UNIVERSITAS GUNADARMA
1. SEJARAH CISSP
CISSP (Certified Information Systems Security Professional)
merupakan sertifikasi di bidang keamanan sistem informasi yang secara independen dikeluarkan oleh (ISC)² alias International Information Systems Security Certification Consortium. Maksud dari independen disini adalah sertifikasi tidak tergantung pada vendor tertentu seperti misalnya Microsoft, Cisco, Oracle, dan sebagainya.
CISSP Merupakan satu-satunya sertifikasi profesional dibidang keamanan sistem informasi yang tidak mengacu kepada produk tertentu (vendor neutral) dan mencakup seluruh aspek keamanan mulai dari manajemen keamanan informasi, keamanan fisik hingga yang sangat teknis seperti cara kerja protokol jaringan dan algoritma enkripsi asynchronous.
Pengetahuan yang luas dan mendalam diberbagai bidang (domain) keamanan informasi amat dibutuhkan karena CISSP diperuntukan berada diposisi middle management yang mengharuskannya bisa bekerjasama dengan Top Managament, Pengguna, hingga IT Engineer yang masing-masing memiliki sudut pandang, pendekatan dan “bahasa” yang berbeda.
2. TEORI CISSP
a. Apa itu CISSP
CISSP adalah sertifikasi yang diakui secara global di bidang IT Security dengan persyaratan yang ketat termasuk 75% Rasio pertanyaan yang benar. Dengan adopsi resmi oleh A.S. Departemen Pertahanan di Dodd mereka 8570 sertifikasi dan akreditasi ANSI ISO / IEC, penunjukan CISSP merupakan sertifikasi berharga yang dapat membantu Anda untuk mendapatkan atau mempertahankan pekerjaan di IT atau IS. Dengan lebih 93,000 orang bersertifikat di 149 negara, CISSP adalah standar global dan kadang-kadang diperlukan untuk posisi pekerjaan.
b. Persyaratan CISSP
Persyaratan CISSP termasuk lima tahun pengalaman kerja atau empat tahun pengalaman kerja dan empat tahun atau gelar yang lebih tinggi dalam bidang terkait. Anda juga harus mencetak 700 atau lebih tinggi dengan maksimum 1000 skor. Dengan 250 pertanyaan termasuk 20 pertanyaan statistik non-skor, rata-rata untuk kebutuhan sekitar 75% jawaban yang benar. Setelah Anda lulus tes, Anda memiliki sembilan bulan untuk menyelesaikan sisa aplikasi, yang mencakup mendapatkan dukungan dari (ISC)Anggota ², mengisi formulir Pengesahan Aplikasi dan berlangganan kode etik. Anda juga harus memperbarui CISSP Anda setiap tiga tahun dengan 40 Kredit CPE melanjutkan pendidikan per tahun atau total 120 dalam tiga tahun. Syarat-syarat CISSP:
· Lulus ujian CISSP
· Memiliki pengalaman kerja secara langsung selama 5 tahun di dua CBK domain yang berbeda.
· Setuju untuk mengikuti Kode Etik CISSP
· Mendapat rekomendasi dari seorang CISSP lainnya yang bertujuan untuk memastikan CV dan kelakuan baik calon CISSP.
Saat ini terdapat lebih dari 60.000 CISSP di seluruh dunia. Orang Indonesia yang menjadi CISSP +/- 40 orang yang beberapa diantaranya tinggal diluar negri. Di Singapura terdapat hanya belasan CISSP. Bandingkan dengan pertumbuhan CISSP di Singapura yang saat ini memiliki lebih dari 400 CISSP.
c. Biaya cissp
Biaya CISSP $549 jika Anda mendaftar terlebih dahulu untuk penuh ujian enam jam. Biaya penjadwalan ulang $50 dan membatalkan biaya $100. Anda juga dapat memilih untuk mengajukan permohonan hibah CITREP untuk mendapatkan bantuan dengan dana. Tergantung di mana Anda mengambil tes Anda, Anda mungkin harus membayar tambahan $50 Biaya pengolahan ketika mengirimkan aplikasi Anda. Anda juga harus membayar tahunan $85 Biaya pemeliharaan CISSP. Biaya ini tidak termasuk biaya belajar atau buku CISSP, yang tidak datang dengan ujian.
