Sertifikasi di bidang IT sekuriti belum tentu menjamin di terimanya anda dalam suatu pekerjaan tapi yang pasti akan membantu anda meningkatkan posisi dan reputasi anda.
Dalam dunia IT, sertifikasi merupakan hal yang bisa penting tapi juga bisa dibilang tidak.Apalah artinya, jika seseorang dapat lulus ujian MCSE tapi tidak dapat tahu bedanya antara Internet Domain dan Windows Domain? Jika mau membuat diri kita berbeda, membutuhkan respek dalam pekerjaan, dan (terus terang) jika mau mendapatkan pendapatan lebih, kita harus berbuat lebih dari pada sekedar mengejar sertifikasi saja. Kita perlu meningkat pengalaman, dedikasi dan kerja keras serta mengikuti perkembangan. Seperti umumnya dimana pun, yang lebih penting dari sertifikasi itu sendiri adalah kemampuan yang sebenarnya dan pengetahuan yang mendasar diberbagai informasi mengenai bidang tersebut. Di bidang IT sekuriti, ada beberapa sertifikasi yang tersedia dan memang bertujuan mendalami hal penting yang disebutkan sebelumnya.

Berbasiskan Produk VS Berbasiskan Industri
Di bidang IT security, sertifikasi terbagi menjadi 2 (dua) tipe umum: berbasiskan produk dan berbasiskan industri. Sertifikasi yang berbasiskan produk membuktikan bahwa anda telah mempelajari (sampai tingkat tertentu) dan cukup memahami suatu produk sehingga berhasil melalui ujian yang dikeluarkan oleh pembuat produk. Sertifikasi jenis ini umumnya tidak menunjukan apakah anda tepat di suatu jabatan tertentu dalam perusahaan atau tidak. Juga belum tentu menjamin bahwa anda dapat menjalankan produk tersebut tanpa hambatan. Kenyataannya, beberapa sertifikasi jenis ini lebih mengarah kepada keuntungan perusahaan produk tertentu karena: dengan makin banyaknya minat terhadap sertifikasi berbasiskan produknya, berarti posisi produknya semakin kuat dan semakin menjadi standar. Tentunya tidak ada salahnya kalau anda mengambil sertifikasi ini, apalagi jika kebetulan anda bekerja pada suatu perusahaan produk tersebut atau perusahaan yang membuat produk tersebut sebagai standar dalam perusahaannya. Hal ini juga belum tentu membuat anda akan mendapatkan pekerjaan lain yang lebih baik, tapi paling tidak anda dapat meningkatkan pengetahuan dan reputasi.

Sertifikasi berbasiskan industri arahnya lebih luas. Sertifikasi jenis ini biasanya lebih di dorong oleh adanya kebutuhan mendalam terhadap suatu standar yang digunakan secara umum di suatu bidang tertentu. Sertifikasi di bidang networking contohnya, tidak menekan pada suatu produk tertentu tetapi lebih kepada kelas dan fungsi dari produk serta konsepnya. Sertifikasi dibidang industri biasanya di perkenalkan oleh organisasi-organisasi yang independent yang berdedikasi dalam menetapkan suatu standar pengetahuan atau dikenal dengan istilah Common Body of Knowledge. Terkadang suatu asosiasi khusus dibentuk untuk mem-fasilitasi ujiannya yang meliputi, pertanyaan-pertanyaan, jangka waktu, format, dan lain-lain. Di samping adanyaa dukungan dari industrinya, organisasi ini pun didukung juga oleh perusahaan yang mempekerjakan orang-orang certified tersebut serta orang-orang itu sendiri. Ambil contoh, sertifikasi ‘dokter’ dan ‘SH’, banyak persyaratan untuk mendapat sertifikasi tersebut, maupun dalam menyandang sertifikasi tersebut di pekerjaan, seperti adanya kode etik, ikatan dokter/ikatan pengacara dan lain-lain.

Sertifikasi berbasiskan industri menekankan perlunya pengalaman sebelum dapat mengikuti ujian, serta diharuskan untuk terus mengikuti perkembangan di dunia industri tersebut. Sedangkan sertifikasi berbasiskan produk memerlukan pengetahuan tentang suatu produk yang kuat, tanpa mempersoalkan dasar atau sudah diterimanya oleh suatu standar atau belum tentang pengetahuan tersebut. Setiap ujian dari versi baru produk tersebut umumnya memberikan sertifikasi baru.

