Selasa, 22 Januari 2013

Sertifikasi Profesional TI : CISA dan CISM

(catatan : diposting dari blog di tahun 2010, update mengenai audit sertifikasi di tahun 2013)

Teknologi Informasi (TI) berkembang dengan sangat pesat. Di hampir semua aspek kehidupan manusia, TI melibatkan dirinya. Terlebih lagi di era informasi saat ini, di mana situs jaringan sosial seperti facebook, friendster, twitter atau fasilitas chatting dapat diakses di mana saja kapan saja...
Para pekerja di bidang TI juga semakin banyak. Berbagai sekolah, jurusan, program studi atau kursus didirikan untuk menyiapkan tenaga kerja yang akan mendukung pengembangan TI. Masing-masing lembaga pendidikan atau tempat kursus menyediakan program atau kurikulum yang beragam yang disesuaikan dengan kebutuhan pasar dan perkembangan TI...
Dengan telah banyaknya pekerja, ahli atau pakar di bidang komputer, beberapa orang bertanya apakah yang dapat menjadi pembeda keahlian seseorang dengan orang lain di bidang TI ... Nah salah satu alternatifnya adalah sertifikasi profesional di bidang TI ...

Perlu tidak sertifikasi ? Pertanyaan ini, sebagaimana pertanyaan-pertanyaan lain, pasti menimbulkan perdebatan, pro dan kontra. Kompetensi seseorang memang tidak hanya bisa / boleh dilihat dari sertifikasi yang dimiliki. Banyak pakar handal di bidang TI yang tidak memiliki sertifikasi seperti di sebutkan di atas namun memiliki kompetensi yang melebihi orang yang memiliki sertifikasi. Belum lagi biaya ujian dan administrasi yang mahal.

Saya sendiri berpendapat bahwa sertifikasi ini diperlukan.
Beberapa manfaat sertifikasi profesional TI internasional yang bisa didapatkan antara lain :
  • kesempatan untuk bekerja di mana saja di dunia karena sertifikasi ini diakui secara internasional
  • kesamaan 'bahasa' dalam membahas atau menganalisa suatu topik karena pemegang sertifikasi telah mempelajari pengetahuan di area yang sama
  • keharusan untuk terus mengupdate pengetahuan terbaru
  • menaikkan kompetensi dan citra perusahaan yang memiliki pegawai bersertifikat

Jika kita baca berbagai artikel ilmiah, buku maupun seminar, maka banyak yang mencantumkan gelar ini setelah namanya, bukan gelar akademisnya. Contoh :
  • ITGI Board of Trustee : William C. Boni, CISM, Motorola, USA, Vice President
  • IT Governance Committee : John W. Lainhart IV, CISA, CISM, IBM, USA
  • Seminar Roadmap to ISO 27001 Certification, pembicara Dwi Kurniawan, CISA, CISM
Banyak juga yang menyandingkan sertifikasi ini dengan gelar S3 (apa berarti setara dengan S3 ya ..he..he..). Contoh :

  • IT Governance presentation by Michael Schirmbrand, Ph.D., CISA, KPMG LLP, Austria
  • Seminar dan pameran Sistem Informasi yang dimoderatori oleh Yudho Giri Sucahyo Ph.D, CISA dari Universitas Indonesia
Jadi bagi perusahaan yang berkecimpung di bidang TI atau perusahaan yang memerlukan dukungan TI yang cukup besar, daripada mengirimkan pegawai TInya ke berbagai traning yang kurang terfokus, menurut saya lebih baik diarahkan untuk memperoleh sertifikasi internasional. Juga bagi perorangan yang ingin memperoleh pengakuan kompetensi profesional di bidang TI bertaraf internasional, sertifikasi ini bisa menjadi salah satu pilihan ...
Yang akan saya bahas di blog ini, adalah contoh dari sertifikasi profesionalisme di bidang TI yang berskala internasional, khususnya CISA dan CISM, yang kebetulan telah saya peroleh sejak tahun 2005...

