa vulnerability assessment internal secara berkala, maka kerentanan baru yang muncul dalam sistem bisa tidak terdeteksi dan tidak diuji (tidak masuk ruang lingkup pengujian) dalam penetration testing eksternal. Sebaliknya dengan melakukan vulnerability assessment secara internal, maka organisasi dapat secara rutin mengidentifikasi potensi kerentanan dalam sistem IT-nya. 

• Risiko Minimnya Perbaikan Terstruktur
  Hasil penetration testing yang dilakukan sekali atau sporadis tanpa dukungan vulnerability assessment internal yang dilakukan berkala dapat kurang efektif dalam perbaikan yang berkelanjutan. Organisasi berisiko tidak memiliki siklus manajemen kerentanan yang meliputi identifikasi, evaluasi, perbaikan, dan pemantauan kerentanan.

• Risiko Kepatuhan terhadap Standar Keamanan
  ISO/IEC 27001:2022 pada Annex 8.8 Manajemen Kerentanan Teknis mengatur adanya kontrol manajemen kerentanan pada yang berkelanjutan sebagai bagian dari pengendalian keamanan. Dengan demikian, melakukan penetration testing eksternal tanpa proses manajemen kerentanan berkala (vulnerability assessment internal) tidak memenuhi persyaratan ISO/IEC 27001:2022.

Manfaat Vulnerability Assessment Internal

Melakukan vulnerability assessment oleh pihak internal sangat bermanfaat karena memungkinkan deteksi dan pengelolaan risiko keamanan IT secara lebih proaktif, efisien, dan terintegrasi dengan kebutuhan organisasi. 

• Deteksi Dini dan Pengelolaan Risiko
  Dengan melakukan vulnerability assessment secara internal, maka organisasi dapat secara rutin mengidentifikasi potensi kerentanan dalam sistem IT-nya sebelum bisa dieksploitasi oleh pihak luar. Hal ini memungkinkan organisasi melakukan pemrioritasan perbaikan berdasarkan tingkat risiko nyata dalam lingkungan organisasi, sehingga dapat mengurangi risiko insiden keamanan yang merugikan seperti kebocoran data atau gangguan layanan.

• Efektivitas Biaya dan Kontrol Lebih Baik
  Melibatkan tim internal untuk vulnerability assessment mengurangi biaya yang terkait dengan menggunakan pihak ketiga secara terus-menerus. Selain itu tim internal biasanya lebih memahami infrastruktur spesifik dan konteks bisnis, sehingga analisis bisa lebih tepat sasaran.

• Meningkatkan Kesadaran dan Kolaborasi Tim
  Dengan melakukan vulnerability assessment secara internal, maka organisasi dapat membangun budaya keamanan dengan melibatkan staf TI dan keamanan secara langsung karena terdapat kegiatan edukasi tim tentang kerentanan dan langkah mitigasi yang harus diambil. Selain itu, vulnerability assessment secara internal juga dapat memperkuat koordinasi antar departemen terkait keamanan informasi.

• Kepatuhan terhadap Standar Keamanan
  Dengan melakukan vulnerability assessment secara internal, maka organisasi menunjukkan komitmen terhadap keamanan informasi secara proaktif. Hal ini dapat mempermudah pemenuhan standar ISO/IEC 27001:2022 dan memperkuat kesiapan saat audit internal maupun eksternal.

Manfaat Penetration Testing Eksternal

Melakukan penetration testing eksternal memiliki berbagai manfaat penting bagi organisasi, antara lain meningkatkan keamanan sistem dengan mengidentifikasi kerentanan yang dapat dieksploitasi oleh pihak luar secara realistis. 

• Perspektif Realistis dari Penyerang
  Penetration testing eksternal dapat mensimulasikan serangan nyata dari luar organisasi untuk menguji pertahanan sistem seperti firewall, jaringan, aplikasi web, dan infrastruktur yang terekspos ke internet. Penetration testing eksternal juga dapat memperlihatkan titik-titik lemah yang bisa dimanfaatkan oleh hacker sebelum benar-benar melakukan penyerangan.

• Identifikasi Kerentanan dan Risiko
  Penetration testing eksternal dapat mengungkap kerentanan yang mungkin tidak terdeteksi oleh scanning otomatis atau vulnerability assessment internal, sehingga memungkinkan organisasi mengidentifikasi celah kritis yang perlu segera diperbaiki.

• Peningkatan Kesiapan dan Respons
  Penetration testing eksternal dapat membantu tim keamanan menguji kemampuan deteksi dan respons terhadap insiden keamanan, serta mendorong peningkatan prosedur keamanan berbasis temuan nyata dari hasil penetration testing eksternal .

• Kepatuhan terhadap Standar Keamanan
  Penetration testing eksternal mendukung pemenuhan persyaratan ISO/IEC 27001:2022 yang mewajibkan penetration testing berkala oleh pihak eksternal. 

Rekomendasi Praktik Terbaik

Pendekatan terbaik adalah dengan menjalankan vulnerability assessment internal secara rutin sebagai fondasi sebelum dan selama penetration testing eksternal dilakukan, antara lain:

• Vulnerability assessment internal harus menjadi bagian dari proses rutin manajemen kerentanan agar sistem risiko terus dipantau secara berkala.
• Penetration testing oleh pihak eksternal sebaiknya dilakukan dengan dukungan hasil vulnerability assessment internal untuk menentukan ruang lingkup dan fokus pengujian yang relevan.
• Integrasi kedua proses ini akan meningkatkan efektivitas pengujian dan perbaikan keamanan organisasi secara menyeluruh dan berkelanjutan.
• Hasil penetration testing harus digunakan sebagai dasar untuk perbaikan berkelanjutan dan evaluasi keamanan organisasi.

Melakukan penetration testing eksternal tanpa vulnerability assessment internal ibarat melompat langsung ke medan perang tanpa memetakan area pertempuran. Meskipun pentest sangat penting, ia hanya akan benar-benar efektif jika didahului oleh assessment internal yang teratur, terstruktur, dan terintegrasi dengan proses manajemen keamanan organisasi.

Keamanan siber bukan sekadar soal mematuhi standar atau menyelesaikan laporan vendor. Ini adalah soal membangun ketahanan jangka panjang terhadap ancaman yang terus berkembang.