(catatan : diposting dari blog di tahun 2010, update mengenai audit sertifikasi di tahun 2013)
Teknologi Informasi (TI) berkembang dengan sangat pesat. Di hampir semua aspek
kehidupan manusia, TI melibatkan dirinya. Terlebih lagi di era informasi saat
ini, di mana situs jaringan sosial seperti facebook, friendster, twitter atau
fasilitas chatting dapat diakses di mana saja kapan saja...
Para pekerja di
bidang TI juga semakin banyak. Berbagai sekolah, jurusan, program studi atau
kursus didirikan untuk menyiapkan tenaga kerja yang akan mendukung pengembangan
TI. Masing-masing lembaga pendidikan atau tempat kursus menyediakan program atau
kurikulum yang beragam yang disesuaikan dengan kebutuhan pasar dan perkembangan
TI...
Dengan telah banyaknya pekerja, ahli atau pakar di bidang komputer,
beberapa orang bertanya apakah yang dapat menjadi pembeda keahlian seseorang
dengan orang lain di bidang TI ... Nah salah satu alternatifnya adalah
sertifikasi profesional di bidang TI ...
Perlu tidak sertifikasi ?
Pertanyaan ini, sebagaimana pertanyaan-pertanyaan lain, pasti menimbulkan
perdebatan, pro dan kontra. Kompetensi seseorang memang tidak hanya bisa / boleh
dilihat dari sertifikasi yang dimiliki. Banyak pakar handal di bidang TI yang
tidak memiliki sertifikasi seperti di sebutkan di atas namun memiliki kompetensi
yang melebihi orang yang memiliki sertifikasi. Belum lagi biaya ujian dan
administrasi yang mahal.
Saya sendiri berpendapat bahwa sertifikasi ini
diperlukan.
Beberapa manfaat sertifikasi profesional TI internasional yang
bisa didapatkan antara lain :
- kesempatan untuk bekerja di mana saja di dunia karena sertifikasi ini diakui
secara internasional
- kesamaan 'bahasa' dalam membahas atau menganalisa suatu topik karena
pemegang sertifikasi telah mempelajari pengetahuan di area yang sama
- keharusan untuk terus mengupdate pengetahuan terbaru
- menaikkan kompetensi dan citra perusahaan yang memiliki pegawai
bersertifikat
Jika kita baca berbagai artikel ilmiah, buku maupun seminar, maka banyak yang
mencantumkan gelar ini setelah namanya, bukan gelar akademisnya. Contoh :
- ITGI Board of Trustee : William C. Boni, CISM, Motorola,
USA, Vice President
- IT Governance Committee : John W. Lainhart IV, CISA,
CISM, IBM, USA
- Seminar Roadmap to ISO 27001 Certification, pembicara Dwi Kurniawan,
CISA, CISM
Banyak juga yang menyandingkan sertifikasi ini dengan gelar S3 (apa berarti
setara dengan S3 ya ..he..he..). Contoh :
- IT Governance presentation by Michael Schirmbrand, Ph.D.,
CISA, KPMG LLP, Austria
- Seminar dan pameran Sistem Informasi yang dimoderatori oleh Yudho Giri
Sucahyo Ph.D, CISA dari Universitas Indonesia
Jadi bagi perusahaan yang berkecimpung di bidang TI atau perusahaan yang
memerlukan dukungan TI yang cukup besar, daripada mengirimkan pegawai TInya ke
berbagai traning yang kurang terfokus, menurut saya lebih baik diarahkan untuk
memperoleh sertifikasi internasional. Juga bagi perorangan yang ingin memperoleh
pengakuan kompetensi profesional di bidang TI bertaraf internasional,
sertifikasi ini bisa menjadi salah satu pilihan ...
Yang akan saya bahas di blog ini, adalah contoh dari sertifikasi
profesionalisme di bidang TI yang berskala internasional, khususnya CISA dan
CISM, yang kebetulan telah saya peroleh sejak tahun
2005...
CISA
CISA (Certified Information Systems
Auditor) adalah sertifikasi profesional TI yang menunjukkan bahwa seseorang
telah memenuhi standar kompetensi TI tertentu, khususnya di bidang audit,
kontrol dan pengamanan TI (security). CISA dikeluarkan oleh ISACA, sebuah
asosiasi yang berkedudukan di Amerika yang beranggotakan puluhan ribu
profesional TI di seluruh dunia. ISACA dikenal juga sebagai asosiasi yang
menerbitkan COBIT (Control Objectives for Information and related
Technology).
Sampai dengan tahun 2010 terdapat lebih dari 70 ribu pemegang
sertifikasi CISA di seluruh dunia. Sedangkan di Indonesia kira-kira terdapat
sekitar 100 pemegang sertifikasi CISA.
Sertifikasi CISA ini (dan CISM)
termasuk salah satu sertifikasi yang diakui oleh Departemen Pertahanan Amerika
dan terpilih sebagai "Best Professional Certification" di beberapa majalah
TI.
