Opini: CISSP – Apa, Mengapa, Bagaimana dan Kapan

Di Sharingkan dari Blognya Think Secure,sebagai pelajaran buat saya;

Kebutuhan akan profesional dibidang keamanan informasi terus meningkat. Apalagi sejak Bank Indonesia, melalui PBI no.19, mewajibkan setiap bank untuk memiliki orang atau tim yang bertanggung-jawab langsung terhadap Keamanan Sistem Informasi. Disisi lain, banyak organisasi yang kesulitan mendapatkan tenaga profesional keamanan informasi yang kompeten. Salah satu ukuran yang paling mudah untuk melihat kompetensi seseorang adalah melalui sertifikasi apa yang dimiliki.

Rekan-rekan profesional yang ingin mendapatkan sertifikasi dibidang keamanan informasi kerap kali bingung memilih berbagai jenis sertifikasi yang berhubungan dengan keamanan informasi, seperti CISSP, CISA, CISM, dan CEH. Lalu, apa bedanya CISSP dengan berbagai sertifikasi-sertifikasi profesional lainnya?

Walaupun sempat memiliki berbagai jenis sertifikasi teknis, karena saat ini saya hanya memiliki CISSP, maka saya hanya menulis berbagai hal mengenai CISSP. Pembahasan berbagai sertifikasi lainnya hanya sebatas “kulit” luar, karena rekan-rekan yang memiliki sertifikasi-sertifikasi tersebut jauh lebih kredibel menulis mengenai hal tersebut.

Secara umum, sertifikasi hanya merupakan baseline (garis bawah) yang ditetapkan, untuk menunjukan bahwa seseorang memiliki pengetahuan atau kemampuan untuk menjadi profesional disuatu bidang. Apakah orang yang tidak memiliki sertifikasi berarti tidak kompeten? Tidak demikian. Cukup banyak profesional keamanan informasi yang saya kenal tidak memiliki sertifikasi namun memiliki pengetahuan dan kemampuan yang amat baik. Kata kunci supaya tidak kecewa karena memiliki ekspektasi terlalu tinggi terhadap seorang profesional bersertifikasi adalah baseline.

Jika dikritisi lebih jauh lagi… apakah benar seorang profesional keamanan informasi bersertifikasi pasti kompeten? Belum tentu. Benar bahwa saat diuji dia memiliki kompetensi minimum yang dibutuhkan. Tetapi seiring berjalannya waktu, bisa saja seseorang menjadi kehilangan kompetensinya karena tidak digunakan, lupa atau pengetahuannya menjadi “basi”. Memang ada mekanisme pengumpulan point CPE (Continuing Professional Education), namun hal tersebut jauh tidak mencukupi sebagai akibat dari revolusi dibidang TI. Sisi lainnya, sertifikasi hanya berbicara mengenai hard-skill, sedangkan soft-skill juga menjadi faktor kunci bagi keberhasilan seseorang dibidang keamanan informasi.

CISSP (Certified Information Systems Security Professional)
Merupakan satu-satunya sertifikasi profesional dibidang keamanan sistem informasi yang tidak mengacu kepada produk tertentui (vendor neutral) dan mencakup seluruh aspek keamanan mulai dari manajemen keamanan informasi, keamanan fisik hingga yang sangat teknis seperti cara kerja protokol jaringan dan algoritma enkripsi asynchronous.

Pengetahuan yang luas dan mendalam diberbagai bidang (domain) keamanan informasi amat dibutuhkan karena CISSP diperuntukan berada diposisi middle management yang mengharuskannya bisa bekerjasama dengan Top Managament, Pengguna, hingga IT Engineer yang masing-masing memiliki sudut pandang, pendekatan dan “bahasa” yang berbeda. Selain itu, keamanan informasi tidak bisa dilihat hanya dari sudut pandang domain tertentu saja.

