Saat ini, semakin banyak manajemen puncak yang menyadari bahwa memiliki seseorang atau bahkan sebuah tim yang kompeten dibidang keamanan informasi merupakan suatu keharusan. Namun, para manajer TI maupun bagian Sumber Daya Manusia menghadapi kesulitan merekrut karyawan baru untuk memenuhi tuntutan tersebut.

Disisi lain, “Bagaimana berkarir menjadi seorang profesional keamanan informasi dan sertifikasi apa yang harus dimiliki?” merupakan pertanyaan yang kerap diutarakan oleh para profesional TI.

Integritas

Tanggung-jawab mengamankan sistem dan informasi memiliki tantangan tersendiri. Dalam security assessment, seorang profesional terkadang berhasil membongkar lebih dari 70% password users yang ada dalam sistem. Dengan informasi yang dimiliki, bisa dikatakan dia bisa melakukan apa saja tanpa batas, dan menjadi amat sulit dicegah atau diketahui. Diluar kompentensi, integritas seorang professional keamanan TI menjadi hal yang tidak bisa dikompromikan.

Dalam struktur organisasi perusahaan modern yang paham pentingnya keamanan informasi, posisi Tim Keamanan TI menjadi amat strategis. Pada beberapa perusahaan, walau secara struktur pengawasan dan pembinaan karyawan berada didalam tim TI, namun tim ini memiliki hubungan langsung dengan manajemen puncak perusahaan.

Sertifikasi Profesional Keamanan Informasi

Sertifikasi profesional merupakan salah satu ukuran bahwa pada saat diuji seseorang terbukti memiliki kompetensi minimum dibidangnya. Saat ini, terdapat puluhan sertifikasi yang berhubungan langsung dengan keamanan informasi. Ada sertifikasi khusus untuk produk keamanan tertentu, ataupun yang vendor neutral. Ada yang teknis, non-teknis atau campuran kedua-duanya. Ujian sertifikasi sendiri ada yang membutuhkan technical hands-on, ada yang hanya paper based atau web based exam.

Kwalitas dari beberapa sertifikasi profesional sering dipertanyakan. Bagaimana bisa menjamin profesional berkwalitas jika ujian sertifikasi online dilakukan dengan pengawasan ala kadarnya? Ada juga sertifikasi yang ujiannya hanya dapat diikuti setelah mengikuti pelatihan resmi yang disediakan dengan harga relatif tinggi untuk ukuran penghasilan profesional TI Indonesia, walaupun sebenarnya cukup banyak orang yang mampu belajar secara otodidak dan bisa lulus sertifikasi tanpa harus mengikuti pelatihan tersebut.

Dibawah ini beberapa sertifikasi profesional yang menurut saya paling layak untuk dimiliki, dengan ukutan kwalitas, kredibilitas, biaya, dan market awareness.

1. Certified Information Systems Security Professional (CISSP)
CISSP dikeluarkan oleh International Information Systems Security Certification Consortium (ISC)2 . Terdapat 10 domain keamanan informasi yang harus dikuasai secara mendalam yang disebut Common Body of Knowledge (CBK). Mulai dari masalah hukum, manajemen keamanan, aplikasi dan database, hingga kriptografi dan keamanan jaringan yang amat teknis. CISSP merupakan vendor neutral certification yang diakui secara global dan secara de facto menjadi “syarat” bagi konsultan, pengambil keputusan atau penanggung jawab keamanan informasi.

Seseorang dapat mengikuti ujian CISSP dengan membayar USD 550. Jika lulus ujian dan belum memiliki pengalaman selama 5 tahun di 2 CBK domain yang berbeda, orang tersebut masih berstatus CISSP Associate. Sejak tahun 2007, ujian CISSP diadakan rutin setiap tahun. Untuk mempersiapkan seseorang mengikuti ujian dan menambah pengetahuan yang mendalam dibidang keamanan informasi, beberapa perusahaan di Indonesia, termasuk SecurityFirst, mengadakan pelatihan CISSP CBK. Informasi lengkap mengenai CISSP bisa diakses di http://www.isc2.org

2. Certified Information Systems Auditor (CISA)
CISA tidak mengkhususkan bidang keamanan informasi. Information Systems Audit and Control Association (ISACA) mengusung Good IT Governance yang juga memasukan aspek keamanan informasi. ISACA juga mengeluarkan sertifikasi Certified Information Security Manager (CISM).

Biaya ujian CISA sebesar USD 475. ISACA juga mengatur persyaratan minimum 5 tahun dibidang audit sistem informasi atau keamanan informasi bagi seseorang untuk menjadi CISA. Secara teratur, ISACA mengadakan ujian CISA di Jakarta setiap 6 bulan. Informasi lengkap mengenai CISA bisa diakses di http://www.isaca.org

3. Global Information Assurance Certification (GIAC)
Sertifikasi GIAC yang dikeluarkan oleh SANS Institute memiliki belasan jenis sertifikasi. GCFW (Firewall Administrator) dan GCIA (Intrusion Analyst) merupakan 2 jenis sertifikasi GIAC yang sudah cukup dikenal dan sebaiknya dimiliki oleh security engineer atau security administrator.

Biaya ujian sertifikasi GIAC sebesar USD 899. Dibagi menjadi 2 tahap, ujian online (web based) dan membuat karya tulis yang akan dinilai oleh tim penilai. SANS Institute tidak mensyaratkan minimum pengalaman untuk menjadi GCIA atau GCFW. Informasi lengkap mengenai GIAC bisa diakses di http://www.giac.org

Gildas Deograt
Dimuat di Majalah CHIP, Edisi Maret 2009