Kajian Ketahanan Siber - Manajemen Kerentanan
  • Cover
  • Tim Redaksi
  • Kata Pengantar
  • Kata Sambutan
    • Sambutan Kepala Badan Siber dan Sandi Negara - Letjen TNI (Purn) Hinsa Siburian
    • Sambutan Deputi Bidang Operasi Keamanan Siber dan Sandi - Mayjen TNI Dominggus Pakel, S.Sos. M.M.S.I
  • Prakata
    • Prakata - Direktur Operasi Keamanan Siber - Andi Yusuf, M.T.
    • Direktur Politeknik Siber dan Sandi Negara - Marsekal Pertama TNI R. Tjahjo Khurniawan S.T, M.Si
  • Ringkasan Eksekutif
  • BAB I. Latar Belakang
    • A. Lanskap Keamanan Siber Indonesia
    • B. Tren Kerentanan Sistem Elektronik Instansi Pemerintah di Indonesia
    • C. Urgensi Manajemen Kerentanan di Indonesia
  • BAB II. Dasar Hukum Keamanan Sistem Elektronik
    • Dasar Hukum Keamanan Sistem Elektronik
  • BAB III. Kerangka Kerja Manajemen Kerentanan di Indonesia
    • A. Kerangka Kerja Manajemen Kerentanan di Indonesia
    • B. Kolaborasi Manajemen Kerentanan pada Tingkat Nasional
    • C. Peran Setiap Pemangku Kepentingan pada Manajemen Kerentanan Tingkat Nasional
  • BAB IV. Benchmark Organisasi dan Tata Kelola Terkait Manajemen Kerentanan
    • A. Benchmark Organisasi dalam Praktik Manajemen Kerentanan
    • B. Standar Internasional dan Panduan Praktik Tata Kelola Manajemen Kerentanan
  • BAB V. Siklus Manajemen Kerentanan di Indonesia
    • A. Gambaran Umum Program Manajemen Kerentanan
    • B. Tahap Identifikasi
    • C. Tahap Prioritisasi
    • D. Tahap Penanganan
    • E. Tahap Verifikasi
    • F. Tahap Evaluasi
  • BAB VI. Strategi Penerapan Manajemen Kerentanan pada Organisasi
    • Strategi Penerapan Manajemen Kerentanan pada Organisasi
    • A. Tahap Identifikasi
    • B. Tahap Prioritisasi
    • C. Tahap Penanganan
    • D. Tahap Verifikasi
    • E. Tahap Evaluasi
  • BAB VII. Pengembangan Bakat Terkait Manajemen Kerentanan
    • A. Peta Okupasi
    • B. Kursus/sertifikasi Terkait
    • C. Kode Etik Pegiat Keamanan Siber
  • BAB VIII. Kesimpulan dan Rekomendasi
    • A. Kesimpulan
    • B. Rekomendasi
  • Daftar Pustaka
Powered by GitBook
On this page
  • 1. Level Nasional
  • 2. Level Internasional
  1. BAB VII. Pengembangan Bakat Terkait Manajemen Kerentanan

B. Kursus/sertifikasi Terkait

1. Level Nasional

Berdasarkan Keputusan Kepala BNSP Nomor Kep 1142/BNSP/V/2024, Lembaga Sertifikasi Profesi BSSN menyelenggarakan berbagai skema sertifikasi okupasi di bidang keamanan siber. Skema yang terkait dengan manajemen kerentanan diuraikan dalam Tabel 7.

Tabel 7. Skema sertifikasi LSP BSSN yang terkait dengan Manajemen Kerentanan

1

L1 SOC-Analyst

J.62SOC00.005.1

Melakukan Analisis Keamanan Siber

terhadap Insiden Keamanan Siber untuk Menentukan Kendali

J.62SOC00.006.1

Melakukan Deteksi Kerentanan Aset

Teknologi Informasi (TI)

J.62SOC00.008.1

Melakukan Pemantauan Aset Teknologi Informasi (TI) terhadap Aktivitas Ancaman Siber

J.62SOC00.010.1

Memberikan Tiket terhadap Insiden Keamanan Siber

J.62SOC00.011.1

Menganalisis Log pada Security Operations Center (SOC)

