Daftar Isi:
- Banyak orang mengacaukan pengujian keamanan melalui pendekatan hacking etis dengan audit keamanan, namun ada perbedaan
- Jika Anda memilih membuat hacking etis sebagai bagian penting dari program pengelolaan risiko informasi bisnis Anda, Anda benar-benar harus memiliki kebijakan pengujian keamanan terdokumentasi. Kebijakan semacam itu menguraikan siapa yang melakukan pengujian, jenis pengujian umum yang dilakukan, dan seberapa sering pengujian dilakukan.
- Kebijakan internal Anda sendiri mungkin mendikte bagaimana manajemen melihat pengujian keamanan, namun Anda juga perlu mempertimbangkan undang-undang dan peraturan negara bagian, federal, dan internasional yang mempengaruhi bisnis Anda. Secara khusus, Digital Millennium Copyright Act (DMCA) mengirimkan getaran ke duri para peneliti yang sah.
Video: Kim Jong-un VS Hacker Jim Geovedi, Hacker Korut Serang Jaringan Perbankan Dunia 2024
Anda membutuhkan perlindungan dari hacker shenanigans; Anda harus menjadi sama cerdasnya dengan orang-orang yang mencoba menyerang sistem Anda. Profesional penilaian keamanan sejati memiliki keterampilan, pola pikir, dan alat peretas namun juga dapat dipercaya. Dia melakukan hacks sebagai tes keamanan terhadap sistem berdasarkan bagaimana hacker bisa bekerja.
Etika hacking versus auditing
Banyak orang mengacaukan pengujian keamanan melalui pendekatan hacking etis dengan audit keamanan, namun ada perbedaan
besar , yaitu dalam tujuannya. Audit keamanan melibatkan perbandingan kebijakan keamanan perusahaan (atau persyaratan kepatuhan) terhadap apa yang sebenarnya sedang terjadi. Maksud audit keamanan adalah untuk memvalidasi bahwa kontrol keamanan ada - biasanya menggunakan pendekatan berbasis risiko. Audit sering kali melibatkan proses bisnis review dan, dalam banyak kasus, mungkin tidak terlalu teknis. Audit keamanan biasanya berdasarkan daftar periksa.
Sebaliknya, penilaian keamanan berbasis seputar fokus hacking etis pada kerentanan yang dapat dieksploitasi. Pendekatan pengujian ini memvalidasi bahwa kontrol keamanan
tidak ada atau tidak efektif. Hacking etis bisa sangat teknis dan tidak teknis, dan walaupun Anda menggunakan metodologi formal, teknik ini cenderung sedikit kurang terstruktur daripada audit formal. Bila diperlukan audit (seperti sertifikasi ISO 9001 dan 27001) di organisasi Anda, mungkin Anda mempertimbangkan untuk mengintegrasikan teknik peretasan etis ke dalam program audit TI / keamanan Anda. Mereka saling melengkapi satu sama lain dengan sangat baik.
Pertimbangan kebijakan
Jika Anda memilih membuat hacking etis sebagai bagian penting dari program pengelolaan risiko informasi bisnis Anda, Anda benar-benar harus memiliki kebijakan pengujian keamanan terdokumentasi. Kebijakan semacam itu menguraikan siapa yang melakukan pengujian, jenis pengujian umum yang dilakukan, dan seberapa sering pengujian dilakukan.
Anda mungkin juga mempertimbangkan untuk membuat dokumen standar keamanan yang menguraikan alat pengujian keamanan khusus yang digunakan dan orang-orang tertentu yang melakukan pengujian. Anda mungkin juga mencantumkan tanggal pengujian standar, seperti sekali per kuartal untuk sistem eksternal dan tes dua tahunan untuk sistem internal - apa pun yang sesuai untuk bisnis Anda.
Masalah kepatuhan dan peraturan
Kebijakan internal Anda sendiri mungkin mendikte bagaimana manajemen melihat pengujian keamanan, namun Anda juga perlu mempertimbangkan undang-undang dan peraturan negara bagian, federal, dan internasional yang mempengaruhi bisnis Anda. Secara khusus, Digital Millennium Copyright Act (DMCA) mengirimkan getaran ke duri para peneliti yang sah.
Banyak undang-undang dan peraturan federal di Amerika Serikat - seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), Undang-Undang Kesehatan Teknologi Informasi untuk Kesehatan Ekonomi dan Klinik (HITECH), Gramm-Leach-Bliley Act (GLBA), Persyaratan Proteksi Infrastruktur Kritis (CIP) Amerika Utara, dan DSS PCI - memerlukan kontrol keamanan yang kuat dan evaluasi keamanan yang konsisten. Undang-undang internasional terkait seperti Undang-Undang Perlindungan Informasi Pribadi Kanada dan Undang-Undang Dokumen Elektronik (PIPEDA), Petunjuk Perlindungan Data Uni Eropa, dan Undang-Undang Perlindungan Informasi Pribadi Jepang (JPIPA) tidak berbeda.
Memasukkan tes keamanan Anda ke dalam persyaratan kepatuhan ini adalah cara yang bagus untuk memenuhi peraturan negara bagian dan federal dan meningkatkan keseluruhan program keamanan dan privasi informasi Anda.