CISA




CISA (Certified Information Systems Auditor) adalah sertifikasi profesional TI yang menunjukkan bahwa seseorang telah memenuhi standar kompetensi TI tertentu, khususnya di bidang audit, kontrol dan pengamanan TI (security). CISA dikeluarkan oleh ISACA, sebuah asosiasi yang berkedudukan di Amerika yang beranggotakan puluhan ribu profesional TI di seluruh dunia. ISACA dikenal juga sebagai asosiasi yang menerbitkan COBIT (Control Objectives for Information and related Technology).
Sampai dengan tahun 2010 terdapat lebih dari 70 ribu pemegang sertifikasi CISA di seluruh dunia. Sedangkan di Indonesia kira-kira terdapat sekitar 100 pemegang sertifikasi CISA.
Sertifikasi CISA ini (dan CISM) termasuk salah satu sertifikasi yang diakui oleh Departemen Pertahanan Amerika dan terpilih sebagai "Best Professional Certification" di beberapa majalah TI.
Seseorang dapat memperoleh sertifikasi CISA apabila memenuhi 5 persyaratan, yaitu :
1. Lulus ujian tertulis CISA
2. Memiliki pengalaman di bidang audit, kontrol dan pengamanan TI
3. Mematuhi kode etik profesional
4. Mematuhi persyaratan pendidikan profesional yang berkelanjutan
5. Mematuhi standar audit sistem informasi

Persyaratan pertama untuk dapat memperoleh sertifikasi CISA adalah lulus ujian tertulis. Ujian ini dilaksanakan 2 kali setahun pada bulan Juni dan Desember, dilaksanakan di seluruh dunia termasuk di Indonesia. Ujian dilaksanakan dalam beberapa bahasa, namun untuk di Indonesia sampai saat ini masih menggunakan bahasa Inggris. Soalnya terdiri dari 200 pertanyaan pilihan ganda yang harus diselesaikan dalam waktu 4 jam. Bagi yang pernah mengikuti tes TOEFL, situasi mirip-mirip, tapi tanpa listening dan writing.
Ada 5 area (domain) yang diujikan (beserta prosentase soalnya terhadap total soal), yaitu :
• The IS Audit Process (10%)
• IT Governance (15%)
• Systems and Infrastructure Life Cycle Management (16%)
• IT Service Delivery and Support (14%)
• Protection of Information Assets (31%)
• Business Continuity and Disaster Recovery (14%)

Tips dalam mengikuti ujian CISA :
  • Bacalah buku CISA manual terbaru, minimal diulang 2-3 kali
  • Pelajari ratusan latihan-latihan soal CISA, minimal diulang 2-3 kali. Latihan ini selain untuk menghapal pertanyaan yang bersifat teknis, juga untuk mendapatkan feeling kerangka berpikir dari soal-soal CISA terutama untuk soal-soal yang tidak bersifat teknis.
  • Ikuti training CISA, bila perlu, agar bisa berdiskusi dengan para pengajar untuk mendalami materi yang kurang kita kuasai sekaligus minta tips-tips pengerjaan soal
  • Karena banyak soal yang meminta kita memilih jawaban yang paling benar di antara jawaban yang benar ('which is best answer'), maka kita harus teliti apakah pilihan jawaban kurang, mencukupi (jawaban yang paling tepat) atau berlebihan (kelihatannya jawaban yang paling panjang dan lengkap, namun ternyata malah salah karena ada satu kata yang bukan bagian / tanggung jawab dari ruang lingkup area yang ditanyakan)

Setelah lulus ujian CISA, kita harus memenuhi persyaratan kedua, mengisi formulir aplikasi setifikasi CISA. Di formulir tersebut kita harus menunjukkan bahwa kita memenuhi persyaratan pengalaman 5 tahun di bidang audit, kontrol dan pengamanan TI. Pengalaman ini sebagian dapat diganti / substitusi dengan beberapa cara :
  • pengalaman di bidang sistem informasi atau audit finansial/operasional dapat menggantikan 1 tahun dari persyaratan pengalaman di atas
  • perkuliahan yang telah diikuti dapat menggantikan 1 atau 2 tahun dari persyaratan pengalaman di atas
  • gelar kesarjanaan dari sekolah yang menggunakan kurikulum yang sesuai dengan model ISACA dapat menggantikan 1 atau 2 tahun dari persyaratan pengalaman di atas
  • pengalaman 2 tahun sebagai instruktur di bidang terkait dapat menggantikan 1 atau 2 tahun dari persyaratan pengalaman di atas
Semua pengalaman di atas harus diperoleh / dilakukan dalam waktu 10 tahun sebelum sertifikasi atau 5 tahun setelah lulus ujian.
Jadi bagi yang telah lulus ujian CISA, apabila masih belum memenuhi persyaratan pengalaman di atas, masih diberi waktu 5 tahun untuk memenuhinya. Setelah lewat 5 tahun bila pengalamam belum dipenuhi, maka orang tersebut harus mengikuti ujian CISA lagi.

