Dalam dunia ethical hacking dan penetration testing, fokus seringkali tertuju pada tool canggih, teknik eksploitasi, atau kerentanan terbaru. Namun, sebelum satu pun tool dijalankan atau pemindaian pertama dilakukan, ada fase krusial yang bersifat administratif dan legal yang mutlak harus diselesaikan: pendefinisian Scope dan penandatanganan Engagement Letter. Berbeda jauh dengan aktivitas peretasan ilegal yang dilakukan tanpa izin, ethical hacking adalah layanan profesional yang membutuhkan otorisasi eksplisit dari pemilik sistem. Dua dokumen ini adalah fondasi yang menjamin bahwa seluruh proyek pengujian penetrasi dilakukan secara legal, etis, dan sesuai dengan harapan semua pihak, menjadikannya sama pentingnya, jika tidak lebih penting, dari keterampilan teknis yang dimiliki ethical hacker.
Engagement Letter adalah dokumen hukum yang secara resmi memberikan izin kepada ethical hacker (atau timnya) untuk melakukan pengujian terhadap target yang ditentukan. Dokumen ini bertindak sebagai kontrak dan perlindungan bagi kedua belah pihak; bagi ethical hacker, ini adalah bukti sah yang membedakan aktivitas mereka dari peretasan kriminal, menyediakan dasar hukum untuk tindakan yang dilakukan. Bagi klien, surat ini menetapkan persyaratan kerahasiaan, batasan tanggung jawab, dan memastikan bahwa pengujian akan dilakukan sesuai dengan kesepakatan profesional. Melengkapi Engagement Letter adalah Scope of Work (atau SOW). Scope ini merinci secara spesifik apa saja yang termasuk dalam pengujian (misalnya, rentang alamat IP, URL aplikasi web, sistem fisik), apa saja yang secara tegas tidak boleh diuji (out of scope), jenis serangan atau tool yang diizinkan atau dilarang, batasan waktu, dan parameter lain yang relevan.
Mengabaikan atau mengabaikan kejelasan Scope dan Engagement Letter adalah kesalahan fatal yang dapat mengubah proyek pengujian penetrasi yang sah menjadi aktivitas ilegal dengan konsekuensi serius. Bekerja di luar batasan Scope, bahkan jika tidak disengaja, dapat dianggap sebagai akses tidak sah. Melakukan pengujian tanpa Engagement Letter yang ditandatangani berarti tidak ada bukti legal bahwa Anda diizinkan berada di sana sama sekali. Kedua dokumen ini bekerja sama untuk menciptakan kerangka kerja yang aman dan profesional: Engagement Letter memberikan "izin masuk" legal, sementara Scope memberikan "denah dan aturan main" di dalam area yang diizinkan. Oleh karena itu, bagi setiap ethical hacker profesional dan setiap organisasi yang menyewa jasa mereka, memastikan Scope jelas, komprehensif, dan Engagement Letter ditandatangani dengan benar adalah langkah pertama dan terpenting yang harus diselesaikan, menjamin proyek berjalan sesuai harapan dan di sisi hukum yang benar.