d. Belajar untuk ujian CISSP
Hal ini penting untuk belajar untuk ujian CISSP, bahkan jika Anda sudah berpengalaman di bidang Anda. Itu (ISC)² menawarkan beberapa materi pelatihan serampangan, namun sebagian besar pilihan yang tidak gratis. Pilihan pelatihan CISSP termasuk persembahan dari (ISC)² serta instruktur pihak ketiga yang terakreditasi dan program persiapan. Buku CISSP tersedia dengan soal-soal latihan, ujian praktek dan jawaban rincian. Resmi (ISC)² Panduan untuk CISSP tersedia dalam hardcover dan sebagai e-book untuk memudahkan akses belajar-. Anda juga dapat men-download aplikasi tes praktek, yang biaya untuk setiap tes praktek singkat 25 pertanyaan. Jika Anda tidak baik dengan belajar sendiri, kemudian kursus persiapan pihak ketiga CISSP adalah pilihan lain. Ini biasanya termasuk buku CISSP, ujian praktek, bank kuis, dan kadang-kadang instruktur atau guru bantuan. Itu (ISC)² menawarkan beberapa peluang e-learning juga, termasuk 'Seluruh E-Learning Course’ untuk $599 atau modul kursus individu untuk $99 masing-masing, yang Anda dapat memilih berdasarkan pada apakah Anda harus memoles satu domain atau semua dari mereka. Ada 17 penyedia pelatihan CISSP resmi di luar AS. serta beberapa penyedia pihak ketiga dengan lebih mendalam e-learning dan guru kursus.
e. Ujian CISSP
Untuk mendapatkan CISSP harus menguasai 10 domain keamanan yang dikenal dengan Common Body of Knowledge (CBK) , yang terdiri dari:
· Access Control
· Application Security
· Business Continuity and Disaster Recovery Planning
· Cryptography
· Information Security and Risk Management
· Legal, Regulations, Compliance and Investigations
· Operations Security
· Physical (Environmental) Security
· Security Architecture and Design
· elecommunications and Network Security
Setiap domain dibagi menjadi beberapa modul dengan fokus tertentu, memungkinkan Anda untuk menjawab segala sesuatu pada area spesifik sekaligus. Sebagian besar pertanyaan yang pilihan ganda, tetapi Anda mungkin juga diminta untuk menjawab pertanyaan tertulis tergantung di mana Anda memilih untuk mengambil ujian. Sementara ada 250 pertanyaan, hanya 230 dari mereka yang dinilai, dan sisanya 20 adalah statistik, tetapi Anda harus mendapatkan semua dari mereka yang benar untuk mencapai sempurna 1000 skor. Umumnya, hasil tes Anda diberikan selama proses checkout, segera setelah Anda selesai ujian. Namun, jika hasil instan tidak tersedia, maka Anda akan menerima mereka melalui surat dalam waktu maksimum delapan minggu. Setelah Anda menerima hasil tes Anda, Anda dapat mengisi Pengesahan CISSP Aplikasi dengan bukti kerja dan pendidikan, nilai tes Anda, dan dukungan dari (ISC)Anggota ². Jika Anda gagal ujian, Anda dapat membayar untuk merebut kembali lagi dalam waktu 30 hari-hari, untuk maksimal tiga tes dalam jangka waktu satu tahun.
f. Tujuan program training CISSP
Tujuan dari program training ini adalah untuk:
· Peserta akan mendapatkan pengetahuan dan wawasan tentang pengelolaan keamanan sistem informasi sesuai dengan best practices yang berlaku sekaligus sarana persiapan bagi yang berminat mengambil ujian CISSP.
· Meningkatkan peran keamanan IT dalam meningkatkan kerahasiaan, integritas dan ketersedian informasi bagi perusahaan.
· Training ini mempersiapkan peserta untuk dapat lulus dalam ujian CISSP.
g. Manfaat program training CISSP
Manfaat yang didapat oleh peserta program ini adalah sebagai berikut:
· Membantu persiapan untuk mengikuti ujian dan memperbesar peluang lulus tes ujian CISSP.
· Menambah pengetahuan dan ketrampilan keamanan sistem informasi.
