Manajemen Resiko dari Pentesting

Perhitungan dan analisis risiko adalah bagian dari manajemen risiko secara keseluruhan. 

Laporan pengujian penetrasi yang efektif harus mencakup minimum, perhitungan risiko, dan analisis. Panduan untuk manajemen risiko dapat dengan mudah ditemukan dari beberapa sumber di Internet (mis. NIST SP800-30, Risk Management Guide for Information Technology Systems) adalah Panduan Manajemen Resiko untuk Sistem Teknologi Informasi. Komponen analisis risiko dijelaskan sebagai berikut:

Ancaman - kemungkinan bahaya yang dapat mengeksploitasi kerentanan untuk melanggar keamanan dan karenanya menyebabkan kemungkinan bahaya.

Kerentanan - kelemahan yang memungkinkan penyerang mengurangi jaminan informasi sistem.
Kerentanan adalah persimpangan dari tiga elemen: kerentanan sistem, akses penyerang ke kerentanan, dan kemampuan penyerang untuk mengeksploitasi kerentanan.

Dampak - Ancaman yang berhasil dilakukan dari kerentanan yang ada. (internal atau eksternal).

Peringkat Resiko

Perhitungan peringkat resiko ini:

Risiko = Ancaman x Kerentanan x Dampak

Setelah menghitung peringkat risiko, kami mulai menulis laporan tentang setiap risiko dan bagaimana cara mitigasi (mitigasi atau pengurangan risiko).

Apakah perusahaan Anda sudah memikirkan dan melaksanakan hal ini?