Apa itu Ethical Hacking?

Etika hacking - yang mencakup pengujian penetrasi formal dan metodis, pengujian topi putih, dan pengujian kerentanan - melibatkan alat, trik, dan teknik yang sama dengan kriminal. hacker menggunakan, tapi dengan satu perbedaan utama: Hacking etis dilakukan dengan izin target dalam setting profesional.

Maksud hacking etis adalah menemukan kerentanan dari sudut pandang penyerang berbahaya terhadap sistem yang lebih aman. Hacking etis adalah bagian dari keseluruhan program pengelolaan risiko informasi yang memungkinkan perbaikan keamanan berkelanjutan. Hacking etis juga dapat memastikan bahwa klaim vendor tentang keamanan produk mereka sah.

besar

. Audit keamanan melibatkan perbandingan kebijakan keamanan perusahaan dengan apa yang sebenarnya sedang terjadi. Maksud audit keamanan adalah untuk memvalidasi bahwa kontrol keamanan ada - biasanya menggunakan pendekatan berbasis risiko. Audit sering kali melibatkan proses bisnis review dan, dalam banyak kasus, mungkin tidak terlalu teknis. Tidak semua audit tingkat tinggi ini, namun mayoritas cukup sederhana.

Sebaliknya, hacking etis berfokus pada kerentanan yang bisa dieksploitasi. Ini memvalidasi bahwa kontrol keamanan tidak

ada atau tidak efektif. Hacking etis bisa sangat teknis dan tidak teknis, dan walaupun Anda menggunakan metodologi formal, teknik ini cenderung sedikit kurang terstruktur daripada audit formal.

Jika audit terus berlangsung di organisasi Anda, mungkin Anda mempertimbangkan untuk mengintegrasikan teknik hacking etis ke dalam program audit TI Anda. Mereka saling melengkapi satu sama lain dengan sangat baik.

Pertimbangan kebijakan

Jika Anda memilih menjadikan etis hacking sebagai bagian penting dari program manajemen risiko bisnis Anda, Anda benar-benar perlu memiliki kebijakan pengujian keamanan terdokumentasi. Kebijakan semacam itu menguraikan jenis hacking etis yang dilakukan, sistem mana (seperti server, aplikasi web, laptop, dan sebagainya) diuji, dan seberapa sering pengujian dilakukan.

Anda mungkin juga mempertimbangkan untuk membuat dokumen standar keamanan yang menguraikan alat pengujian keamanan khusus yang digunakan dan tanggal tertentu sistem Anda diuji setiap tahunnya. Anda mungkin mendaftar tanggal pengujian standar, seperti sekali per kuartal untuk sistem eksternal dan tes dua tahunan untuk sistem internal - apa pun yang sesuai untuk bisnis Anda.

Masalah kepatuhan dan peraturan

Kebijakan internal Anda sendiri mungkin mendikte bagaimana manajemen melihat pengujian keamanan, namun Anda juga perlu mempertimbangkan undang-undang dan peraturan negara bagian, federal, dan global yang mempengaruhi bisnis Anda.

Banyak undang-undang dan peraturan federal di AS - seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), Undang-Undang Kesehatan Teknologi Informasi untuk Kesehatan Ekonomi dan Klinis (HITECH), Gramm-Leach-Bliley Act (GLBA), Persyaratan CIP Amerika Utara Keandalan Korporasi (NERC), dan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) - memerlukan kontrol keamanan yang kuat dan evaluasi keamanan yang konsisten.

Undang-undang internasional terkait seperti Undang-Undang Perlindungan Informasi Pribadi Kanada dan Undang-Undang Dokumen Elektronik (PIPEDA), Petunjuk Perlindungan Data Uni Eropa, dan Undang-Undang Perlindungan Informasi Pribadi Jepang (JPIPA) tidak berbeda. Memasukkan tes hacking etis Anda ke dalam persyaratan kepatuhan ini adalah cara yang bagus untuk memenuhi peraturan negara bagian dan federal dan meningkatkan keseluruhan program privasi dan keamanan Anda.