Seseorang dapat memperoleh sertifikasi CISA apabila memenuhi 5
persyaratan, yaitu :
1. Lulus ujian tertulis CISA
2. Memiliki pengalaman
di bidang audit, kontrol dan pengamanan TI
3. Mematuhi kode etik
profesional
4. Mematuhi persyaratan pendidikan profesional yang
berkelanjutan
5. Mematuhi standar audit sistem informasi
Persyaratan
pertama untuk dapat memperoleh sertifikasi CISA adalah lulus ujian tertulis.
Ujian ini dilaksanakan 2 kali setahun pada bulan Juni dan Desember, dilaksanakan
di seluruh dunia termasuk di Indonesia. Ujian dilaksanakan dalam beberapa
bahasa, namun untuk di Indonesia sampai saat ini masih menggunakan bahasa
Inggris. Soalnya terdiri dari 200 pertanyaan pilihan ganda yang harus
diselesaikan dalam waktu 4 jam. Bagi yang pernah mengikuti tes TOEFL, situasi
mirip-mirip, tapi tanpa listening dan writing.
Ada 5 area (domain) yang
diujikan (beserta prosentase soalnya terhadap total soal), yaitu :
• The IS
Audit Process (10%)
• IT Governance (15%)
• Systems and Infrastructure
Life Cycle Management (16%)
• IT Service Delivery and Support (14%)
•
Protection of Information Assets (31%)
• Business Continuity and Disaster
Recovery (14%)
Tips dalam mengikuti ujian CISA :
- Bacalah buku CISA manual terbaru, minimal diulang 2-3 kali
- Pelajari ratusan latihan-latihan soal CISA, minimal diulang 2-3 kali.
Latihan ini selain untuk menghapal pertanyaan yang bersifat teknis, juga untuk
mendapatkan feeling kerangka berpikir dari soal-soal CISA terutama
untuk soal-soal yang tidak bersifat teknis.
- Ikuti training CISA, bila perlu, agar bisa berdiskusi dengan para pengajar
untuk mendalami materi yang kurang kita kuasai sekaligus minta tips-tips
pengerjaan soal
- Karena banyak soal yang meminta kita memilih jawaban yang paling benar di
antara jawaban yang benar ('which is best answer'), maka kita harus teliti
apakah pilihan jawaban kurang, mencukupi (jawaban yang paling tepat) atau
berlebihan (kelihatannya jawaban yang paling panjang dan lengkap, namun ternyata
malah salah karena ada satu kata yang bukan bagian / tanggung jawab dari ruang
lingkup area yang ditanyakan)
Setelah lulus ujian CISA, kita harus
memenuhi persyaratan kedua, mengisi formulir aplikasi setifikasi CISA. Di
formulir tersebut kita harus menunjukkan bahwa kita memenuhi persyaratan
pengalaman 5 tahun di bidang audit, kontrol dan pengamanan TI. Pengalaman ini
sebagian dapat diganti / substitusi dengan beberapa cara :
- pengalaman di bidang sistem informasi atau audit finansial/operasional dapat
menggantikan 1 tahun dari persyaratan pengalaman di atas
- perkuliahan yang telah diikuti dapat menggantikan 1 atau 2 tahun dari
persyaratan pengalaman di atas
- gelar kesarjanaan dari sekolah yang menggunakan kurikulum yang sesuai dengan
model ISACA dapat menggantikan 1 atau 2 tahun dari persyaratan pengalaman di
atas
- pengalaman 2 tahun sebagai instruktur di bidang terkait dapat menggantikan 1
atau 2 tahun dari persyaratan pengalaman di atas
Semua pengalaman di
atas harus diperoleh / dilakukan dalam waktu 10 tahun sebelum sertifikasi atau 5
tahun setelah lulus ujian.
Jadi bagi yang telah lulus ujian CISA, apabila
masih belum memenuhi persyaratan pengalaman di atas, masih diberi waktu 5 tahun
untuk memenuhinya. Setelah lewat 5 tahun bila pengalamam belum dipenuhi, maka
orang tersebut harus mengikuti ujian CISA lagi.
Persyaratan ketiga,
mematuhi kode etik profesional, dipenuhi pada tahap awal dengan memberikan
persetujuan pada formulir aplikasi bahwa kita berjanji akan memenuhi kode etik
profesional yang ditetapkan ISACA.
Persyaratan keempat, mematuhi persyaratan
pendidikan profesional yang berkelanjutan, berlaku untuk perpanjangan
sertifikasi setiap tahunnya. Pemegang sertifikasi harus memenuhi minimum 20 jam
kontak CPE (Continuing Professional Education) setiap tahunnya dan harus memenuhi
minimum 120 jam kontak CPE dalam 3 tahun. Contoh CPE adalah mengikuti training
atau seminar, mengajar atau menjadi pembicara seminar, menulis artikel/buku,
atau bahkan
self study.
Persyaratan kelima, mematuhi standar audit
sistem informasi, berlaku umum.
Jadi sebenarnya persyaratan untuk memperoleh
sertifikasi CISA adalah lulus ujian dan memiliki pengalaman yang dipersyaratkan
yang diisikan ke dalam form aplikasi. Persyaratan lainnya berlaku untuk kedepan
dalam rangka mempertahankan sertifikasi.