Beberapa sertifikasi terkenal di bidang IT Sekuriti berbasiskan produk

Checkpoint Certified Security Administrator/Engineer
Anda dapat menjadi seorang Checkpoint Certified Security Administrator
(CCSA). CCSA mengerti produk firewall dari Checkpoint yaitu FireWall-1 dan dapat melakukan instalasi serta men-set-up konfigurasi sederhana. Untuk menjadi certified, tinggal mengikuti pelatihan dari Checkpoint yaitu “Introduction to FireWall-1 Management” serta ujiannya. Anda juga harus mempunyai pengetahuan dibidang Unix atau Windows, teknologi jaringan, komunikasi internet, dan TCP/IP. Sertifikasi ini disertai dengan akses gratis ke Checkpoint technical support staff untuk 3 kali insiden, plus sebuah CD referensi teknis SecureNet. Setelah itu, anda dapat meneruskan ke tingkat lebih lanjut yaitu CheckPoint Certified Security Engineer (CCSE), yang ditujukan pada engineer yang mengatur beberapa sistem FireWall-1 sekaligus, dengan cara mengikuti pelatihan dari Checkpoint yaitu “Advanced FireWall-1 Management.”. Disini anda akan belajar cara meng-implementasi kebutuhan firewall secara maksimal untuk kelas perusahaan menengah dan besar. Kelulusan disertai dengan tambahan support sebanyak 5 kali insiden dari Checkpoint plus 1 (satu) tahun subscription dari SecureNet. Sertifikasi untuk produk CheckPoint lainnya juga ada, yaitu FloodGate dan Meta IP. Certified professionals diharuskan untuk mengikuti terus ujian-ujian tentang produk baru untuk menghindari disebut sebagai pensiunan karena sudah ketinggalan pengetahuan baru tentang produk tersebut. Lebih lanjut dapat di lihat di http//www.checkpoint.com/services/education/certification.html.

Network Associates Certifications
Network Associates (www.nai.com/var/cert.asp) menawarkan NetworkAssociates Certified Professional (NCP) terhadap produk-produk dari NAI untuk partner. Persyaratan sertifikasinya membutuhkan dipenuhinya kelas Partner Services dan testing melalui Sylvan Prometrics. Produk lingkup meliputi PGP, Gauntlet NT, dan CyberCop.

Axent Certifications
Pada bulan Januari 1999, AXENT (www.axent.com/training) mengumumkan program sertifikasi AXENT Enterprise Security Professional (AESP). Sertifikasi ini meliputi semua produknya yang akan di fasilitasi oleh SecureNetwork Consulting (http://www.snc-inc.com/), subsidiari AXENT. Program ini menggunakan scenario keamanan dalam real-world serta solusi hands-on yang meliputi 2 (dua) level:

o Level 1, Enterprise Security Practitioner—4 (empat) kelas AXENT dan ujian praktek dan tertulis (1-2 hari).
o Level 2, Enterprise Security Architect—Lulus level 1 (satu), 4 (empat) kelas AXENT, 2 (dua) courses dari vendor sekuriti lain, dan ujian praktek dan tertulis (1-2 hari).

Sayangnya, pada waktu saya mencoba melihat dan mencari di website mereka baru-baru ini; sepertinya belum terdapat perkembangan baru mengenai hal ini (apa masih diteruskan?).

Cisco Certifications
Cisco (www.cisco.com) juga memiliki beberapa sertifikasi untuk produk sekuritinya - yang sayangnya, karena keterbatasan waktu saya belum dapat menuliskan hal tersebut disini.

Beberapa sertifikasi terkenal di bidang IT Sekuriti berbasiskan industri

Certified Information Systems Security Professional (CISSP)
Common Body of Knowledge atau CBK dari keamanan sistem informasi menjadi basis dari International Information Systems Security Certification Consortium, atau ISC2 (http://www.isc2.org/). Standar seperti BS17779 dan ISO7799 menjadi dasar dari CBK. Ujiannya dibuat oleh badan testing professional dan selalu di revisi/diperbaharui sesuai perkembangan di industri IT sekuriti. Untuk menjadi seorang Certified Information Systems Security Professional (CISSP), anda harus lulus ujian yang terdiri dari 250 pertanyaan multiple-choice yang harus diselesaikan dalam waktu 6 (enam) jam! Ujiannya meliputi 10 (sepuluh) dasar dari CBK yaitu:

o Access Control Systems & Methodology
o Computer Operations Security
o Cryptography
o Application & Systems Development
o Business Continuity & Disaster Recovery Planning
o Telecommunications & Network Security
o Security Architecture & Models
o Physical Security
o Security Management Practices
o Law, Investigations & Ethics

Anda juga harus memiliki pengalaman minimal 3 (tiga) tahun dalam salah satu dasar CBK diatas, belum pernah melakukan tindakan kriminal dan menjunjung tinggi apa yang disebut Code of Ethics. Umumnya yang mengejar sertifikasi ini antara lain adalah auditor IS, konsultan, vendor, penyelidik, dan instruktur yang memerlukan pengetahuan keamanan IS secara lengkap dan menyeluruh serta mengaplikasikan pengetahuan tersebut. Biaya ujiannya US$395 dan dilakukan di seluruh dunia di tempat-tempat asosiasi dan universitas yang bekerja sama dengan ISC2 secara periodic dalam setahun. Re-sertifikasi di haruskan setiap 3 (tiga) tahun yang didapat dengan cara mengikuti kelas-kelas pelatihan secara terus-menerus (continuing) tentang keamanan IS yang total lamanya minimal 120 jam.

