Mohon tunggu...
Edy Susanto
Edy Susanto Mohon Tunggu... Konsultan - IT consultant, writer, citizen journalist, photographer

Seorang ahli keamanan siber yang tidak hanya jago melawan ancaman digital, tetapi juga piawai menjinakkan teknologi blockchain dan membuat data menari-nari dalam visualisasi yang memukau. Sebagai trainer yang penuh semangat, ia mengubah materi yang rumit menjadi sesi belajar yang seru dan mudah dipahami. Di luar dunia teknologi, ia adalah pecinta kucing yang setia, selalu siap mengabadikan momen-momen menggemaskan mereka dalam jepretan fotografi yang artistik. Tak hanya itu, ia juga gemar menulis, mengolah kata demi kata hingga menjadi cerita yang menghibur dan menggugah.

Selanjutnya

Tutup

Pendidikan

ECSA Series : Customer & Legal Agreement

20 Maret 2015   11:31 Diperbarui: 17 Juni 2015   09:23 51
+
Laporkan Konten
Laporkan Akun
Kompasiana adalah platform blog. Konten ini menjadi tanggung jawab bloger dan tidak mewakili pandangan redaksi Kompas.
Lihat foto
Bagikan ide kreativitasmu dalam bentuk konten di Kompasiana | Sumber gambar: Freepik

Okey, Jadi sebelum kita melakukan pen test, harus ada sisi legal yang dipenuhi sebagai konsekwensi legal terhadap tindakan yang akan dilakukan, tanpa ini tidak dianjurkan melakukan pen test karena bisa berujung di balik jeruji besi.

Jadi suatu aturan yang tertulis harus diadakan , dimana permintaan pen test di awali dari organisasi yang membutuhkan dan harus ditanda tangani oleh Top Management /Senior Director atau jabatan yang setara, suatu permintaan yang bukan dari level ini, misalnya dari staff biasa, karyawan, directur IT ( bukan top management) tidak bisa ditindak lanjuti.

Kontrak pen test harus ditanda tangani sebelum pen test itu sendiri di laksanakan, dan kontrak ini harus berkekuatan hukum, dengan demikian penggunakan lawyer / notaris diperlukan untuk mereview dan mendampingi masa proses ini.

Kontrak ini bisa dikatakan sebagai “Get Out of Jail Free Card “ sehingga ketika pen test ini dilakukan kita tidak akan dituntut karena melakukan penetrasi ke wilayah orang lain. Kontrak ini berisi type kegiatan yang dilakukan, type test nya, identifikasi masalah dan kemungkinan adanya loss atau damage akibat dari kegiatan pen testing ini.

Dibawah ini adalah contoh tabel untuk aktifitas yang diperboleh didalam kontrak pen test

1426825634357495445
1426825634357495445

Selain itu didalam kontrak perlu di sebutkan adanya jaminan kerahasiaan ( NDA Agreement) bahwa informasi yang didapat baik sebelum, selama dan sesudah pen test dijamin tidak akan dibocorkan ke pihak lain. Kedua belah pihak wajib menggaransi adanya perlindungan terhadap tools, teknik, vulnerabilities dan informasi yang ada demi alasan keamanan.

Oleh karena ini sangat lekat dengan bahasa hukum yang bagi kita orang orang IT tidak terlalu memahami nya maka sebaiknya kontrak itu di draft oleh lawyer ,kemudian di review oleh kedua belah pihak antara organisasi yang meminta pen test dengan organisasi yang akan melakukan pen test tersebut, baru ketika sudah pas semua, perjanjian itu bisa ditanda tangani oleh kedua pihak.

Secara sederhana point point didalam kontrak itu kudu secara jelas mencakup hal hal umum sebagai berikut :


  • Goal of Penetration Test
  • Sensitive information
  • Indemnification clause ( klausa pengganti rugian)
  • Non Disclosure clause
  • Fees & Project Schedule
  • Confidental Information
  • Reporting & Responsibilities

Disana juga perlu dicantumkan detail tentang hal hal tentang :


  • Scope test
  • Performance standard
  • Security & Confidentiallity
  • Audit Information
  • Reporting Cost
  • Ownership and Licence
  • Dispute resolution & Indemnification

Sebenaranya berapa sih cost untuk melakukan pen test ? hehehe pertanyaan ini pasti mengelitik karena jangan sampai kita sebagai tester merasa rugi waktu biaya dan tenaga dibandingkan dengan kerja yang kita lakukan , atau mungkin sebaliknya klien merasa cost yang terlalu mahal. Oleh sebab itu beberapa acuan yang bisa dilihat adalah cost pen test didasarkan pada hal hal sebagai berikut :


  • Berapa man days resource yang diperlukan
  • Berapa client computer yang akan ditest
  • Berapa server yang akan di test
  • Harga yang berbeda beda untuk type test tertentu misalnya untuk social engineering, competitive intelegen, security fisik, pencurian laptops dll.

see in my next sharing, keep tune in http://edysusanto.com

-Dari berbagai sumber

Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H

Mohon tunggu...

Lihat Konten Pendidikan Selengkapnya
Lihat Pendidikan Selengkapnya
Beri Komentar
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE

Belum ada komentar. Jadilah yang pertama untuk memberikan komentar!
LAPORKAN KONTEN
Alasan
Laporkan Konten
Laporkan Akun