Kendala yang kita hadapi dalam
mendapatkan sertifikasi CISA adalah antara lain masalah biaya : Biaya ujian
adalah US$545 (untuk ujian bulan Juni 2010). Bila online (credit card) maka
didiskon menjadi $495. Biaya pemeliharaan sertifikasi $80 setiap tahunnya. Bila
kita mendaftar menjadi anggota ISACA maka akan mendapat diskon biaya ujian
maupun biaya pemeliharaan sertifikasi, serta dapat mendownload artikel terbitan
ISACA secara gratis. Tapi untuk menjadi anggota ISACA kita harus membayar iuran
juga $130 pertahun plus diharuskan menjadi anggota ISACA Indonesia Chapter
dengan biaya $45.
Board of Director ISACA Indonesia Chapter yang dipimpin
oleh Surdiyanto Suryodarmodjo beserta beberapa direktur lainnya seperti Isnaeni
Achdiat dan Aris Budiman Hartono aktif mempromosikan dan mendukung sertifikasi
CISA/CISM/CGEIT di Indonesia, termasuk koordinasi pelaksanaan
trainingnya.
Kendala lain adalah soal ujian dalam bahasa Inggris,
sehingga kita yang berbahasa Indonesia perlu waktu tambahan untuk 'mengerti'
arti soalnya sebelum kemudian mencari jawabannya.
Informasi lengkap dapat
dilihat di homepage ISACA
http://www.isaca.org/
CISM
CISM (Certified Information Security Manager)
adalah sertifikasi profesional TI yang menunjukkan bahwa seseorang telah
memenuhi standar kompetensi di bidang pengamanan TI (security) termasuk memiliki
pengalaman dalam mengelola, merancang, mengawasi dan menilai pengamanan TI dari
suatu perusahaan.
Ada 5 area (domain) yang diujikan (beserta
prosentase soalnya terhadap total soal), yaitu :
1. Information security
governance (23 %)
2. Information risk management (22 %)
3. Information
security program development (17 %)
4. Information security program
management (24 %)
5. Incident management and response (14 %)
Jumlah
soalnya sama dengan CISA yaitu 200 soal.
Persyaratan untuk mendapatkan
sertifikasi juga sama dengan CISA, perbedaannya pada pengalaman 5 tahun yang
harus di bidang pengamanan TI.
Untuk informasi lengkap dan terkini silahkan klik di :
http://www.isaca.org pilih menu
certification.
Sertifikasi
Lainnya
Masih banyak sertifikasi profesional TI lainnya seperti CEH
(Certified Ethical Hacker) yang cukup populer di Indonesia, CISSP (Certified
Information Systems Security Professional), EDRP (EC-Council Disaster Recovery
Professional), CGEIT (Certified in the Governance of Enterprise IT) yang juga
dikeluarkan oleh ISACA untuk sertifikasi di bidang IT Governance.
Selain itu
beberapa vendor TI juga menawarkan sertifikasi untuk keahlian dalam menggunakan
/ menangani produknya seperti CISCO (CCNA-Cisco Certified Network Associate,
CCNP-Cisco Certified Network Professional, CCIE-Cisco Certified Internetwork
Expert), Microsoft (MCP-Microsoft Certified Professional), Oracle (OCA -Oracle
Certified Associate, OCP - Oracle Certified Professional, OCM - Oracle Certified
Master) dll.
Bagaimana dengan sertifikasi lokal ? Betul, sertifikasi
kompetensi TI nasional telah lama dibahas baik oleh akademisi, seperti pakar TI
Budi Rahardjo dari ITB, diproses berupa penyusunan Sertifikat Profesi Telematika
Nasional oleh Badan Nasional Sertifikasi Profesi Republik Indonesia (BNSP RI)
maupun dengan pembentukan lembaga seperti Lembaga Sertifikasi Profesi Telematika
yang diusung oleh berbagai asosiasi TI untuk menerapkan Standar Kompetensi Kerja
Nasional Indonesia (SKKNI). Sertifikasi lokal tentunya lebih murah, dalam bahasa
Indonesia dan sesuai dengan kondisi di Indonesia. Namun sambil mendukung
pengembangan sertifikasi lokal ini, hemat saya patut saja bila kita mengikuti
sertifikasi internasional...
Update Oktober 2013 : Audit Sertifikasi
Bagi yang telah memiliki sertifikasi dari ISACA (CISA, CISM, CGEIT, CRISC), secara acak ISACA melakukan audit terkait pemenuhan CPE hours, yaitu jumlah minimal jam dari kegiatan-kegiatan yang terkait dengan kompetensi di bidang sertifikasi tersebut. Bagi yang terkena / terpilih audit, maka ybs harus mengirimkan bukti CPE. Bila tidak mengirimkan bukti, atau buktinya dinilai tidak memenuhi persyaratan maka sertifikasi dapat dicabut.
Saya terkena / terpilih untuk mengikuti audit tersebut pada tahun 2013. Pengalaman tersebut dapat dilihat di artikel blog : Audit terhadap pemegang sertifikasi ISACA ( CISA, CISM, CGEIT, CRISC )