TUGAS SOFTSKILL 4
AUDIT TEKNOLOGI SISTEM INFORMASI
SERTIFIKASI IT
SERTIFIKASI IT
NAMA : ANNISA FAUZIYAH ARDHAS
NPM : 10115871
KELAS : 4KA23
DOSEN : QOMARIYAH
MATA KULIAH : AUDIT TEKNOLOGI SISTEM INFORMASI
UNIVERSITAS GUNADARMA
2018/2019
1.
SEJARAH CISSP
CISSP
(Certified Information Systems Security Professional)
merupakan
sertifikasi di bidang keamanan sistem informasi yang secara independen
dikeluarkan oleh (ISC)² alias International
Information Systems Security Certification Consortium. Maksud dari
independen disini adalah sertifikasi tidak tergantung pada vendor tertentu
seperti misalnya Microsoft, Cisco, Oracle, dan sebagainya.
CISSP
Merupakan satu-satunya sertifikasi profesional dibidang keamanan sistem
informasi yang tidak mengacu kepada produk tertentu (vendor neutral) dan
mencakup seluruh aspek keamanan mulai dari manajemen keamanan informasi,
keamanan fisik hingga yang sangat teknis seperti cara kerja protokol jaringan
dan algoritma enkripsi asynchronous.
Pengetahuan
yang luas dan mendalam diberbagai bidang (domain) keamanan informasi amat
dibutuhkan karena CISSP diperuntukan berada diposisi middle management yang
mengharuskannya bisa bekerjasama dengan Top Managament, Pengguna, hingga IT
Engineer yang masing-masing memiliki sudut pandang, pendekatan dan “bahasa”
yang berbeda.
2.
TEORI CISSP
a.
Apa itu CISSP
CISSP adalah
sertifikasi yang diakui secara global di bidang IT Security dengan persyaratan
yang ketat termasuk 75% Rasio pertanyaan yang benar. Dengan adopsi resmi oleh
A.S. Departemen Pertahanan di Dodd mereka 8570 sertifikasi dan akreditasi ANSI
ISO / IEC, penunjukan CISSP merupakan sertifikasi berharga yang dapat membantu
Anda untuk mendapatkan atau mempertahankan pekerjaan di IT atau IS. Dengan
lebih 93,000 orang bersertifikat di 149 negara, CISSP adalah standar global dan
kadang-kadang diperlukan untuk posisi pekerjaan.
b.
Persyaratan CISSP
Persyaratan CISSP termasuk lima tahun pengalaman kerja
atau empat tahun pengalaman kerja dan empat tahun atau gelar yang lebih tinggi
dalam bidang terkait. Anda juga harus mencetak 700 atau lebih tinggi dengan
maksimum 1000 skor. Dengan 250 pertanyaan termasuk 20 pertanyaan statistik non-skor,
rata-rata untuk kebutuhan sekitar 75% jawaban yang benar. Setelah Anda lulus
tes, Anda memiliki sembilan bulan untuk menyelesaikan sisa aplikasi, yang
mencakup mendapatkan dukungan dari (ISC)Anggota ², mengisi formulir Pengesahan
Aplikasi dan berlangganan kode etik. Anda juga harus memperbarui CISSP Anda
setiap tiga tahun dengan 40 Kredit CPE melanjutkan pendidikan per tahun atau
total 120 dalam tiga tahun. Syarat-syarat CISSP:
·
Lulus ujian CISSP
·
Memiliki pengalaman kerja secara langsung selama
5 tahun di dua CBK domain yang berbeda.
·
Setuju untuk mengikuti Kode Etik CISSP
·
Mendapat rekomendasi dari seorang CISSP lainnya
yang bertujuan untuk memastikan CV dan kelakuan baik calon CISSP.
Saat
ini terdapat lebih dari 60.000 CISSP di seluruh dunia. Orang Indonesia yang
menjadi CISSP +/- 40 orang yang beberapa diantaranya tinggal diluar negri. Di
Singapura terdapat hanya belasan CISSP. Bandingkan dengan pertumbuhan CISSP di
Singapura yang saat ini memiliki lebih dari 400 CISSP.
c.
