Open Source

Untuk seluruh software yang bersifat Open Source tidak akan tenggelam oleh waktu dikarenakan banyak yang mendukung program tersebut dan software tersebut tidak kalah bersaing dengan software berbayar lainnya.

Certified

Mengambil sertifikasi semata-mata bukan untuk menjadi tenar atau sombong, tapi untuk mengetahui apakah anda mampu mengemban tanggung jawab secara moral terhadap apa yang anda telah pelajari dan bagaimana memberikan ilmu tersebut kepada orang lain tanpa pamrih.

Operating System Pentest

Sistem operasi Bactrack, Kali Linux, dll memang sangat memanjakan para Pentester dalam melaksanakan tugasnya sesuai dengan prosedur yang berlaku. Di OS tersebut disediakan beberapa tools menarik seperti untuk memperoleh information gathering, vulnerability assesment, exploit, dll.

Sherlock Holmes

Film detektif yang satu ini pasti disukai oleh beberapa rekan IT dikarenakan proses jalan ceritanya ketika memecahkan sebuah kasus tidak monoton dan memerlukan logika berpikir yang diluar kebiasaan. Daya hayal harus tinggi ketika ingin menonton film ini.

Forensic

Kegiatan forensic bidang IT sangat membutuhkan tingkat pemahaman yang tinggi akan suatu kasus yang ditangani. Tim yang menangani forensic harus bisa membaca jalan pikiran si Attacker seperti apa jika melakukan serangan. Biasanya Attacker lebih maju selangkah dibanding dengan tim pemburunya.

Jumat, 11 Maret 2016

Apakah Setiap Bank Wajib Dilakukan Penetration Testing ?

00.24    No comments

Sudah lama tidak bersuara disini dan kebanyakan bertapa di Goa tanpa akses inet (bercanda). Jika tidak salah dulu pernah posting tentang apa saja persyaratan ketika bank ingin menerbitkan layanan electronic banking. Tadi baru dapat pertanyaan dari teman saya, apakah setiap bank wajib dilakukan penetration testing (pentest) setahun sekali?

Ane coba menjawab walau sudah pensiun dari dunia perbankan yah. Sebelumnya ingin menjelaskan terlebih dahulu tentang Electronic Banking (E-Banking) yang langsung dikutip dari SEBI 9/30/DPNP Bab 8 sebagai berikut:

  • E-Banking adalah layanan yang memungkinkan nasabah Bank untuk memperoleh informasi, melakukan komunikasi, dan melakukan transaksi perbankan melalui media elektronik seperti Automatic Teller Machine (ATM), phone banking, electronic fund transfer (EFT), Electronic Data Capture (EDC)/Point Of Sales (POS), internet banking dan mobile banking.
Jadi sangat jelas jika ada Bank yang sudah mempunyai ATM maka dipastikan mereka sudah mempunyai layanan E-Banking. Kemudian apakah SMS Banking termasuk kategori E-Banking juga kah? Jawabannya iya gan, karena SMS Banking adalah sebuah sarana untuk melakukan transaksi perbankan juga dengan medianya handphone.

Oke sampai disitu pembahasan terkait pengertian E-Banking. Sekarang saatnya membahas Penetration Testing dan nampaknya tidak perlu lagi dijelaskan apa itu pentest. Coba anda lihat di sub bab 8.4.2.1 poin:

1)  Bank harus menerapkan metode dan teknik yang tepat untuk mengurangi ancaman eksternal seperti serangan virus, malicious transaction yang meliputi: 
  • perangkat lunak – penyediaan virus scanning dan anti virus untuk seluruh  entry point dan masing-masing sistem komputer (desktop);

  • perangkat lunak untuk mendeteksi adanya penyusupan (intrusion detection system);

  • pengujian penetrasi (penetration testing) terhadap jaringan internal dan eksternal secara berkala sekurang-kurangnya 1 tahun sekali. 

Nah di Poin ketiga tersebut sangat jelas bahwa harus dilakukan pentest minimal setahun sekali agar dapat mengetahui kerentanan yang ada pada seluruh sistem yang terkait E-Banking. Jadi jika ada perbankan yang tidak melakukan kegiatan tersebut, maka apabila ada Auditor Eksternal yang mempunyai finding bahwa Bank tidak melakukan kegiatan pentest, dianggap benar hasil temuan tersebut yang berbasiskan poin di lampiran SEBI 9/30/DPNP.

Sekian tulisan singkat ini, semoga mudah dipahami oleh kita semua.

Sumber:

Read More
Langganan: Postingan (Atom)