Secara sederhana penetration test adalah kegiatan pengujian terhadap Sistem Manajemen Keamanan Informasi (SMKI) yang dimiliki sebuah organisasi dalam melindungi data-data kritis miliknya.
Ia merupakan bagian yang tidak terpisahkan dari siklus PDCA. Karena hasil dari kegiatan ini akan menjadi dasar bagi upaya perbaikan berkelanjutan (continuous process improvement). Hasil dari penetration test tersebut berupa rekomendasi berupa remediasi yang terencana, sistematis dan terukur untuk melakukan mitigasi terhadap resiko yang telah tervalidasi melalui pengujian.
Dengan demikian, kegiatan ini merupakan bagian dari fase “CHECK” pada siklus deeming yang merupakan fondasi dari standard SMKI yang berbasis ISO 27000 (SNI ISO/IEC 27000:2014). Berikut ini adalah ilustrasi PDCA pada SMKI yang berbasis ISO 27000 dari ATKerney Consulting:
Referensi:
Siklus PDCA pada ISMS berbasis ISO 2700x
Kegiatan penetration test berbeda dengan vulnerability assessment (VA), yang lebih menekankan pada evaluasi seberapa baik sebuah organisasi dalam melakukan patch dan mengamankan konfigurasi. Jadi, kegiatan VA tidak difokuskan pada upaya melakukan akses pada data-data kritis sebagaimana cybercriminal melakukannya. Perbedaan keduanya dapat dijelaskan pada gambar sebagai berikut (OSSTMM v.2.1 dari Institue for Security and Open Methodologies atau ISECOM):
Kegiatan penetration test juga berbeda dengan kegiatan hacking, karena penetration test hanya bisa dilaksanakan dengan izin penanggung jawab organisasi. Walaupun dalam pelaksanaan kegiatannya menggunakan metodologi dan tools yang serupa dengan yang digunakan oleh cybercriminal.
Py-Sec[dot]org 