Biaya cissp
Biaya CISSP $549
jika Anda mendaftar terlebih dahulu untuk penuh ujian enam jam. Biaya
penjadwalan ulang $50 dan membatalkan biaya $100. Anda juga dapat memilih untuk
mengajukan permohonan hibah CITREP untuk mendapatkan bantuan dengan dana.
Tergantung di mana Anda mengambil tes Anda, Anda mungkin harus membayar
tambahan $50 Biaya pengolahan ketika mengirimkan aplikasi Anda. Anda juga harus
membayar tahunan $85 Biaya pemeliharaan CISSP. Biaya ini tidak termasuk biaya
belajar atau buku CISSP, yang tidak datang dengan ujian.
d. Belajar
untuk ujian CISSP
Hal ini penting
untuk belajar untuk ujian CISSP, bahkan jika Anda sudah berpengalaman di bidang
Anda. Itu (ISC)² menawarkan beberapa materi pelatihan serampangan, namun
sebagian besar pilihan yang tidak gratis. Pilihan pelatihan CISSP termasuk
persembahan dari (ISC)² serta instruktur pihak ketiga yang terakreditasi dan
program persiapan. Buku CISSP tersedia dengan soal-soal latihan, ujian praktek
dan jawaban rincian. Resmi (ISC)² Panduan untuk CISSP tersedia dalam hardcover
dan sebagai e-book untuk memudahkan akses belajar-. Anda juga dapat
men-download aplikasi tes praktek, yang biaya untuk setiap tes praktek singkat
25 pertanyaan. Jika Anda tidak baik dengan belajar sendiri, kemudian kursus
persiapan pihak ketiga CISSP adalah pilihan lain. Ini biasanya termasuk buku
CISSP, ujian praktek, bank kuis, dan kadang-kadang instruktur atau guru
bantuan. Itu (ISC)² menawarkan beberapa peluang e-learning juga, termasuk
'Seluruh E-Learning Course’ untuk $599 atau modul kursus individu untuk $99
masing-masing, yang Anda dapat memilih berdasarkan pada apakah Anda harus
memoles satu domain atau semua dari mereka. Ada 17 penyedia pelatihan CISSP
resmi di luar AS. serta beberapa penyedia pihak ketiga dengan lebih mendalam
e-learning dan guru kursus.
e. Ujian
CISSP
Untuk mendapatkan CISSP harus menguasai 10 domain keamanan
yang dikenal dengan Common Body of Knowledge (CBK) , yang terdiri dari:
·
Access Control
·
Application Security
·
Business Continuity and
Disaster Recovery Planning
·
Cryptography
·
Information Security
and Risk Management
·
Legal, Regulations,
Compliance and Investigations
·
Operations Security
·
Physical
(Environmental) Security
·
Security Architecture
and Design
·
elecommunications and
Network Security
Setiap domain
dibagi menjadi beberapa modul dengan fokus tertentu, memungkinkan Anda untuk
menjawab segala sesuatu pada area spesifik sekaligus. Sebagian besar pertanyaan
yang pilihan ganda, tetapi Anda mungkin juga diminta untuk menjawab pertanyaan
tertulis tergantung di mana Anda memilih untuk mengambil ujian. Sementara ada
250 pertanyaan, hanya 230 dari mereka yang dinilai, dan sisanya 20 adalah
statistik, tetapi Anda harus mendapatkan semua dari mereka yang benar untuk
mencapai sempurna 1000 skor. Umumnya, hasil tes Anda diberikan selama proses
checkout, segera setelah Anda selesai ujian. Namun, jika hasil instan tidak
tersedia, maka Anda akan menerima mereka melalui surat dalam waktu maksimum
delapan minggu. Setelah Anda menerima hasil tes Anda, Anda dapat mengisi
Pengesahan CISSP Aplikasi dengan bukti kerja dan pendidikan, nilai tes Anda,
dan dukungan dari (ISC)Anggota ². Jika Anda gagal ujian, Anda dapat membayar
untuk merebut kembali lagi dalam waktu 30 hari-hari, untuk maksimal tiga tes
dalam jangka waktu satu tahun.