J.62SOC00.018.1

Menganalisis Dampak Insiden Keamanan Siber

2

Junior Penetration Tester

J.62UKS00.005.1

Mengumpulkan Informasi yang diperlukan untuk Pengujian Keamanan Siber

J.62UKS00.006.1

Mencari Kerentanan Sesuai Ruang Lingkup Pengujian Keamanan Siber

J.62UKS00.007.1

Menguji Kerentanan pada Objek Pengujian

J.62UKS00.009.1

Melakukan Kompilasi Temuan Hasil Pengujian Keamanan Siber

J.62UKS00.010.1

Menyusun Laporan Hasil Pengujian Keamanan Siber

3

L2 SOC-Analyst

J.62S0C00.005.1

Melakukan Analisis Keamanan Siber terhadap Insiden Keamanan Siber untuk

Menentukan Kendali

J.62SOC00.006.1

Melakukan Deteksi Kerentanan Aset Teknologi Informasi (TI)

J.62SOC00.007.1

Menganalisis Ancaman/ Anomali Keamanan Siber (Threat intelligence) pada Perimeter Keamanan

J.62SOC00.008.1

Melakukan Pemantauan Aset Teknologi Informasi (TI) terhadap Aktivitas Ancaman Siber

J.62SOC00.011.1

Menganalisis Log pada Security Operations Center (SOC)

J.62SOC00.012.1

Melakukan Pencadangan Data Security Operations Center (SOC)

J.62SOC00.018.1

Menganalisis Dampak Insiden Keamanan Siber

4

L3 SOC-Analyst

J.62SOC00.003.1

Menyusun Prosedur Penanganan Insiden Keamanan Siber

J.62SOC00.007.1

Menganalisis Ancaman/Anomali Keamanan Siber (Threat intelligence) pada Perimeter Keamanan

J.62SOC00.008.1

Melakukan Pemantauan Aset Teknologi

Informasi (TI) terhadap Aktivitas Ancaman Siber

J.62SOC00.014.1

Melakukan Investigasi Modus Operandi Insiden Keamanan Siber

J.62SOC00.015.1

Mengidentifikasi Solusi Teknis terhadap Insiden Keamanan Siber yang Terjadi

J.62SOC00.016.1

Mengisolasi Aset Teknologi Informasi (TI) yangTerdampak untuk Menghentikan\ Insiden Keamanan Siber

J.62SOC00.017.1

Melakukan Terminasi Layanan Aset Teknologi Informasi Terdampak (TI) Insiden untuk Perbaikan

J.62SOC00.018.1

Menganalisis Dampak Insiden Keamanan Siber

J.62SOC00.020.1

Membuat Rekomendasi Perbaikan setelah Insiden Keamanan Siber

5

Penetration Tester

J.62UKS00.001.1

Merencanakan Prosedur Uji Keamanan Siber

J.62UKS00.002.1

Menentukan Metode Penilaian Kerentanan

J.62UKS00.005.1

Mengumpulkan Informasi yang diperlukan untuk Pengujian Keamanan Siber

J.62UKS00.006.1

Mencari Kerentanan sesuai Ruang

Lingkup Pengujian Keamanan Siber

J.62UKS00.007.1

Menguji Kerentanan pada Objek Pengujian

J.62UKS00.008.1

Melakukan Kegiatan setelah Eksploitasi

berdasarkan Ruang Lingkup Pengujian

Keamanan Siber

J.62UKS00.009.1

Melakukan Kompilasi Temuan Hasil Pengujian Keamanan Siber

J.62UKS00.010.1

Menyusun Laporan Hasil Pengujian Keamanan Siber

6

Senior Penetration Tester

J.62UKS00.001.1

Merencanakan Prosedur Uji Keamanan

Siber

J.62UKS00.002.1

Menentukan Metode Penilaian Kerentanan

J.62UKS00.003.1

Menentukan Ruang Lingkup Pengujian Keamanan Siber

J.62UKS00.004.1

Menentukan Tim Penguji Keamanan Siber

J.62UKS00.005.1

Mengumpulkan Informasi yang diperlukan untuk Pengujian Keamanan Siber

J.62K500.006.1

Mencari Kerentanan Sesuai Ruang Lingkup Pengujian Keamanan Siber

J.62UKS00.007.1

Menguji Kerentanan pada Objek Pengujian

J.62UKS00.008.1

Melakukan kegiatan setelah Eksploitasi berdasarkan Ruang Lingkup Pengujian Keamanan Siber

J.62UKS00.009.1

Melakukan Kompilasi Temuan Hasil Pengujian Keamanan Siber

J.62UKS00.010.1

Menyusun Laporan Hasil Pengujian Keamanan Siber

7

Incident Response Analyst

J.62SOC00.012.1

Melakukan Pencadangan Data Security

Operations Center (SOC)

