Tips Berkarir di bidang Cyber Security Untuk Pemula
Mungkin sudah banyak pertanyaan yang sering muncul terkait bagaimana sih tips berkarir di bidang Cyber Security? Seberapa besar potensinya? Saya harus mulai dari mana? Bagaimana cara switch career ke Cyber Security? Kerjanya ngapain aja sih? Belajarnya apa aja sih? Saya coba menjawab yaaa dari sudut pandang saya sendiri :D [Warning, sedikit panjang]
Disclaimer, ini adalah opini saya sendiri secara pribadi dan tidak ada hubungannya dengan perusahaan atau organisasi yang saya ikuti ataupun permintaan/titipan dari pihak manapun.
Bab I : Pendahuluan Pengenalan kegiatan dan Pekerjaan di Keamanan Siber
Kita awali dulu dengan pengenalan kegiatan di dunia Cyber Security. Hal yang bisa dikerjakan di bidang Cyber Security banyak sekali dan tidak mungkin untuk menguasai mendalam dari keseluruhan. Lihat aja terlebih dahulu lalu kita renungkan hehehe. Pada gambar dibawah ini adalah rangkuman kata kunci kegiatan,framework, maupun skill yang berkaitan di bidang Cyber Security.
Kakak bisa lihat dulu yang mana nih ya yang menarik dari domain diatas yang mana yang menjadi minat teman-teman dan pada warna yang sama pun masih terlihat luas bukan? ini masih agak umum, apakah bisa di detailkan lagi? tentu saja ada detailnya lagi karena tiap cabangnya aja luas banget kalau didetailkan.
Renungkan, pikirkan dan pertanyakan mengapa aku minat disitu.
Bentar nih,.. aku dari Non-IT atau aku anak IT biasa yang belum pernah punya pengetahuan keamanan siber. apakah aku bisa ya switch karir begini? jawabannya BISA. Kenalan dulu.. Sabar ya kita bahas kok satu-satu. Ini pembahasan umum ya buat yang background non-IT ataupun IT juga tidak masalah.
Oke, belum kebayang pastinya hahahaha.. ya tidak apa-apa, saya waktu melihat ini sebelum ngerti dunia keamanan siber juga masi bingung. langsung aja lihat gambar dibawah supaya lebih dalam kira-kira skill apa yang mau kita targetin. Berikut trend kata kunci yang sering muncul pada di belakangan ini:
Gambar dibawah berikut menampilkan beberapa contoh nama pekerjaan atau jabatan yang biasa ada di bidang keamanan siber. Latar belakang skill anda juga berpengaruh disini, misal dari programmer mau switch ke security programming bisa juga pelajarin pekerjaan di kotak yang Application seperti gambar dibawah ini :
Ada juga sebenarnya mapping-an pekerjaan siber dari negara kita tercinta Indonesia, bisa diakses disini : https://cloud.bssn.go.id/s/8aHmiZENZ3fx6ef monggo aja mampir gratis sambil lihat lihat dulu lagi biar kebayang hehehe.
Sedikit alasan kenapa aku kasih Bab 1 nya terkait pengenalan kegiatannya terlebih dahulu : Kalau belajarnya random sana sini (semua kegiatan orang IT dicoba) mungkin nanti career path nya jadi tidak terbentuk. Jadinya bakal tidak terarah dan galau mau yang mana. Maka dari itu aku kasih gambaran nama pekerjaannya dahulu dan kegiatan umumnya di role keamanan siber ngapain aja.
Bab II : Skill Dasar
Belajarnya mulai dari apa yang disukai & diminati. Kemudian, dibutuhkan skillset agar bisa berkarir di salah satu bidang tersebut.
Kalau anda bertanya-tanya yang mana dulu nih skill dulu apa milih career dulu ya? Jawabannya bebas. Ada 2 tipe manusia soalnya :
- Yang sistematis : Career dulu lalu pelajarin skillnya.
- Yang realistis : skill dulu yang sudah kuat dimana, lalu mencari kebutuhan karirnya. Dikembangin dari gap yang kosong tersebut.
