Langsung ke konten utama

Cara kerja kami

Bagaimana engagement Alpha Code berjalan, dari awal sampai akhir

Ada baiknya memahami bagaimana sebuah engagement keamanan benar-benar berjalan sebelum Anda memutuskan untuk memulainya. Halaman ini menjelaskan cara kami menyusun lingkup pekerjaan, gambaran beberapa minggu pertama, apa yang Anda terima di akhir, dan apa yang terjadi sesudahnya.

Ringkasnya

Setiap engagement dimulai dari panggilan scoping, mengikuti urutan onboarding yang sudah tetap, dan diakhiri dengan laporan yang bisa dipakai pimpinan maupun tim teknis Anda. Pengujian ulang dan dukungan advisory tetap berjalan setelah kami menyerahkan hasilnya.

Langkah 1

Cara kami menyusun lingkup engagement

Penyusunan lingkup menentukan semua yang menyusul: berapa lama pekerjaannya, seberapa besar usahanya, dan berapa biayanya. Kami mulai dengan panggilan discovery singkat untuk memahami apa yang Anda lindungi, regulasi mana yang berlaku untuk Anda, dan apa yang membuat Anda menghubungi kami. Kadang itu audit OJK yang sudah di depan mata, kadang mandat dari direksi, kadang insiden yang masih Anda tangani.

Setelah panggilan, kami mengirim kuesioner scoping. Untuk penetration test, kuesioner ini menanyakan jumlah aplikasi, rentang IP Anda, peran pengguna yang terlibat, dan kapan kami bisa menguji. Untuk engagement kepatuhan atau DPO, kuesioner menanyakan alur data, sistem yang masuk lingkup, dan dokumentasi yang sudah Anda miliki. Jawabannya memungkinkan kami mengukur pekerjaan sesuai kenyataannya, bukan menawarkan paket jadi.

Anda lalu menerima proposal tertulis dengan lingkup tetap, timeline, dan harga. Tidak ada yang dimulai sebelum Anda menyetujuinya dan kami berdua menandatangani perjanjian kerahasiaan bersama.

Langkah 2

Gambaran minggu-minggu pertama

Sebagian besar engagement bergerak melalui urutan onboarding yang sama. Lama tiap bagian bergantung pada lingkup, tetapi urutannya jarang berubah.

  1. 1

    Kickoff dan akses

    Kami mengonfirmasi lingkup, menyepakati siapa yang kami ajak bicara, dan menyiapkan akses yang kami perlukan, entah itu akun uji, rentang jaringan, dokumentasi, atau jadwal wawancara. Kami juga menyepakati apa yang terjadi jika kami menemukan sesuatu yang kritis di tengah jalan, supaya tidak ada yang kaget.

  2. 2

    Pengumpulan informasi

    Kami mengumpulkan dan membaca apa pun yang masuk lingkup: diagram arsitektur, kebijakan yang ada, inventaris aset, temuan dari audit sebelumnya. Pada engagement kepatuhan, di sinilah kami memetakan sistem Anda terhadap kerangka kerja yang menjadi tanggung jawab Anda.

  3. 3

    Pekerjaan aktif

    Pengujian, asesmen, atau analisis berjalan terhadap lingkup yang kami sepakati. Untuk pekerjaan teknis, ini berarti pengujian langsung. Untuk pekerjaan advisory, ini berarti analisis kesenjangan dan wawancara. Jika kami menemukan sesuatu yang kritis, Anda langsung tahu. Kami tidak menyimpannya sampai laporan keluar.

  4. 4

    Tinjauan dan validasi

    Kami memeriksa setiap temuan, membuang positif palsu, dan memastikan apa yang kami laporkan bisa direproduksi. Kalau kami mengangkat sebuah masalah, kami bisa menunjukkannya kepada Anda.

  5. 5

    Pelaporan dan serah terima

    Kami menyerahkan laporan, memandu Anda menelusurinya, dan menjawab pertanyaan dari pimpinan maupun tim teknis Anda.

Langkah 3

Apa yang Anda terima

Setiap engagement diakhiri dengan laporan tertulis dalam dua lapisan. Ringkasan eksekutif menyatakan posisi risiko Anda secara keseluruhan dalam bahasa yang jelas, tanpa jargon, sehingga anggota direksi atau regulator bisa membacanya langsung. Bagian teknis mencantumkan setiap temuan beserta tingkat keparahan, bukti, dampak bisnis, dan langkah spesifik untuk memperbaikinya.

Kami menilai temuan dengan skala yang diakui seperti CVSS untuk kerentanan teknis, sehingga tim Anda bisa menetapkan prioritas dengan cara yang sama setiap kali. Ketika sebuah temuan terkait dengan regulasi, kami menyebut namanya, misalnya kontrol dalam POJK 11/2022 atau kewajiban dalam UU PDP, sehingga penanggung jawab kepatuhan Anda bisa bertindak tanpa harus membolak-balik dokumen untuk memahami maksud kami.

Laporan dikirim lewat kanal yang aman. Laporan itu milik Anda, dan kami memperlakukan isinya sebagai rahasia berdasarkan perjanjian kerahasiaan.

Langkah 4

Dukungan setelah penyerahan

Laporan baru ada artinya kalau masalahnya benar-benar diperbaiki. Setelah penyerahan, kami tetap siap menjelaskan temuan dan meninjau rencana perbaikan Anda. Untuk penetration test dan asesmen, kami menyertakan jendela pengujian ulang, jadi begitu Anda selesai memperbaiki, kami bisa memastikan perbaikan itu benar-benar menutup masalahnya dan memperbarui laporan agar menunjukkan hasil yang bersih.

Banyak klien beralih ke retainer advisory setelah engagement pertama. Itu memberi mereka narahubung khusus untuk pertanyaan keamanan, dukungan saat ada audit, dan akses prioritas ke tim incident response kami. Klien lain cukup kembali untuk asesmen terjadwal berikutnya. Bagaimanapun, hubungan tidak berhenti begitu laporan sampai.

Standar

Kerangka kerja yang kami ikuti

Metodologi kami mengikuti standar internasional yang sudah mapan dan dipetakan ke regulasi Indonesia yang harus dipenuhi klien kami. Inilah kerangka kerja di balik pekerjaan kami.

Pertanyaan umum tentang bekerja dengan kami

Bergantung pada lingkupnya. Penetration test yang terfokus biasanya berjalan dua sampai empat minggu dari kickoff hingga laporan. Engagement kepatuhan atau ISO 27001 yang lengkap memakan waktu lebih lama karena ada dokumentasi dan tinjauan proses yang harus dikerjakan. Apa pun itu, Anda mendapat timeline yang pasti dalam proposal sebelum pekerjaan dimulai.

Siap menyusun lingkup engagement Anda?

Beri tahu kami apa yang perlu Anda lindungi, dan kami akan memandu Anda bagaimana engagement-nya akan berjalan, dengan lingkup dan timeline yang jelas.

Hubungi Alpha Code