· Memahami common body of knowledge (cbok) audit sistem informasi
· Mengenali situasi ujian dan karakteristik soal serta memahami bagaimana cara menjawab soal multiple choice
· Mempersiapkan diri secara optimal dalam mengikuti ujian CISSP Syllabus
h. Peserta ujian CISSP
o Security Consultant
o Security Manager
o IT Direction/ Manager
o Security Auditor
o Security Architect
o Security Analyst
o Security Systems Engineer
o Chief Information Security Officer
o Director of Security
o Network Architect
3. STUDI KASUS
(ISC)²® Case Study: Securing the Right Information Security Team
How UBS Investment Bank in Switzerland Creates Joint Responsibility between HR and Line Management in Security Professional Placement
Bagaimana UBS Investment Bank di Swiss membentuk tanggung jawab bersama antara HR dan Manajemen Lini dalam Penempatan Keamanan Profesional
Seorang professional HR memiliki peran yang penting dalam menjaga aktivitas keamanan informasi milik perusahaan tersebut, karena menurut Alan Ryan, direktur Security Practice pada Security Consultancy MTI, seorang HR dapat membuat suatu perbedaan menggunakan cara sederhana dengan ”membuka saluran komunikasi dua arah” dengan IT untuk membantu identifikasi dan manajemen risiko. Kunci dari risiko tersebut berhubungan dengan proses dan prosedur yang melibatkan kapan karyawan bergabuung atau meninggalkan perusahaan. Sangat dianjurkan untuk suatu perusahaan memiliki prosedur bagi yang ingin keluar segingga IT aan segera tahu kapan seseorang itu telah pergi dan dapat dihapus dari system access privilages, karena jika orang tersebut telah meninggalkan perusahaan namun masih dapat mengakses system perusahaan maka akan menimbulkan resiko keamanan yang sangat tinggi.
Jika ancaman internal dan eksternal tidak dimitigasi dan pelanggaran terjadi, mereka dapat merusak reputasi perusahaan, melanggar privasi konsumen, mengakibatkan pencurian atau perusakan kekayaan intelektual, mengakibatkan tuntutan hukum dan, dalam beberapa kasus, membahayakan jiwa.
Security professional yang terlatih dapat membantu meminimalisasi risiko bisnis dan memaksimalkan pengembalian dalam investasi dan peluang bisnis.karena dengan meningkatnya korvegensi fisik dan keamanan informasi, dan hal-hal seperti identitas dan kontrol akses yang biasanya menjadi bagian dalam jaringan sistem, akan menjadi sangat susah untuk memperkerjakan profesial yang memiliki pengetahuan mengenai tidak hanya sistem keamanan informasi, namun juga isu-isu seperti kontinuitas bisnis planning dan pemulihan bencara.
Alessandro Moretti, Profesional Keamanan Sistem Informasi Bersertifikat (CISSP), menjabat sebagai direktur eksekutif untuk Manajemen Risiko Keamanan TI di UBS Investment Bank di Swiss, di mana ia memimpin analisis risiko global, manajemen risiko, dan tim forensik TI yang terdiri dari 25 orang yang bekerja dari beberapa internasional Kantor UBS. Moretti ditugaskan untuk mengawasi individu-individu yang dipercayakan melindungi aset informasi UBS Investment Bank, salah satu lembaga keuangan terbesar dan paling dihormati di dunia.
Moretti membutuhkan professional yang beretika dan paling berkualitas untuk menjaga infrastruktur UBS yang sangan kritis dan informasi milik ccustomer. Untuk mencari professional tersebut, Moretti berkerja sama dengan HRD untuk mendapatkan kombinasi skill dan personality untuk menjabat posisi tersebut
Pada kantor UBS di Swiss, manajer lini keamanan dan seluruh yang berkepentingan termasuk perwakilan HR, bisnis dan teknis untuk mengadakan sesi pertemuan informasi untuk menjelaskan isu kemanan yang sedang dihadapi. Ben Harrison, manajer rekruitman dari HRD pada UBS menjelaskan bahwa sesi tersebut dapat memungkinkan mereka untuk menentukan target pasar dan membicarakannya ke recruitment agensi sehingga dapat memahami apa yang sedang dibutuhkan untuk perusahaan.
Karena kebutuhan untuk keamanan informasi semakin meluas, maka sama dengan tanggung jawab dan jabatan yang dibebankan pada professional keamanan. Bagi Moretti, ragam peran yang ada dalam department seperti developer, administrator, analis risiko, arsitek dan manajer team. Setiap peran memerlikan skill dan kualitas yang berbeda, hal ini diharap juga dapat membantu HR untuk tidak hanya mengembangkan kemampuan dan kualitas dasar yang dibutuhkan namun juga dapat memberikan apresiasi dan beragam peluar yag ditawarkan oleh departemen.
Kualifikasi tertentu yang sangat bermanfaat bagi industry adalah seperti sertifikasi (ISC)²’s CISSP yang disertifikasi berdasarkan standar seperti Standar ISO / IEC / ANSI 17024 telah menjadi standard global.
Daftar Pustaka