Untuk yang akan masuk ke role Cyber Security yang teknikal, saya akan memberikan sedikit gambaran. Basic understanding IT :
- Math (apalagi yang suka kriptografi wkwk wajib bgt)
- Basic Programming : Algoritma,Web Request & Response,DB
- Network : 7 OSI Layer, Firewall, VPN
- Infrastruktur : Sistem Operasi, Server, Cloud, Virtualization
- Critical Thinking, Analisis & Inisiatif
- Kemampuan Problem Solving
- Teliti
Latihan dan belajar
Untuk mempelajari hal tersebut memang tidak bisa instan cepat, jadi biasanya learning by doing, atau ikut training bootcamp untuk mempercepat mendapat keilmuan tersebut.
Build your Own Lab in your home. bikin sendiri ngulik sendiri problem solving sendiri secara otomatis akan mengasah ilmu anda.
“Mas saya tidak punya pengalaman proyek atau bekerja langsung di Cyber Security gimana dong?”
Ikut saja lomba CTF, tulis di blog kamu sendiri untuk membuktikan bahwa pernah ikut. Udah pernah coba lab gratis ini itu juga masukkan juga di blog supaya menjadi pembeda daripada pesaing lain.
Tools
Yang perlu diingat adalah pemahaman konsep bagaimana tools itu dapat dipakai. Karena suatu saat anda pasti akan ditanya hehehe entah dari recruiter, kawan, murid, atau siapapun. Untuk memakai tools dapat dipelajari dengan mudah, namun untuk mengoperasikannya dengan benar itu lah kuncinya alias “Man Behind The Gun”.
Tambahan
Praktik nya yang diperdalam. tidak semua tools di seluruh dunia harus dicoba, tapi mungkin disesuaikan sesuai kebutuhan saja.
Banyak sekarang demand nya tinggi di bidang blue team dan cari orangnya setelah mati.
Wait. Sampai disini, renungkan dulu “Gap” antara Skill-saya dengan lowongan kerja Cyber saat ini seperti apa? anda perlu menganalisa kekurangannya & kelebihannya dimana.
Kalau udah jago ya bisa aja keduanya Red and Blue jadi Purple team seperti kemampuan Six Eyes Gojo Satoru hahahaha….
Ilmu dasar kalau sudah kuat mau diarahin kemana jadi lebih mudah. Lalu ngikut pasar deh lagi banyak ke arah mana.
Bab III : Mindset
Growth Thinking. Perlu diingat bahwa apabila anda :
- Seorang dari latar belakang Fresh graduate dari perkuliahan (IT maupun non-IT), dan memiliki ilmu yang hanya didapat terbatas dari perkuliahan saja maka anda WAJIB melakukan upgrade diri.
- Seorang dari latar belakang yang tidak berkuliah, namun anda tidak pernah mencoba berlatih ataupun mempelajari maka anda juga perlu WAJIB melakukan upgrade diri beberapa ekstra agar lebih dari yang sudah berkuliah.
Tidak boleh ada rasa minder dari antara keduanya. Upgrade diri yang bagaimana kak? Seperti biasa, wajib 2 ya : Hardskill dan Softskill.
Kalau kamu memang passionate di Cyber Security, tunjukkan. mengikuti Event lomba atau meetup komunitas siber dan apapun itu. BTW, saya dari komunitas Surabaya Hacker Link. Join aja di forum dan discordnya. Hubungin saya disana dan mari berteman/berjejaring.
Teman
Asik banget kalau punya teman yg se-passion maka kamu akan diajak untuk naik bersama, rajin ngulik, dapat update ilmu terbaru, saling ngajarin. lomba bareng hingga mungkin jg projekan bareng.
Mentor menurut saya juga sangat berperan penting dalam pengembangan karir anda. Ketika anda mendapat koneksi ring yang beneran ahli di bidang tersebut maka peluang anda akan menjadi semakin banyak, memiliki pola pikir yang mirip dengan dia. Anda bisa menanyakan banyak hal terkait pengembangan karir anda dan mungkin juga bahkan diajak projekan bareng. Mantap kan buat kedepannya untuk diri anda sendiri.. Dapet networknya juga. Apalagi anda cepat adaptasi dan fast learn, Good attitude, bertanggungjawab pasti banyak yang cari anda.
