Langkah 1
Cara kami menyusun lingkup engagement
Penyusunan lingkup menentukan semua yang menyusul: berapa lama pekerjaannya, seberapa besar usahanya, dan berapa biayanya. Kami mulai dengan panggilan discovery singkat untuk memahami apa yang Anda lindungi, regulasi mana yang berlaku untuk Anda, dan apa yang membuat Anda menghubungi kami. Kadang itu audit OJK yang sudah di depan mata, kadang mandat dari direksi, kadang insiden yang masih Anda tangani.
Setelah panggilan, kami mengirim kuesioner scoping. Untuk penetration test, kuesioner ini menanyakan jumlah aplikasi, rentang IP Anda, peran pengguna yang terlibat, dan kapan kami bisa menguji. Untuk engagement kepatuhan atau DPO, kuesioner menanyakan alur data, sistem yang masuk lingkup, dan dokumentasi yang sudah Anda miliki. Jawabannya memungkinkan kami mengukur pekerjaan sesuai kenyataannya, bukan menawarkan paket jadi.
Anda lalu menerima proposal tertulis dengan lingkup tetap, timeline, dan harga. Tidak ada yang dimulai sebelum Anda menyetujuinya dan kami berdua menandatangani perjanjian kerahasiaan bersama.
Langkah 2
Gambaran minggu-minggu pertama
Sebagian besar engagement bergerak melalui urutan onboarding yang sama. Lama tiap bagian bergantung pada lingkup, tetapi urutannya jarang berubah.
- 1
Kickoff dan akses
Kami mengonfirmasi lingkup, menyepakati siapa yang kami ajak bicara, dan menyiapkan akses yang kami perlukan, entah itu akun uji, rentang jaringan, dokumentasi, atau jadwal wawancara. Kami juga menyepakati apa yang terjadi jika kami menemukan sesuatu yang kritis di tengah jalan, supaya tidak ada yang kaget.
- 2
Pengumpulan informasi
Kami mengumpulkan dan membaca apa pun yang masuk lingkup: diagram arsitektur, kebijakan yang ada, inventaris aset, temuan dari audit sebelumnya. Pada engagement kepatuhan, di sinilah kami memetakan sistem Anda terhadap kerangka kerja yang menjadi tanggung jawab Anda.
- 3
Pekerjaan aktif
Pengujian, asesmen, atau analisis berjalan terhadap lingkup yang kami sepakati. Untuk pekerjaan teknis, ini berarti pengujian langsung. Untuk pekerjaan advisory, ini berarti analisis kesenjangan dan wawancara. Jika kami menemukan sesuatu yang kritis, Anda langsung tahu. Kami tidak menyimpannya sampai laporan keluar.
- 4
Tinjauan dan validasi
Kami memeriksa setiap temuan, membuang positif palsu, dan memastikan apa yang kami laporkan bisa direproduksi. Kalau kami mengangkat sebuah masalah, kami bisa menunjukkannya kepada Anda.
- 5
Pelaporan dan serah terima
Kami menyerahkan laporan, memandu Anda menelusurinya, dan menjawab pertanyaan dari pimpinan maupun tim teknis Anda.
Langkah 3
Apa yang Anda terima
Setiap engagement diakhiri dengan laporan tertulis dalam dua lapisan. Ringkasan eksekutif menyatakan posisi risiko Anda secara keseluruhan dalam bahasa yang jelas, tanpa jargon, sehingga anggota direksi atau regulator bisa membacanya langsung. Bagian teknis mencantumkan setiap temuan beserta tingkat keparahan, bukti, dampak bisnis, dan langkah spesifik untuk memperbaikinya.
Kami menilai temuan dengan skala yang diakui seperti CVSS untuk kerentanan teknis, sehingga tim Anda bisa menetapkan prioritas dengan cara yang sama setiap kali. Ketika sebuah temuan terkait dengan regulasi, kami menyebut namanya, misalnya kontrol dalam POJK 11/2022 atau kewajiban dalam UU PDP, sehingga penanggung jawab kepatuhan Anda bisa bertindak tanpa harus membolak-balik dokumen untuk memahami maksud kami.
Laporan dikirim lewat kanal yang aman. Laporan itu milik Anda, dan kami memperlakukan isinya sebagai rahasia berdasarkan perjanjian kerahasiaan.
Langkah 4
Dukungan setelah penyerahan
Laporan baru ada artinya kalau masalahnya benar-benar diperbaiki. Setelah penyerahan, kami tetap siap menjelaskan temuan dan meninjau rencana perbaikan Anda. Untuk penetration test dan asesmen, kami menyertakan jendela pengujian ulang, jadi begitu Anda selesai memperbaiki, kami bisa memastikan perbaikan itu benar-benar menutup masalahnya dan memperbarui laporan agar menunjukkan hasil yang bersih.
Banyak klien beralih ke retainer advisory setelah engagement pertama. Itu memberi mereka narahubung khusus untuk pertanyaan keamanan, dukungan saat ada audit, dan akses prioritas ke tim incident response kami. Klien lain cukup kembali untuk asesmen terjadwal berikutnya. Bagaimanapun, hubungan tidak berhenti begitu laporan sampai.
Standar
Kerangka kerja yang kami ikuti
Metodologi kami mengikuti standar internasional yang sudah mapan dan dipetakan ke regulasi Indonesia yang harus dipenuhi klien kami. Inilah kerangka kerja di balik pekerjaan kami.
Manajemen keamanan informasi, dasar dari sebagian besar pekerjaan kepatuhan dan GRC kami.
Standar pengujian di balik penetration testing web dan aplikasi kami.
Kerangka kerja untuk asesmen keamanan OT dan ICS kami di lingkungan industri.
Konteks regulasi Indonesia yang menjadi acuan setiap engagement kami, dari jasa keuangan sampai pelindungan data.
Pertanyaan umum tentang bekerja dengan kami
Bergantung pada lingkupnya. Penetration test yang terfokus biasanya berjalan dua sampai empat minggu dari kickoff hingga laporan. Engagement kepatuhan atau ISO 27001 yang lengkap memakan waktu lebih lama karena ada dokumentasi dan tinjauan proses yang harus dikerjakan. Apa pun itu, Anda mendapat timeline yang pasti dalam proposal sebelum pekerjaan dimulai.