J.62SOC00.013.1

Mengkomunikasikan Penanganan Insiden

Keamanan Siber dan Manajemen Krisis

J.62SOC00.014.1

Melakukan investigasi Modus Operandi Insiden Keamanan Siber

J.62SOC00.015.1

Mengidentifikasi Solusi Teknis terhadap Insiden Keamanan Siber yang Terjadi

J.62SOC00.016.1

Mengisolasi Aset Teknologi Informasi (TI)

yang Terdampak untuk Menghentikan Insiden Keamanan Siber

J.62SOC00.017.1

Melakukan Terminasi Layanan Aset Teknologi Informasi (TI) Terdampak Insiden untuk Perbaikan

J.62SOC00.018.1

Menganalisis Dampak Insiden Keamanan Siber

J.62SOC00.020.1

Membuat Rekomendasi Perbaikan setelah Insiden Keamanan Siber

2. Level Internasional

Penyelenggara sertifikasi yang terkait dengan manajemen kerentanan mencakup berbagai organisasi terkemuka di bidang keamanan siber. Offensive Security dikenal dengan pendekatan praktis dalam uji penetrasi dan eksploitasi kerentanan, sementara EC-Council menawarkan beragam sertifikasi seperti CEH, CPENT, dan CTIA yang fokus pada keamanan jaringan, intelijen ancaman, dan penanganan insiden. (ISC)² menyediakan sertifikasi CISSP dan CCSP, yang menekankan pada keamanan informasi dan cloud. CompTIA menawarkan Security+, sebuah sertifikasi entry-level yang mencakup dasar-dasar keamanan. GIAC (Global Information Assurance Certification) berfokus pada evaluasi kerentanan perusahaan dan penggunaan alat keamanan tingkat lanjut, sementara CREST menyediakan sertifikasi uji penetrasi untuk aplikasi dan infrastruktur. Mile2 menawarkan CVA dan CEVA untuk penilaian kerentanan, dan ISACA menyediakan CISA serta CISM, yang mencakup audit dan manajemen keamanan informasi. PECB mendukung sertifikasi ISO terkait manajemen risiko, menambahkan dimensi tata kelola dan kepatuhan. Tabel 8 menyajikan sertifikasi internasional yang terkait langsung dengan manajemen kerentanan.

Tabel 8. Sertifikasi Internasional terkait dengan Manajemen Kerentanan

No.

Nama Sertifikasi

Deskripsi

Vendor/Penyedia

1

Offensive Security Certified Professional (OSCP)

Sertifikasi yang menguji kemampuan melakukan uji penetrasi dalam lingkungan yang terkendali, fokus pada penggunaan metode dan eksploitasi manual.

Offensive Security

2

Certified Penetration Testing Professional (CPENT)

Sertifikasi yang menilai keterampilan uji penetrasi lanjutan dalam lingkungan peretasan dunia nyata, termasuk jaringan yang rumit dan target hybrid.

EC-Council

3

Certified Information Systems Security Professional (CISSP)

Sertifikasi keamanan informasi untuk profesional yang berpengalaman dalam desain, pengelolaan, dan pemeliharaan arsitektur keamanan informasi.

(ISC)²

4

EC-Council Certified Incident Handler (ECIH)

Sertifikasi yang fokus pada pengelolaan insiden keamanan siber, dengan keterampilan mengidentifikasi, menanggapi, dan memitigasi serangan siber.

EC-Council

5

Certified Ethical Hacker (CEH)

Sertifikasi yang mengajarkan metode peretasan etis untuk mengidentifikasi kerentanan keamanan dalam sistem, termasuk teknik uji penetrasi.

EC-Council

6

CompTIA Security+

Sertifikasi entry-level yang menilai dasar-dasar keamanan siber, seperti manajemen risiko, kriptografi, dan keamanan jaringan.

CompTIA

7

Certified Threat intelligence Analyst (CTIA)

Sertifikasi yang membekali profesional dengan keterampilan untuk menganalisis, menafsirkan, dan merespons ancaman berbasis intelijen.

EC-Council

8

GIAC Certified Vulnerability Assessor (GCVA)

Sertifikasi yang mengukur keterampilan dalam mengidentifikasi dan menilai kerentanan dalam sistem dan jaringan, menggunakan berbagai alat keamanan.

GIAC

9

CREST Certified Tester - Application (CCT APP)

Sertifikasi yang memvalidasi keahlian dalam uji penetrasi aplikasi, termasuk aplikasi web, mobile, dan infrastruktur yang mendukungnya.

CREST

10

CREST Certified Tester - Infrastructure (CCT INF)

Sertifikasi yang menguji keterampilan melakukan uji penetrasi pada infrastruktur TI, termasuk jaringan dan sistem operasi.

CREST

11

Certified Vulnerability Assessor (CVA)

Sertifikasi yang berfokus pada kemampuan untuk mengidentifikasi, menganalisis, dan mengelola kerentanan dalam infrastruktur jaringan dan aplikasi.