Apabila salah mendapat mentor akan membuat karir anda menjadi stuck, mungkin mentornya tidak bisa mengarahkan karena banyak tidak mengertinya atau tidak update. Padahal setiap hari Cyber Security itu selalu update. Kaget juga kan kenapa ada temen yang jago banget technical skillnya dan knowledge nya, dan ternyata rahasianya adalah rajin belajar dan nguntit si Mentor sebagai ahlinya. Sementara, karirmu gitu-gitu aja karena gak ngerti harus bagaimana.
School
Jangan minder apabila anda lulusan non-IT/SMK ketika dihadapkan dengan freshgrad anak kuliah yang sama-sama bersaing di salah satu perekrutan kerja. Yang dicari perusahaan adalah skill kompetensi apa aja sudah menguasai apa aja? Sekarang lulusan SMK pun juga mulai banyak langsung dicari untuk bekerja di bidang keamanan siber.
Bootcamp (Opsional)
Belum lagi timbul adanya trend Bootcamp IT Security. Memang perlu dilihat dan cari info sedalam-dalamnya sih apakah bootcamp tersebut worthy untuk diambil? karena mungkin ada konsekuensi khusus seperti tidak ada benefit X,Y, wajib membayar sekian, dll. Risk yang harus diketahui.
Recruiter melihat apa yang sudah kamu lakukan melalui mungkin sertifikasi, kontribusi di blog/komunitas, dan attitude.
Adaptibility
Build skillnya setiap hari. dari infrastruktur security, network security, dll. Selalu cari experience. bagaimana cara mendesain teknologi yang secure? brand capabilities? maintenance nya, memberi layanan yang secure di tempat kita bekerja? Opensource atau Berbayar, tidak masalah. yang penting paham konsep.
Kamu di hire as profesional
As profesional tentu saja tidak boleh pasif. Aktif berinisiatif, kita-kira kalau saya kerjakan begini apakah sudah baik dan ada yang kurang ga ya? Flow di kantor ini seperti apa ya? Harus punya keterampilan komunikasi yang baik sangat penting dalam karir profesional. Belajarlah cara berbicara dengan on-point, tidak bertele-tele, mendengarkan dengan aktif, dan menulis secara jelas. Karena percuma kalau jago technical tapi penjelasannya sangat membingungkan sehingga menjadi redflag bagi recruiter/rekan kerja.
Infosec-life balance
Never stop learning karena ilmu IT terus berkembang setiap harinya. sudah banyak platform untuk belajar di area Offensive atau Defensive.
Ilmu IT Security sendiri sebenarnya juga bisa didapat beberapa dengan otodidak asalkan ada kemauan mulai dari belajar dari youtube/udemy/e-book/komunitas, dll. Karena saya melihat contoh nyata beberapa kawan saya yang bisa jadi jago skill nya karena otodidak.
Tapi mungkin juga ada kalanya bosan karena belajar itu mulu. Lakukan juga hobi atau kegiatan hiburan lainnya supaya tetap fresh untuk update ilmu. Hidup tidak untuk IT saja bukan? :D
Bab IV : Membangun Pengalaman Awal
CTF
Coba aja, main-main aja menang kalah urusan belakangan pakai untuk mendapatkan pengalaman. Beberapa teman dapat benefit dari CTF sampai ke luar negeri dibiayai hanya untuk CTF, atau mendapat pekerjaan dari game CTF. Jangan lupa dibuat writeupnya supaya menjadi bukti bahwa anda pernah belajar dan dapat sesuatu dari CTF tersebut.
Platformnya dimana?
https://github.com/Nickyie/Cybersecurity-Resources/tree/main
Research what the role requirements; pelajarin aja pasarnya seperti apa.
Personal Branding
Membangun personal branding menurut saya sangat bermanfaat, tetapi jangan dilakukan menjadi negatif seperti : show-off hacking web pemerintah, show-off carding, show-off DDoS, deface ini itu, Membuat drama di twitter atau linkedin Instansi pemerintah X tidak menanggapi temuan saya/ hanya memberi saya email “Makasih Mas”, Beg Bounty, Kalau cuma sehari harinya ngepentest atau freelance bug bounty ada baiknya anda tidak membranding diri “Security Researcher”,dll.
Akan saya Block! Toksik! Red flag menurut saya. Hahaha! maaf terkesan agak frontal tapi anda harus memaknai dengan benar sesuatu hal. Yang bener aja, profesionalitas is number 1. Dek, Attitude nya yah. hehehe!
