Secara umum, sertifikasi hanya merupakan baseline (garis bawah) yang ditetapkan, untuk menunjukan bahwa seseorang memiliki pengetahuan atau kemampuan untuk menjadi profesional disuatu bidang. Apakah orang yang tidak memiliki sertifikasi berarti tidak kompeten? Tidak demikian. Cukup banyak profesional keamanan informasi yang saya kenal tidak memiliki sertifikasi namun memiliki pengetahuan dan kemampuan yang amat baik. Kata kunci supaya tidak kecewa karena memiliki ekspektasi terlalu tinggi terhadap seorang profesional bersertifikasi adalah baseline.
1. CISSP (Certified Information Systems Security Professional)
Merupakan satu-satunya sertifikasi profesional dibidang keamanan sistem informasi yang tidak mengacu kepada produk tertentu (vendor neutral) dan mencakup seluruh aspek keamanan mulai dari manajemen keamanan informasi, keamanan fisik hingga yang sangat teknis seperti cara kerja protokol jaringan dan algoritma enkripsi asynchronous.
Pengetahuan yang luas dan mendalam diberbagai bidang (domain) keamanan informasi amat dibutuhkan karena CISSP diperuntukan berada diposisi middle management yang mengharuskannya bisa bekerjasama dengan Top Managament, Pengguna, hingga IT Engineer yang masing-masing memiliki sudut pandang, pendekatan dan “bahasa” yang berbeda.
Selain itu, keamanan informasi tidak bisa dilihat hanya dari sudut pandang domain tertentu saja.
Syarat-syarat menjadi CISSP:
- Lulus ujian CISSP
- Memiliki pengalaman kerja secara langsung selama 5 tahun di dua CBK domain yang berbeda.
- Setuju untuk mengikuti Kode Etik CISSP
- Mendapat rekomendasi dari seorang CISSP lainnya yang bertujuan untuk memastikan CV dan kelakuan baik calon CISSP.
Saat ini terdapat lebih dari 60.000 CISSP di seluruh dunia. Orang Indonesia yang menjadi CISSP +/- 40 orang yang beberapa diantaranya tinggal diluar negri. Di Singapura terdapat hanya belasan CISSP. Bandingkan dengan pertumbuhan CISSP di Singapura yang saat ini memiliki lebih dari 400 CISSP.
2. CISA (Certified Information Systems Auditor)
Secara singkat saya mencoba memberi gambaran demikian…
- Jika digambar dalam bentuk lingkaran, didalam CISSP terdapat audit, sedangkan didalam CISA terdapat security.
- CISSP yang merancang arsitektur keamanan, mendefinisikan kebijakan dan prosedur, melaksanakan program keamanan. CISA yang memastikan bahwa arsitektur keamanan dibangun dan dijalankan sesuai rencana; kebijakan, prosedur dan program dilaksanakan sesuai dengan rancangan atau peraturan tertentu.
- CISSP memberi alasan logis mengapa sebuah algoritma dipilih, dalam kondisi apa informasi harus dienkripsi, dan lain-lain. CISA melakukan audit dan memberi rekomendasi berdasarkan checklist.
kalo mo bahasa yang lebih gampang lagi, CISSP itu fokus ke teknik, CISA fokus ke auditing & policy nya.
3. CISM (Certified Information Security Manager)
- CISM memiliki pengetahuan mengenai manajemen (keamanan informasi) lebih luas dan dalam.
- CISSP memiliki banyak pengetahuan teknis yang tidak menjadi materi CISM.
kalo mnurut saya, CISM ini khusus kalo posisi kita sudah manager ato minimal pengalaman 10 tahun lah (kurang lebih d security aja).
4. CEH (Certified Ethical Hacking)
Dikeluarkan oleh EC-Council CEH memiliki kemampuan untuk menggunakan hacking tools. “CEH is about hacking tools”, demikian kata pendiri EC-Council dalam sebuah wawancara.
mnurut saya, kalo mo kerja d sini (indonesia) jgn ambil ini, knp? konotasi hacker, hacking sudah negatif duluan orang2 mnilai nya. Kcuali kalo kerja nya di luar negri, baru sedikit dperhitungkan.
======================================================
dari semua sertifikat diatas, kalo dari segi harga kalo ga salah (smoga belum berubah):
- CISSP = $559, ($545 kalo bayar nya 2 minggu sebelum hari H)
- CISA = $400 an (kalo ga salah, karena harga CISA lebih murah dibanding CISSP)
- CISM = belum pernah ngecek berapa, tapi yang jelas harga nya diatas CISSP
- CEH = $900 an (hampir 10 jeti ;prustasi )
======================================================
Khusus untuk IT Security, CISM dikeluarkan oleh ISACA (yang mengeluarkan CISA), sedang CISSP dikeluarkan oleh ISC2, yang memang dari awal berkecimpung dibidang IT Security (seperti ISACA yang dari awal berkecimpung dibidang IT Audit & Governance). Sehingga menurut saya, untuk IT Security, CISSP lebih diakui oleh para professional IT Security (seperti CISA yg memang lebih diakui oleh para professional IT Audit).
Ada juga sertifikasi lain yang terkait dengan IT Security yang dapat juga diambil di Indo saat ini, seperti CompTIA Security+. Tapi saya pribadi (jujur) masi jarang lihat req dgn sertifikasi ini disini.
semua sertifikat di atas cuma secara teori nya seperti itu, kenyataan nya dilapangan lain lagi kalo di sini. karena kita sering lihat iklan lowongan kalo ada perusahaan yg buka lowongan IT Security, dgn req harus bisa network, segala os, pentest, per virusan, dll, TAPI.... dia cantumin butuh org yg punya CISSP, CISA ato CCNA dll. klo CCNA & CISSP masi mending aga nyambung. Kalo CISA itu lebih banyak ke arah policy nya (weird huh..)
yah, itu smua tergantung mana yg mau kita ambil bro, tapi ingat..
tidak sedikit juga teman2 saya yg bekerja di bidang tsb (yg masi aktif di IT Security / pindah bagian) ga punya sertifikat apapun di bidang IT.
No comments:
Post a Comment