CISSP harus menguasai 10 domain keamanan yang dikenal dengan Common Body of Knowledge (CBK) , yang terdiri dari:
* Access Control
* Application Security
* Business Continuity and Disaster Recovery Planning
* Cryptography
* Information Security and Risk Management
* Legal, Regulations, Compliance and Investigations
* Operations Security
* Physical (Environmental) Security
* Security Architecture and Design
* Telecommunications and Network Security

Syarat-syarat menjadi CISSP:
– Lulus ujian CISSP
– Memiliki pengalaman kerja secara langsung selama 5 tahun di dua CBK domain yang berbeda.
– Setuju untuk mengikuti Kode Etik CISSP
Mendapat rekomendasi dari seorang CISSP lainnya yang bertujuan untuk memastikan CV dan kelakuan baik calon CISSP.

CISSP dikeluarkan oleh International Information System Security Certification Consortium, (ISC)2 yang dibaca ai es si square. Saat ini terdapat lebih dari 60.000 CISSP di seluruh dunia. Orang Indonesia yang menjadi CISSP +/- 40 orang yang beberapa diantaranya tinggal diluar negri. Tahun 2001, saat saya menjadi CISSP yang ke 4 atau ke 5 di Indonesia, di Singapura terdapat hanya belasan CISSP. Bandingkan dengan pertumbuhan CISSP di Singapura yang saat ini memiliki lebih dari 400 CISSP.

Biaya training dan ujian seharga +/- USD 3,000 menjadi kendala utama perkembangan CISSP di Indonesia. security-1st.net dan ITpro berusaha memecahkan kendala tersebut dengan mengadakan kelas CISSP training dan memfasilitasi (ISC)2 untuk mengadakan ujian di Indonesia secara teratur.

CISSP vs CISA (Certified Information Systems Auditor)
Secara singkat saya mencoba memberi gambaran demikian…
– Jika digambar dalam bentuk lingkaran, didalam CISSP terdapat audit, sedangkan didalam CISA terdapat security.
– CISSP yang merancang arsitektur keamanan, mendefinisikan kebijakan dan prosedur, melaksanakan program keamanan. CISA yang memastikan bahwa arsitektur keamanan dibangun dan dijalankan sesuai rencana; kebijakan, prosedur dan program dilaksanakan sesuai dengan rancangan atau peraturan tertentu.
– CISSP memberi alasan logis mengapa sebuah algoritma dipilih, dalam kondisi apa informasi harus dienkripsi, dan lain-lain. CISA melakukan audit dan memberi rekomendasi berdasarkan checklist.

CISSP vs CISM (Certified Information Security Manager)
– CISM memiliki pengetahuan mengenai manajemen (keamanan informasi) lebih luas dan dalam.
– CISSP memiliki banyak pengetahuan teknis yang tidak menjadi materi CISM.

CISSP vs CEH (Certified Ethical Hacking)
– CISSP berbicara mengenai tahapan hacking, bukan hacking tools.
– CEH memiliki kemampuan untuk menggunakan hacking tools. “CEH is about hacking tools”, demikian kata pendiri EC-Council dalam sebuah wawancara.

Mengapa CISSP?
Masing-masing CISSP pasti mempunyai pendapat berbeda. Awal 2001, saya melakukan benchmarking berbagai sertifikasi yang berhubungan dengan keamanan informasi. Pilihan jatuh pada CISSP karena mencakup berbagai bidang dengan cukup dalam, teknis dan non-teknis.

Dalam karir sebagai programmer, system analyst, kepala user support, senior network security engineer, hingga manajer TI, saya kemudian menemukan bahwa berbagai teori, teknologi dan praktik yang terangkai dalam CISSP CBK. Banyak sekali pertanyaan yang berhubungan dengan keamanan informasi terjawab dengan jelas dan gamblang.

Kesulitan-kesulitan menjadi penanggung-jawab keamanan informasi disebuah perusahaan minyak multinasional berubah menjadi tantangan menyenangkan setelah mempelajari dan memahami CISSP CBK. Auditor dari kantor pusat bukan lagi sebuah momok. Rekan-rekan TI lebih mudah mendukung program-program keamanan karena bisa diberi penjelasan dengan lebih masuk akal. Eksekutif perusahaan tidak lagi menjadi saudagar kikir dibidang keamanan informasi.

