Menyoal Standardisasi Kompetensi SDM Keamanan Siber

Jakarta - Apabila di artikel sebelumnya lebih banyak membahas SKKNI sebagai standar kompetensi nasional, artikel kedua ini akan membahas lebih dalam mengenai kolom 10 IT Security and Compliance yang merupakan fungsi yang berkaitan dengan keamanan siber dalam Peta Okupasi TIK Nasional.

Selain SKKNI sebagai standar kompetensi kerja nasional, diakui juga adanya standar kompetensi internasional (SKI) dan standar kompetensi khusus (SKK) yang dikeluarkan organisasi untuk keperluan khusus dan terbatas. SKI dan SKK ini menjadi bagian menyeluruh dari standar kompetensi SDM yang diterima oleh industri.

SKI dan SKK Keamanan Siber

Standar Kompetensi Internasional (SKI) di bidang keamanan siber sudah terlebih dahulu dikenal daripada SKKNI. EC-Counsil dan ISACA merupakan contoh vendor-agnostic yang sangat dikenal profesional keamanan siber terkait sertifikasinya. Selain itu ada pula ISC2 dan SANS sebagai lembaga training keamanan informasi dan GIAC sebagai lembaga sertifikasinya.

EC-Council mempunyai 5 level tingkat pemula, teknis, hingga tingkat manajerial (misal C|CISO) dan dipetakan ke lima bidang: akademis, fintech, manajemen & marketing, keamanan informasi, keamanan aplikasi hingga strategi keamanan informasi.

Di sisi keamanan informasi, terbagi lagi menjadi beberapa keahlian khusus seperti: VoIP, penanganan insiden, persandian, analis keamanan, hacking dan forensik, pengamanan jaringan-cloud- IoT, analisa malware dan tindakan balasan, pentest dari tingkat parameter hingga ke aplikasi dan cloud, serta Open Source Intelligence (OSINT).

ISACA lebih dikenal di bidang audit sistem informasi walaupun sekarang memiliki Nexus sebagai program sertifikasi keamanan siber. CISA, CISM, CRISC, CSX, dan CGEIT, merupakan sertifikasi keamanan informasi untuk auditor, manajer IT, manajer risiko, profesional keamanan siber, direksi dan pembuat kebijakan yang detailnya dapat di akses di sini.

Organisasi ISACA sangat ketat menjaga kualitas anggota2nya dengan kebijakan CPE. Sementara untuk vendor-based, cukup banyak pemain dalam industri keamanan yang memberikan sertifikasi SDM terkait teknologi dari produk mereka. Salah satunya adalah Cisco Systems sebagai vendor penyedia jaringan yang masuk ke dalam industri keamanan siber dan menawarkan sertifikasi SDM yang merupakan gabungan antara vendor-based dan vendor-agnostic.

Jalur sertifikasi seperti CCNA-Security merupakan jalur yang terkait vendor-based, sedangkan sertifikasi CCNA-CyberOps merupakan jalur yang sebagian besar berisi materi vendor-agnostic. Sertifikasinya meliputi materi keamanan jaringan, penyandian, analisa keamanan, pengawasan, forensik, metode serangan, dan penanganan insiden.

Cisco dapat pula menjadi contoh Standar Kompetensi Khusus (SKK) yang lebih efektif untuk organisasi yang mayoritas jaringannya telah menggunakan produk Cisco. Contoh SKK lainnya adalah standarisasi kompetensi Sandiman yang telah dimiliki Lembaga Sandi Negara (sekarang Badan Siber dan Sandi Negara) untuk kebutuhan penyandian komunikasi pemerintah dan juga standarisasi kompetensi di lingkungan militer.

SKKNI Keamanan Siber

Dalam Peta Okupasi TIK fungsi ke-10, telah didefiniskan 39 jenis okupasi dari level paling rendah sampai paling tinggi. Namun apabila didetailkan kembali, didapatkan 4 sub bidang yang berbeda: keamanan siber yang berkaitan dengan infrastruktur, pengamanan data dan informasi, jaminan mutu dan keandalan sistem, serta kepatuhan. Audit keamanan sistem informasi dan forensik masuk ke dalam kepatuhan.

Standarisasi Kompetensi SDM Keamanan SiberFoto: Kominfo

SKKNI Keamanan Siber ini belum semua siap digunakan. Bahkan pengkajian ulang kesesuaiannya juga sudah mulai dilakukan karena basis framework yang biasa dipakai di keamanan siber adalah NIST bukan ICA11/ICT2016. Negosiasi sedang disiapkan untuk meminta hak cipta NICE-NIST agar dapat dipakai sebagai standar kompetensi SDM keamanan siber versi berikutnya.

Namun demikian, secara terbatas kita sudah bisa mengintip prosesnya dan memanfaatkannya untuk perencanaan SDM sesuai kepentingan organisasi. Misal Anda manajer HRD dan mempunyai kebutuhan SDM Manajer Keamanan Siber, berikut langkah-langkahnya:

1. Download peta okupasi TIK di link ini

2. Tentukan kebutuhan level manajer keamanan siber apakah di level 4, 5, atau 6

3. Cek di kolom 10 bagian IT Security and Compliance

4. Tentukan tipe manajernya sesuai kebutuhan organisasi, apakah lebih ke infrastruktur pengamanan, data dan informasi, pengembangan produk, audit sistem informasi, atau penanganan insiden serangan

5. Misal organisasi membutuhkan fungsi pengamanan informasi, maka okupasi Information Security Manager dengan kode 100716 mungkin cocok

6. Cek di bundel buku okupasi TIK mengenai standar kompetensi dengan kode 100716

7. Kebetulan kode 100716 tersebut masih belum ada SKKNI-nya namun sudah terisi kode unit dari ICA11/ICT2016 yang antara lain berisi kompetensi: Develop IT strategic and action plans, Implement a knowledge management strategy, Manage IT project quality, Manage and control IT project risks

8. Tentukan apakah kompetensi tersebut sudah sesuai dengan kebutuhan organisasi dan SDM yang tersedia, atau masih membutuhkan kompetensi lain dari okupasi tetangganya.

Saat ini, bundel buku okupasi masih belum dilaunching sehingga belum tersedia untuk umum. Namun demikian, bagi yang tertarik dipersilakan untuk menghubungi penulis lewat akun twitter untuk berdiskusi lebih lanjut mengenai SKKNI Keamanan Siber dan mendapatkan copy pdf bundel buku okupasi.

Security is everyone's job and its components are: people, processes, and technology. However, people are the most important here because man is behind the gun, not the other way around. (jsn/rou)
SUMBER: https://inet.detik.com/cyberlife/d-4001919/menyoal-standardisasi-kompetensi-sdm-keamanan-siber

Posting Komentar

0 Komentar