Persyaratan ketiga, mematuhi kode etik profesional, dipenuhi pada tahap awal dengan memberikan persetujuan pada formulir aplikasi bahwa kita berjanji akan memenuhi kode etik profesional yang ditetapkan ISACA.
Persyaratan keempat, mematuhi persyaratan pendidikan profesional yang berkelanjutan, berlaku untuk perpanjangan sertifikasi setiap tahunnya. Pemegang sertifikasi harus memenuhi minimum 20 jam kontak CPE (Continuing Professional Education) setiap tahunnya dan harus memenuhi minimum 120 jam kontak CPE dalam 3 tahun. Contoh CPE adalah mengikuti training atau seminar, mengajar atau menjadi pembicara seminar, menulis artikel/buku, atau bahkan self study.
Persyaratan kelima, mematuhi standar audit sistem informasi, berlaku umum.
Jadi sebenarnya persyaratan untuk memperoleh sertifikasi CISA adalah lulus ujian dan memiliki pengalaman yang dipersyaratkan yang diisikan ke dalam form aplikasi. Persyaratan lainnya berlaku untuk kedepan dalam rangka mempertahankan sertifikasi.
Kendala yang kita hadapi dalam mendapatkan sertifikasi CISA adalah antara lain masalah biaya : Biaya ujian adalah US$545 (untuk ujian bulan Juni 2010). Bila online (credit card) maka didiskon menjadi $495. Biaya pemeliharaan sertifikasi $80 setiap tahunnya. Bila kita mendaftar menjadi anggota ISACA maka akan mendapat diskon biaya ujian maupun biaya pemeliharaan sertifikasi, serta dapat mendownload artikel terbitan ISACA secara gratis. Tapi untuk menjadi anggota ISACA kita harus membayar iuran juga $130 pertahun plus diharuskan menjadi anggota ISACA Indonesia Chapter dengan biaya $45.

Board of Director ISACA Indonesia Chapter yang dipimpin oleh Surdiyanto Suryodarmodjo beserta beberapa direktur lainnya seperti Isnaeni Achdiat dan Aris Budiman Hartono aktif mempromosikan dan mendukung sertifikasi CISA/CISM/CGEIT di Indonesia, termasuk koordinasi pelaksanaan trainingnya.

Kendala lain adalah soal ujian dalam bahasa Inggris, sehingga kita yang berbahasa Indonesia perlu waktu tambahan untuk 'mengerti' arti soalnya sebelum kemudian mencari jawabannya.

Informasi lengkap dapat dilihat di homepage ISACA http://www.isaca.org/


CISM


CISM (Certified Information Security Manager) adalah sertifikasi profesional TI yang menunjukkan bahwa seseorang telah memenuhi standar kompetensi di bidang pengamanan TI (security) termasuk memiliki pengalaman dalam mengelola, merancang, mengawasi dan menilai pengamanan TI dari suatu perusahaan.

Ada 5 area (domain) yang diujikan (beserta prosentase soalnya terhadap total soal), yaitu :
1. Information security governance (23 %)
2. Information risk management (22 %)
3. Information security program development (17 %)
4. Information security program management (24 %)
5. Incident management and response (14 %)

Jumlah soalnya sama dengan CISA yaitu 200 soal.
Persyaratan untuk mendapatkan sertifikasi juga sama dengan CISA, perbedaannya pada pengalaman 5 tahun yang harus di bidang pengamanan TI.

Untuk informasi lengkap dan terkini silahkan klik di : http://www.isaca.org pilih menu certification.

Sertifikasi Lainnya
Masih banyak sertifikasi profesional TI lainnya seperti CEH (Certified Ethical Hacker) yang cukup populer di Indonesia, CISSP (Certified Information Systems Security Professional), EDRP (EC-Council Disaster Recovery Professional), CGEIT (Certified in the Governance of Enterprise IT) yang juga dikeluarkan oleh ISACA untuk sertifikasi di bidang IT Governance.
Selain itu beberapa vendor TI juga menawarkan sertifikasi untuk keahlian dalam menggunakan / menangani produknya seperti CISCO (CCNA-Cisco Certified Network Associate, CCNP-Cisco Certified Network Professional, CCIE-Cisco Certified Internetwork Expert), Microsoft (MCP-Microsoft Certified Professional), Oracle (OCA -Oracle Certified Associate, OCP - Oracle Certified Professional, OCM - Oracle Certified Master) dll.