Sudah pasti kalau melakukan contoh-contoh toksik yang sering seperti diatas bakal sulit di-hire oleh perusahaan bagus karena anda bermasalah di attitude. Jelas lah, wong takut kalau malah bikin drama/masalah lalu nama perusahaan jadi jelek siapa yang nanggung? Ya perusahaan lah kena blacklist customernya.
Pentingnya Proyek Personal dan Berkontribusi pada Proyek Open Source
Keren banget nih kalau temen2 bisa sampai mencapai pada level ini yaa.. misal kontribusi ke atomic red team, kontribusi di tools security di github, bikin extension burp sendiri, atau bikin module velociraptor sendiri, dll.
Bisa juga kalau di sisi akademik misal bikin jurnal juga atau topik skripsi bahkan :D
Nih topik-topiknya dan mungkin buat blogging/skripsi juga bisa:
Alurnya mau Offensive apa Defensive?
Realita sekarang adalah beberapa kawan saya sudah berpindah dari yang tadinya red-team menjadi blue-team. ini menjadi tren baru di beberapa tahun terakhir ini.
Bab V : Sertifikasi Wajib atau Opsional?
Tergantung kebutuhan saja hehehe. Gak ada yang memaksa.
Sertifikasi untuk mengukur sudah pernah mencoba topik apa.
Kalau punya dan dapat kesempatan gratis fasilitas dari kantor itu ambil saja. Tetapi sertifikasi sebagai requirement yang dibutuhkan.
Harga sertifikasi cybersecurity kebanyakan mahal karena pasti start dari jutaan sampai ratusan juta. Sesuaikan aja sama budget. Ketika ambil sertifikasi harus yakin pasti bisa, kalau gagal ya coba lagi sampai lulus tentunya sudah belajar dari kesalahan.
Kalau kerjanya di consulting ya sudah pasti butuh Sertifikasi banyak yang keren-keren hahaha karena konsultan kan ya, harus pintar!
Sertifikasi Gratis
Coursera, DTS Kominfo, Kantor. Kalau pengalaman saya sendiri, dapet tuh waktu itu Digitalent Kominfo Scholarship. Lumayan dapat EC-Council CSA (SOC Analyst), EC-Council ECIH (Incident Handler) Gratis. Ikut aja pantengin terus pengumumannya di instagram, nyalain lonceng post/story nya ehhehe.. Kalau yang dari kantor dapat yang CHFI (Forensic Investigator) lumayan kan disponsori kantor dan juga meningkatkan skill :D
Bab VI : Mengembangkan Karir di Cyber Security
Softskill
Persiapan interview seperti apa, cari aja di Youtube banyak tutornya dan tips interview cyber security banyak juga di Linkedin. Untuk Menjadi kamu yang lebih baik :
- Komunikasi yang Efektif: Kemampuan untuk menyampaikan ide, temuan keamanan, dan rekomendasi kebijakan dengan jelas kepada baik rekan kerja teknis maupun non-teknis sangat penting. Ini termasuk komunikasi lisan dan tulisan.
- Kerjasama Tim: Keberhasilan proyek keamanan seringkali bergantung pada kolaborasi antar tim. Memiliki kemampuan untuk bekerja sebagai bagian dari tim, termasuk dengan mereka yang mungkin kurang termotivasi, adalah kunci.
- Pemecahan Masalah: Cyber security merupakan bidang yang penuh dengan tantangan unik yang memerlukan pendekatan kreatif dan inovatif dalam pemecahan masalah.
- Jiwa Kepemimpinan: Memimpin dengan teladan dan menggerakkan anggota tim yang kurang aktif. Kemampuan untuk memotivasi dan mengarahkan orang lain merupakan aset berharga.
- Manajemen Waktu: Dalam bidang yang serba cepat dan terus berubah, mengelola waktu dan prioritas dengan efisien sangat penting.
- Adaptabilitas dan Fleksibilitas: Kemampuan untuk beradaptasi dengan perubahan lingkungan, teknologi, dan kondisi kerja adalah kunci untuk tetap relevan dan efektif.
