Pen-Test Tahunan Tak Memadai, ITSEC Asia Kenalkan Bronyx.AI

Transformasi digital membuat bisnis bergerak semakin cepat. Sayangnya, pendekatan keamanan yang digunakan banyak organisasi masih berjalan dengan ritme yang sama seperti satu dekade lalu.

Tidak sedikit orang yang rutin melakukan medical check-up setiap tahun untuk memastikan kondisi kesehatannya tetap baik. Namun, tidak ada yang benar-benar berasumsi bahwa hasil pemeriksaan tersebut menjamin semuanya akan baik-baik saja selama setahun penuh.

Kondisi tubuh bisa berubah. Pola hidup berubah. Risiko penyakit baru dapat muncul sewaktu-waktu.

Karena itu, menjaga kesehatan bukan hanya soal melakukan pemeriksaan tahunan, tetapi juga soal pemantauan dan kebiasaan yang dilakukan secara berkelanjutan.

Prinsip yang sama berlaku dalam dunia keamanan siber.

Selama bertahun-tahun, penetration test tahunan telah menjadi praktik yang umum dilakukan perusahaan. Organisasi menjadwalkan assessment, menerima laporan, melakukan perbaikan, lalu mengulang proses yang sama pada tahun berikutnya. Pada masanya, pendekatan ini cukup memadai karena lingkungan teknologi belum berubah secepat sekarang.

Namun situasinya berbeda saat ini.

Cloud semakin banyak digunakan. API menjadi fondasi berbagai layanan digital. Tim pengembang merilis fitur baru secara berkala, sementara integrasi dengan pihak ketiga semakin kompleks. Dalam kondisi seperti ini, permukaan serangan sebuah organisasi juga berubah secara terus-menerus.

Sebuah sistem yang dinyatakan aman enam bulan lalu bisa saja memiliki profil risiko yang sangat berbeda hari ini.

Hal tersebut memunculkan pertanyaan yang mulai banyak diajukan para pemimpin keamanan informasi:

Apakah melakukan penetration test setahun sekali masih cukup?

Menurut Patrick Dannacher, President Director ITSEC Asia, keamanan siber pada dasarnya bukanlah sesuatu yang bersifat statis. "Penetration test tradisional tetap memiliki peran yang sangat penting. Namun, lingkungan digital saat ini berubah jauh lebih cepat dibandingkan frekuensi assessment yang dilakukan sebagian besar organisasi. Karena itu, organisasi membutuhkan visibilitas yang lebih berkelanjutan terhadap risiko yang terus berkembang," ujarnya.

Pada dasarnya, penetration test memberikan gambaran kondisi keamanan pada suatu titik waktu tertentu. Hasil tersebut tetap memiliki nilai yang sangat penting, tetapi tidak selalu merepresentasikan kondisi lingkungan yang sama beberapa bulan kemudian.

Aplikasi mengalami pembaruan. Infrastruktur berubah. Layanan baru ditambahkan. Integrasi baru dilakukan. Setiap perubahan tersebut berpotensi menghadirkan risiko yang sebelumnya tidak ada.

Sumber: vritimes.com