f. Tujuan
program training CISSP
Tujuan
dari program training ini adalah untuk:
·
Peserta
akan mendapatkan pengetahuan dan wawasan tentang pengelolaan keamanan sistem
informasi sesuai dengan best practices yang berlaku sekaligus
sarana persiapan bagi yang berminat mengambil ujian CISSP.
·
Meningkatkan
peran keamanan IT dalam meningkatkan kerahasiaan, integritas dan ketersedian
informasi bagi perusahaan.
·
Training
ini mempersiapkan peserta untuk dapat lulus dalam ujian CISSP.
g. Manfaat
program training CISSP
Manfaat
yang didapat oleh peserta program ini adalah sebagai berikut:
·
Membantu
persiapan untuk mengikuti ujian dan memperbesar peluang lulus tes ujian CISSP.
·
Menambah
pengetahuan dan ketrampilan keamanan sistem informasi.
·
Memahami
common body of knowledge (cbok) audit sistem informasi
·
Mengenali
situasi ujian dan karakteristik soal serta memahami bagaimana cara menjawab
soal multiple choice
·
Mempersiapkan
diri secara optimal dalam mengikuti ujian CISSP Syllabus
h. Peserta
ujian CISSP
o
Security
Consultant
o
Security
Manager
o
IT
Direction/ Manager
o
Security
Auditor
o
Security
Architect
o
Security
Analyst
o
Security
Systems Engineer
o
Chief
Information Security Officer
o
Director
of Security
o
Network
Architect
3.
STUDI
KASUS
(ISC)²® Case Study:
Securing the Right Information Security Team
How UBS Investment
Bank in Switzerland Creates Joint Responsibility between HR and Line
Management in Security Professional Placement
Bagaimana
UBS Investment Bank di Swiss membentuk tanggung jawab bersama antara HR dan
Manajemen Lini dalam Penempatan Keamanan Profesional
Seorang professional HR memiliki peran yang penting dalam
menjaga aktivitas keamanan informasi milik perusahaan tersebut, karena menurut
Alan Ryan, direktur Security Practice pada Security Consultancy MTI, seorang HR
dapat membuat suatu perbedaan menggunakan cara sederhana dengan ”membuka saluran
komunikasi dua arah” dengan IT untuk membantu identifikasi dan manajemen
risiko. Kunci dari risiko tersebut berhubungan dengan proses dan prosedur yang
melibatkan kapan karyawan bergabuung atau meninggalkan perusahaan. Sangat
dianjurkan untuk suatu perusahaan memiliki prosedur bagi yang ingin keluar
segingga IT aan segera tahu kapan seseorang itu telah pergi dan dapat dihapus
dari system access privilages, karena jika orang tersebut telah meninggalkan
perusahaan namun masih dapat mengakses system perusahaan maka akan menimbulkan
resiko keamanan yang sangat tinggi.
Jika ancaman internal dan eksternal tidak dimitigasi dan
pelanggaran terjadi, mereka dapat merusak reputasi perusahaan, melanggar
privasi konsumen, mengakibatkan pencurian atau perusakan kekayaan intelektual,
mengakibatkan tuntutan hukum dan, dalam beberapa kasus, membahayakan jiwa.
Security professional yang terlatih dapat membantu
meminimalisasi risiko bisnis dan memaksimalkan pengembalian dalam investasi dan
peluang bisnis.karena dengan meningkatnya korvegensi fisik dan keamanan
informasi, dan hal-hal seperti identitas dan kontrol akses yang biasanya
menjadi bagian dalam jaringan sistem, akan menjadi sangat susah untuk
memperkerjakan profesial yang memiliki pengetahuan mengenai tidak hanya sistem keamanan
informasi, namun juga isu-isu seperti kontinuitas bisnis planning dan pemulihan
bencara.