- Kesabaran dan Persistensi: Serangan cyber dan isu keamanan bisa rumit dan memakan waktu untuk dipecahkan. Kesabaran dan kemampuan untuk tetap fokus dalam jangka waktu yang lama penting.
- Rasa Ingin Tahu yang Tinggi: Memiliki rasa ingin tahu yang tinggi membantu dalam belajar dan beradaptasi dengan teknologi baru serta mengatasi tantangan dengan cara inovatif.
- Etika Kerja yang Kuat: Dalam bidang yang membutuhkan ketelitian dan dedikasi, memiliki etika kerja yang kuat sangat penting. Ini termasuk bertanggung jawab, dapat diandalkan, dan melakukan tugas tanpa perlu selalu disuruh.
- Kemampuan Analitis: Kemampuan untuk menganalisis data dan situasi keamanan secara cepat dan efektif untuk mengidentifikasi pola atau masalah adalah sangat penting.
- Pengambilan Keputusan: Dalam situasi darurat atau ketika menghadapi ancaman keamanan, kemampuan untuk mengambil keputusan yang tepat dan cepat sangatlah kritikal.
- Sikap Positif dan Motivasi: Mempertahankan sikap positif dan motivasi diri dalam menghadapi tantangan dan ketika bekerja dengan orang yang kurang termotivasi dapat membantu meningkatkan moral tim.
Koneksi
Dari koneksi teman-teman kita, itu juga dapat menjadi benefit atau privilege kita nih misal diajak kerja bareng, atau pun proyekan bareng juga, Meminta nasehat, atau banyak mengembangkan skill misal “patungan” buat beli course KWKWK
Workshop, Blogging, Community, Project
Banyak ya sekarang materi-materi workshop. dah daripada puyeng langsung aja cek cari aja yang relevan mulai kalian ini Super bagus ya.. minimal dibuka dulu gassskannn :
https://forum.surabayahackerlink.org/d/3698-cyber-security-tools-resources-super-lengkap
Next Career Path
Menetapkan tujuan karir jangka pendek dan jangka panjang. Tujuan ini dapat membantu mengarahkan fokus dan mengetahui langkah apa yang harus diambil selanjutnya. Mau generalist, apa spesialis? hehehe
Teman-teman juga bisa mencari apa sih interestnya dengan mencoba kegiatan cybersecurity itu sendiri seperti penetration testing, analisis log, lalu temukan dimana anda bisa semangat mengerjakan itu. kerjakan dengan serius hingga menjadi spesialis.
ini beberapa referensi Career Path :
https://github.com/rezaduty/cybersecurity-career-path
Bab VII : Cari Job nya dimana?
Banyak sih, kalau dari saya sendiri dapetnya dari Linkedin, konek ke orang-orang yang keren! sama jangan lupa “Open To Work” wkwkkw
Untuk demand terbanyak saat ini Mar 2024 kayaknya klo merah lebih ke Pentester, kalau blue lebih ke SOC. Beberapa juga perusahaan juga mencari Data Privacy Officer, nyari orang yang paham Compliance.
Pilih aja sukanya di industri yang seperti apa. Nanya temen atau lihat review di glassdoor jangan lupa hehhehehe..
Cari di Glints, Kalibrr, Jobstreet, Linkedin, bebas saja sih platform nya. atau kalau mau remote iseng aja coba di sini
Atau ada juga di telegram :
https://t.me/LokerCybersecurity
BAB VIII : Lain-lain
Memilih Perusahaan
Cukup tau untuk perusahaan tersebut bergerak dibidang apa? model bisnis secara umumnya seperti apa? lalu ada juga nih redflag lowongan kerja masa minimal 1 tahun pengalaman kerja tapi mintanya CISSP, mana job responsibility yang ditulis di deskripsi tidak masuk akal kayak harus bisa menguasai banyak elemen, Red team, Blue team, dan GRC wokawokkaw dah sekip aja cari yang jelas-jelas aja.
Belajar Gratis Dimana?
Resource pernah aku tulis di sini : https://forum.surabayahackerlink.org/d/3697-belajar-cyber-security-untuk-pemula-dari-mana
Banyak ya? hahahaha.. ya emang terlalu luas sih.. jadi harus disiapin mau yg mana biar kebayang nih mau berkarir yang apa.