Pernah mendengar pembicara dalam seminar yang mengatakan bahwa aman 100% yaitu komputer dimatikan, dicabut dari jaringan, dimasukan kedalam brankas dan kemudian dibeton dibawah tanah sedalam 5 meter? Paradigma yang menyesatkan. Pertama: tidak ada yang aman 100%. Kedua: Solusi tersebut hanya mempertimbangkan faktor kerahasiaan dan integritas. Seorang CISSP selalu melihat keamanan informasi dalam tiga faktor: integritas, ketersediaan dan kerahasiaan; dengan pendekatan manajemen risiko yang beralasan; serta memadukan kebijakan, prosedur, teknologi dan manusia.

Bagaimana menjadi CISSP?

Menjadi CISSP tidak harus mengikuti CISSP CBK Training. Dengan Pengalaman dan memiliki waktu luang untuk belajar sendiri memungkinkan seseorang lulus ujian. Dari sisi materi belajar, saat saya mengambil CISSP tahun 2001, yahooing bell la padula hasilnya beberapa link yang saat dibaca malah membuat bingung, saat ini googling menghasilkan 12.200 materi untuk dipelajari.

CISSP Training

Mengikuti kelas CISSP CBK Training, selain itu juga memberi sudut pandang baru walau tidak / belum ingin mengikuti ujian, juga sangat membantu dalam persiapan menghadapi ujian. Terutama untuk memahami berbagai terminologi dan konsep keamanan yang dirasa cukup kompleks. Setelah mengikuti kelas training, calon CISSP juga masih harus membaca cukup banyak materi CBK.

Dari pengalaman menjadi instruktur, tidak mungkin membahas satu per satu secara detil materi CISSP CBK dalam waktu selama 5 hari training, 09.00 – 17.00. Bahkan CISSP CBK Training dalam format Bootcamp-pun (08.00-21.00) tidak memungkinkan membahas A-Z mengenai keamanan informasi yang amat luas dan dalam. Dalam kelas normal, peserta harus “berlari” tanpa sempat “bernafas”. Di kelas Bootcamp, peserta diajak untuk “jalan cepat”, kadang-kadang “berlari”, dan memiliki kesempatan untuk beristirahat “mengambil nafas” sejenak. Waktu lebih pada Bootcamp memungkinkan instruktur menjelaskan lebih mendalam dan memberi contoh-contoh kasus lebih banyak sehingga peserta lebih mudah mencerna materi yang cukup banyak, +/- 1000 slides.

CISSP Study Group

Rekan-rekan di Komunitas Keamanan Informasi (KKI) membuat Study Group untuk mempersiapkan diri menghadapi ujian bersama-sama.

CISSP Exam Exercise

security-1st.net bersama dengan ITpro juga melakukan simulasi 1 atau 2 minggu minggu sebelum ujian. Pada simulasi tersebut akan dibahas contoh-contoh soal, tips and trik memahami soal dan memilih jawaban yang paling benar. Untuk persiapan ujian 18 Oktober 2008, CISSP Exam Exercise diadakan tanggal 11 Oktober 2008.

Kapan bisa menjadi CISSP?

Jawabnya adalah hanya setelah seseorang memenuhi beberapa persyaratan diatas. Namun saya sarankan untuk sesegera mungkin mengikuti ujian. Mengapa? Karena syarat pengalaman dibidang keamanan informasi mempunyai kecenderungan untuk terus meningkat. Tahun 2001 dibutuhkan minimum 2 tahun pengalaman, akhir 2005 menjadi minimum 4 tahun, saat ini sudah minimum 5 tahun.

Jika seseorang lulus ujian namun syarat pengalaman belum terpenuhi, ia berhak menggunakan gelar CISSP Associate dan secara otomatis menjadi CISSP setelah syarat pengalaman terpenuhi.

Ujian CISSP diadakan setiap bulan diberbagai tempat didunia dengan biaya USD 549 USD 599 dan USD 499 USD 549 untuk early bird. Untuk Indonesia, tanggal 18 Oktober 2008 akan diadakan ujian di Jakarta.

 

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s