Mile2

12

Certified Expert Vulnerability Assessor (CEVA)

Sertifikasi lanjutan yang mendalami keterampilan dalam mengelola dan memitigasi kerentanan, serta menilai risiko keamanan dengan lebih mendalam.

Mile2

13

Certified Information Systems Auditor (CISA)

Sertifikasi yang mencakup manajemen keamanan informasi, termasuk audit, pengendalian, dan pemantauan sistem IT untuk mendeteksi dan memperbaiki kerentanan.

ISACA

14

GIAC Certified Enterprise Vulnerability Assessor (GEVA)

Sertifikasi yang menguji keterampilan dalam mengelola kerentanan di lingkungan perusahaan besar, dengan fokus pada penilaian sistem yang kompleks dan beragam.

GIAC

15

Offensive Security Web Expert (OSWE)

Sertifikasi yang menguji kemampuan untuk menemukan dan mengeksploitasi kerentanan pada aplikasi web, dengan pendekatan manual.

Offensive Security

16

ISO/IEC 27005 Risk Manager

Sertifikasi yang fokus pada manajemen risiko keamanan informasi, termasuk identifikasi dan mitigasi kerentanan sebagai bagian dari proses manajemen risiko.

PECB

17

Certified Information Security Manager (CISM)

Sertifikasi yang berfokus pada pengelolaan program keamanan informasi, termasuk mitigasi kerentanan dan pengelolaan risiko.

ISACA

18

Certified Cloud Security Professional (CCSP)

Sertifikasi yang mencakup keamanan di lingkungan cloud, termasuk identifikasi dan mitigasi kerentanan cloud computing.

(ISC)²

Berdasarkan Standar Kompetensi Nasional dan Sertifikasi Level Internasional, terdapat pembagian kebutuhan kompetensi yang disesuaikan dengan langkah-langkah manajemen kerentanan. Tabel 9 menunjukkan beberapa contoh pembagian kompetensi sesuai dengan tahapan dalam manajemen kerentanan yang dibuat

Tabel 9. Pembagian kompetensi pada tiap tahapan

No

Langkah Manajemen Kerentanan

Sertifikasi Terkait

Standar Kompetensi Nasional

Standar Sertifikasi Level Internasional

1

Tahap Identifikasi

- L1 SOC-Analyst

- Asisten Auditor Keamanan Informasi

- Junior Penetration Tester

- Incident Response Analyst

- CEH

- OSCP

- CPENT

- ECIH

- CompTIA Security+

- CTIA

- GCVA

- CCT APP

- CCT INF

- CEVA

- GEVA

- OSWE

- CCSP

- ISO 27001 Lead Implementer

2

Tahap Prioritisasi

- Asisten Auditor Keamanan Informasi/Auditor Keamanan Informasi

- L2 SOC-Analyst/L3 SOC-Analyst

- CISSP

- CISA

- ISO/IEC 27005 Risk Manager

- ISO 27001 Lead Implementer

- ISO 27001 Lead Auditor

- CompTIA Security+

- CVA

- CISM

3

Tahap Penanganan

- Incident Response Analyst

- L2 SOC-Analyst/L3 SOC-Analyst

- Junior Penetration Tester

- Penetration Tester/Senior Penetration Tester

- Asisten Auditor Keamanan Informasi/Auditor Keamanan Informasi

- CEH

- OSCP

- CPENT

- ECIH

- CompTIA Security+

- CTIA

- GCVA

- CCT APP

- CCT INF

- CEVA

- GEVA

- OSWE

- CCSP

- ISO 27001 Lead Implementer

- CISA

- ISO/IEC 27005 Risk Manager

- ISO 27001 Lead Implementer

- ISO 27001 Lead Auditor

- CVA

- CISM

- CISSP

5

Tahap Verifikasi

- L1 SOC-Analyst

- Asisten Auditor Keamanan Informasi

- Junior Penetration Tester

- Incident Response Analyst

- CEH

- CPENT

- CompTIA Security+

- GCVA

- CCT APP

- CCT INF

- CEVA

- GEVA

- OSWE

- CCSP

- ISO 27001 Lead Implementer

- CVA

- CISM

6

Tahap Evaluasi

- L3 SOC-Analyst

- Auditor Keamanan Informasi

- Senior Penetration Tester

- OSCP

- ISO 27001 Lead Auditor

- CPENT

- CISSP

- CEVA

- CISA

PreviousA. Peta OkupasiNextC. Kode Etik Pegiat Keamanan Siber

Last updated 3 months ago