Bagaimana dengan sertifikasi lokal ? Betul, sertifikasi kompetensi TI nasional telah lama dibahas baik oleh akademisi, seperti pakar TI Budi Rahardjo dari ITB, diproses berupa penyusunan Sertifikat Profesi Telematika Nasional oleh Badan Nasional Sertifikasi Profesi Republik Indonesia (BNSP RI) maupun dengan pembentukan lembaga seperti Lembaga Sertifikasi Profesi Telematika yang diusung oleh berbagai asosiasi TI untuk menerapkan Standar Kompetensi Kerja Nasional Indonesia (SKKNI). Sertifikasi lokal tentunya lebih murah, dalam bahasa Indonesia dan sesuai dengan kondisi di Indonesia. Namun sambil mendukung pengembangan sertifikasi lokal ini, hemat saya patut saja bila kita mengikuti sertifikasi internasional...

Update Oktober 2013 : Audit Sertifikasi
Bagi yang telah memiliki sertifikasi dari ISACA (CISA, CISM, CGEIT, CRISC), secara acak ISACA melakukan audit terkait pemenuhan CPE hours, yaitu jumlah minimal jam dari kegiatan-kegiatan yang terkait dengan kompetensi di bidang sertifikasi tersebut. Bagi yang terkena / terpilih audit, maka ybs harus mengirimkan bukti CPE. Bila tidak mengirimkan bukti, atau buktinya dinilai tidak memenuhi persyaratan maka sertifikasi dapat dicabut.
Saya terkena / terpilih untuk mengikuti audit tersebut pada tahun 2013. Pengalaman tersebut dapat dilihat di artikel blog : Audit terhadap pemegang sertifikasi ISACA ( CISA, CISM, CGEIT, CRISC )

9 komentar:

  1. Mas, kalo mau belii bukunya dimana ya Mas?
    CISA manual terbaru 2013, aku coba cari gak ketemu. Atau ada referensinya gt Mas. Mohon bantuannya ya Mas.

    Salam Kenal,

    BalasHapus
    Balasan
    1. Salam kenal juga. Kalau mau beli bukunya tentu yang resmi ada di webnya ISACA www.isaca.org atau bisa juga beli di amazon. Ada CISA Review Manual 2013; CISA Review Questions, Answers & Explanations Manual 2013; CISA Review Questions, Answers & Explanations Manual 2013 Supplement dan CISA Practice Question Database v13 (CD-ROM).
      Maaf saya juga tidak punya buku2 tersebut.
      Mungkin bisa juga dihubungi para anggota ISACA Chapter Indonesia di :
      ISACA Indonesia Chapter, Wisma GKBI 35 Floor, Jl. Jend Sudirman 28, Jakarta 10210, Indonesia
      Phone: +62.21.574.2333/574.2888
      Fax: +62.21.574.1777/574.2777
      Email: Iwan Atmawidjaja

      Salam.

      Hapus
  2. Terima kasih atas infonya..
    Kalau pesan buku2 di ISACA atau Amazon.com perlu waktu lebih dari seminggu baru sampai ke Indonesia. Apakah ada toko buku ISACA di kantor Isaca Chapter Indonesia tersebut..?

    Kadang kita perlu beli buku2 tsb dengan segera.. krn tuntutan pekerjaan misalnya..

    Ok,

    salam,

    Rendra Trisyanto surya
    Rendratrsi2013@Gmail.com
    www.kompasiana.com/rendratris

    BalasHapus
  3. Salam kenal Pak…….membaca informasi yang Bapak berikan, jujur saya yang sekarang ini seorang SALES & MARKETING untuk IT SOLUTION sangat tertarik Pak…..bisa saya menghubungi Bapak langsung….email saya emir.a.saleh@gmail.com. Terima kasih.

    BalasHapus
  4. Informasi yang menarik, ijin share Pak Dwi Kurniawan.

    BalasHapus
  5. Hallo Pak salam kenal saya dengan rachmat, apakah bapak juga mengajar materi CISA kalo untuk menghubungi bapak bisa di info no hp bapak.

    Terimakasih

    BalasHapus
  6. mas punya sertifikat untuk cobit 5 ? bisa mintak kontaknya mas ?

    BalasHapus
  7. pak disini juga ada tentang Cobit 5,CGEIT dan lain sebagainya..https://itgid.org/cgeit-exam-professional/ atau https://itgid.org/

    BalasHapus
  8. Tahun baru telah menanti kita semua, menjelang akhir tahun kami S1288poker akan membagikan Free chips untuk anda semua member setia S1288poker. Mau chips gratis? dan hadian nya?
    Mari bergabung sekarang juga hanya DI S1288poker

    untuk info lebih lanjut silakan hubungi kontak CS S1288poker di bawah ini
    BBM - 7AC8D76B
    WA - 08122221680
    LINE : S1288_POKER

    Salam JP
    by S1288poker.

    BalasHapus