Alessandro Moretti, Profesional Keamanan Sistem Informasi
Bersertifikat (CISSP), menjabat sebagai direktur eksekutif untuk Manajemen
Risiko Keamanan TI di UBS Investment Bank di Swiss, di mana ia memimpin
analisis risiko global, manajemen risiko, dan tim forensik TI yang terdiri dari
25 orang yang bekerja dari beberapa internasional Kantor UBS. Moretti
ditugaskan untuk mengawasi individu-individu yang dipercayakan melindungi aset
informasi UBS Investment Bank, salah satu lembaga keuangan terbesar dan paling
dihormati di dunia.
Moretti membutuhkan professional yang beretika dan paling
berkualitas untuk menjaga infrastruktur UBS yang sangan kritis dan informasi milik
ccustomer. Untuk mencari professional tersebut, Moretti berkerja sama dengan
HRD untuk mendapatkan kombinasi skill dan personality untuk menjabat posisi
tersebut
Pada
kantor UBS di Swiss, manajer lini keamanan dan seluruh yang berkepentingan
termasuk perwakilan HR, bisnis dan teknis untuk mengadakan sesi pertemuan
informasi untuk menjelaskan isu kemanan yang sedang dihadapi. Ben Harrison,
manajer rekruitman dari HRD pada UBS menjelaskan bahwa sesi tersebut dapat
memungkinkan mereka untuk menentukan target pasar dan membicarakannya ke
recruitment agensi sehingga dapat memahami apa yang sedang dibutuhkan untuk
perusahaan.
Karena
kebutuhan untuk keamanan informasi semakin meluas, maka sama dengan tanggung
jawab dan jabatan yang dibebankan pada professional keamanan. Bagi Moretti,
ragam peran yang ada dalam department seperti developer, administrator, analis
risiko, arsitek dan manajer team. Setiap peran memerlikan skill dan kualitas
yang berbeda, hal ini diharap juga dapat membantu HR untuk tidak hanya
mengembangkan kemampuan dan kualitas dasar yang dibutuhkan namun juga dapat
memberikan apresiasi dan beragam peluar yag ditawarkan oleh departemen.
Kualifikasi
tertentu yang sangat bermanfaat bagi industry adalah seperti sertifikasi
(ISC)²’s CISSP yang disertifikasi berdasarkan standar seperti Standar ISO / IEC
/ ANSI 17024 telah menjadi standard global.
Daftar Pustaka
https://crushtheinfosecexams.com/cissp-certification/
diakses pada tgl 14-01-19 jam 18.27
http://brainmatics.com/certified-information-systems-security-professional-exam-preparation/
diakses pada tgl 14-01-19 jam 18.30
https://www.scribd.com/document/41258992/HR-ISC-2-Case-Study-Securing-the-Right-Information-Security-Team (diakses 11 Januari 2019)
Jawaban
Pertanyaan Presentasi
Perbandingan
ISO 20000 dengan ISO 27002
ISO 20000
|
ISO 27002
|
|
PENJELASAN
|
Standar internasional untuk layanan sistem
manajemen IT
|
Seperangkat standar dan prosedur yang berkaitan
dengan keamanan dan kontrol informasi yang memungkinkan bisnis untuk
menerapkan keamanan yang tepat
|
KEUNTUNGAN BAGI PERUSAHAAN
|
· Meningkatkan citra perusahaan dan
kredibilitas
·
Meningkatkan kepuasan pelanggan
·
Konsistensi dalam penyampaian layanan
atau produk
|
·
Dapat melindungi kerahasiaan,
integritas dan ketersediaan informasi
·
Membantu organisasi dalam menjalankan
perbaikan yang berkesinambungan di dalam pengelolaan keamanan informasi
|