Saat ini, baru 1 (satu) orang Indonesia yang mempunyai sertifikasi ini, dan mudah-mudahan akan bertambah menjadi 2 (dua) orang setelah saya ikut ujian di bulan Oktober nanti ;-)

Certified Information Systems Auditor
Information Systems Audit and Control Association ISACA (www.isaca.org/cert1.htm) mensponsori Certified Information SystemsAuditor (CISA) yang telah ada sejak tahun 1978. Umumnya sertifikasi ini juga di kejar oleh IS auditor, control, dan juga para professional di bidang IT sekuriti. Persyaratannya adalah lulus ujian, mengikuti Code of Professional Ethics dari ISACA dan membuktikan bahwa telah berpengalaman minimal 5 (lima) tahun di bidang IS audit, kontrol atau yang berhubungan dengan IT sekuriti.

Ujian selama 4 (empat) jam yang terdiri dari 200 pertanyaan multiple-choice, dan hanya dilakukan di bulan Juni setiap tahunnya. Ujiannya meliputi: standar-standar dan praktisi dari IT audit; sekuriti dan kontrol; strategi IS, policy, prosedur, dan praktisi manajemen; platform hardware dan software untuk IS; jaringan dan telekomunikasi; data validasi, development, akuisisi, dan maintenance. 25 contoh pertanyaan dapat dicoba di www.isaca.org/examsamp.htm. Juga di butuhkan persyaratan yang mirip CISSP dalam re-sertifikasi dan ditambah iuran tahunan untuk asosiasi.

Certified Internet Webmaster
Tipe ketiga dari sertifikasi ini umumnya sertifikasi yang ditawarkan oleh badan pelatihan. Sebagai contoh adalah Certified Internet Webmaster. Tidak berbasiskan pada produk tertentu dan tidak juga berbasis pada suatu bidang industri tertentu, program Certified Internet Webmaster yang difasilitasi oleh Prosoft Training (www.prosofttraining.com/certification/ciwcertification.htm) ini menawarkan suatu track untuk professional di bidang sekuriti. Sertifikasi ini memerlukan keharusan untuk mengikuti beberapa kelas dan ujian yang dilakukan oleh Sylvan Prometric. Track tersebut tadi menempatkan seorang professional dibidang sekuriti sebagai seorang yang mampu mengimplementasikan security policy, mengidentifikasikan ancaman keamanan, men-develop countermeasures menggunakan sistem firewall dan teknologi attack-recognition, serta bertanggung jawab dalam men-deploy solusi-solusi transaksi e-business dan keamanan pembayaran. Persyaratan sertifikasi yaitu, lulus suatu ujian dasar, lulus ujian internetworking professional, and lulus ujian security professional yang kesemuanya ditentukan oleh badan training tersebut. Sangat disarankan untuk mengikuti kelas dari Prosoft yaitu ‘Eight days of security-related program’ sebelum mengikuti ujian.

Makin luas makin bagus
Pada kenyataannya, pengetahuan dan kemampuan haruslah lebih diperhitungkan dari pada titel diatas kertas, tapi terkadang anda harus memiliki keduanya. Apalagi jika anda adalah seorang auditor atau konsultan. Sebagai seorang professional, sertifikasi yang kita miliki haruslah merefleksikan kemampuan kita yang sebenarnya. Salah satu cara adalah memilih sertifikasi yang menekankan pada pengetahuan suatu industri yang luas dan memerlukan pengalaman dalam jangka tertentu sebagai persyaratan. Dengan demikian, dengan disandangnya sertifikasi tersebut, membuktikan bahwa anda telah memenuhi persyaratan untuk mendapatkan sertifikasi tersebut. 

Tetapi, kembali lagi semuanya tergantung anda, tulisan ini hanyalah sebagian dari hasil pengalaman dan pencarian saya untuk membantu rekan-rekan di bidang IT sekuriti dalam memutuskan apakah anda memang memerlukan suatu sertifikasi? dan jika ya, sertifikasi apakah yang dapat menunjang pekerjaan dan karir anda?

v1rtu3