Okey, sebelum kita melakukan pen test, harus ada sisi legal yang dipenuhi sebagai konsekwensi legal terhadap tindakan yang akan dilakukan, tanpa ini tidak dianjurkan melakukan pen test karena bisa berujung di balik jeruji besi.

Jadi suatu aturan yang tertulis harus diadakan , dimana permintaan pen test di awali dari organisasi yang membutuhkan dan harus ditanda tangani oleh Top Management /Senior Director atau jabatan yang setara, suatu permintaan yang bukan dari level ini, misalnya dari staff biasa, karyawan, directur IT ( bukan top management) tidak bisa ditindak lanjuti.

Kontrak pen test harus ditanda tangani sebelum pen test itu sendiri di laksanakan, dan kontrak ini harus berkekuatan hukum, dengan demikian penggunakan lawyer / notaris diperlukan untuk mereview dan mendampingi masa proses ini.

Kontrak ini bisa dikatakan sebagai “Get Out of Jail Free Card “ sehingga ketika pen test ini dilakukan kita tidak akan dituntut karena melakukan penetrasi ke wilayah orang lain. Kontrak ini berisi type kegiatan yang dilakukan, type test nya, identifikasi masalah dan kemungkinan adanya loss atau damage akibat dari kegiatan pen testing ini.

Dibawah ini adalah contoh tabel untuk aktifitas yang diperboleh didalam kontrak pen test

Selain itu didalam kontrak perlu di sebutkan adanya jaminan kerahasiaan ( NDA Agreement) bahwa informasi yang didapat baik sebelum, selama dan sesudah pen test dijamin tidak akan dibocorkan ke pihak lain. Kedua belah pihak wajib menggaransi adanya perlindungan terhadap tools, teknik, vulnerabilities dan informasi yang ada demi alasan keamanan.

Oleh karena ini sangat lekat dengan bahasa hukum yang bagi kita orang orang IT tidak terlalu memahami nya maka sebaiknya kontrak itu di draft oleh lawyer ,kemudian di review oleh kedua belah pihak antara organisasi yang meminta pen test dengan organisasi yang akan melakukan pen test tersebut, baru ketika sudah pas semua, perjanjian itu bisa ditanda tangani oleh kedua pihak.

Secara sederhana point point didalam kontrak itu kudu secara jelas mencakup hal hal umum sebagai berikut :

• Goal of Penetration Test
• Sensitive information
• Indemnification clause ( klausa pengganti rugian)
• Non Disclosure clause
• Fees & Project Schedule
• Confidental Information
• Reporting & Responsibilities

Disana juga perlu dicantumkan detail tentang hal hal tentang :

• Scope test
• Performance standard
• Security & Confidentiallity
• Audit Information
• Reporting Cost
• Ownership and Licence
• Dispute resolution & Indemnification

Sebenaranya berapa sih cost untuk melakukan pen test ? hehehe pertanyaan ini pasti mengelitik karena jangan sampai kita sebagai tester merasa rugi waktu biaya dan tenaga dibandingkan dengan kerja yang kita lakukan , atau mungkin sebaliknya klien merasa cost yang terlalu mahal. Oleh sebab itu beberapa acuan yang bisa dilihat adalah cost pen test didasarkan pada hal hal sebagai berikut :

• Berapa man days resource yang diperlukan
• Berapa client computer yang akan ditest
• Berapa server yang akan di test
• Harga yang berbeda beda untuk type test tertentu misalnya untuk social engineering, competitive intelegen, security fisik, pencurian laptops dll.

see in my next sharing, keep tune in https://defcon62231.com

-Dari berbagai sumber