Nyemplung di Dunia Siber Itu Seru

Cyberthreat.id – Memilih pekerjaan yang berbeda dengan latar belakang pendidikan sebuah tantangan bagi Natasha Amadea.

Sebagai konsultan keamanan siber di perusahaan cybersecurity Horangi Indonesia, ia sama sekali tak memiliki latar belakang pendidikan komputer.

“S1 dan S2 saya mengambil jurusan Teknik Elektro dengan peminatan telekomunikasi, sebenarnya ada mata kuliah yang mirip sama TI, sih, tapi enggak spesifik TI,” kata Natasha saat berbincang dengan Cyberthreat.id, belum lama ini.

Usai lulus sarjana, ia berkarier sebagai data analyst Nielsen. Setahun bekerja, ia memutuskan setop bekerja dan mengambil S2 di bidang yang sama hingga 2016.

Dari situlah, petualangan Natasha di dunia siber dimulai—itu pun berawal dari iseng mengirim lamaran kerja. Ia pun diterima di Ernst & Young Indonesia, perusahaan jasa konsultan asal Inggris, sebagai konsultan keamanan siber pada Februari 2017.

Ia melakoni dunia kerjanya itu hingga 2019. Kini, ia nyemplung ke perusahaan cybersecurity asal Singapura, Horangi.

Ia merasakan bagaiman perjuangan pertama kalinya menggeluti istilah-istilah yang sama sekali asing.

Ia pun memacu diri agar bisa menyesuaikan diri dengan lingkungan kerja. “Di weekend saya belajar, pulang kerja masih belajar, supaya di klien enggak kosong gitu,” ujar dia.

Menurut perempuan 27 tahun ini, bekerja di dunia siber memang menuntut untuk terus-menerus belajar, memperbarui ilmu.

“Hacker kan juga kreatif, mereka kan enggak mungkin pakai alat dan metode sama terus, kita harus mengembangkan diri sendiri juga supaya penanganan kita cepat dan tepat sasaran,” kata Natasha.

Selain itu, ia melanjutkan, “Teknologi kan selalu berkembang, kalau kita enggak belajar terus, ya kita ketinggalan,” kata dia yang belajar dari berbagai sumber, termasuk internet.

Awal kerja bagaimana perjuangan Anda?

Awalnya struggling banget. Istilah-istilah yang menurut orang berlatar TI, itu common, di saya enggak. Jadi harus belajar kejar sendiri. Ada juga proyek yang harus dikerjakan sendiri, akhirnya terpacu harus bisa. Sebenarnya seru juga sih dan untungnya leader-ku juga helpful.

Autodidak dong ya...

Iya. Sebenarnya konsultan perusahaan itu ada report dari engagement sebelumnya, kita bisa tahulah servisnya kayak gimana. Tapi, pas sudah praktiknya memang harus benar-benar sesuai kebutuhan klien. Di situ sih benar-benar belajar sendiri.

Bagaimana menghadapi klien yang beda-beda?

Aku jelaskan dulu servisnya. Jadi, di siber itu terbagi dua servis: technical service dan strategic service (nonteknis). Teknis itu contohnya penetration testing, vulnerability scanning, threat intelligence. Saya awal-awal enggak langsung mengerjakan technical service, masih nonteknis.

Strategic service itu layanannya, seperti compliance audit, assessment, penyusunan roadmap. Jadi, kita nilai klien kita sesuai dengan keadaan mereka sekarang, misal, kontrol siber sekuriti ada apa saja, orangnya, dan sumber dayanya.

(Dari hasil penilaian itu, kata Natasha, akan keluar laporan. Jika perusahaan menginginkan nilai yang lebih bagus dari laporan itu, dirinya membuat perencanaan untuk mengejar target yang diminta.

Menurut Natasha, sebagai konsultan harus punya mental untuk menghadapi klien, harus punya persiapan matang jauh-jauh hari.)

Respons klien ketika bertemu konsultan cybersecurity perempuan?

Ada yang negatif dan positif. Yang negatif: “Emangnya dia bisa apa?” Apalagi kelihatannya masih muda dan ada yang ngomong: “Kamu belum lahir saja saya sudah kerja di sini.”

Kalau sudah kayak gitu, saya cuma bisa terima saja, enggak dibalas. Tunjukkin kerja yang bagus, itu lebih oke sih.

Kalau respons positif, misalnya, ”Akhirnya yah ada yang cewek” atau “Bisa enggak next-nya yang cewek lagi”, paling kayak gitu, maksudnya bercanda ya...

Pernah pentest di luar pekerjaan?

Enggak sih. Saya cuma di laboratorium, di klien saja. Di klien juga enggak sembarangan. Di kontrak itu ada perjanjiannya, kita cuman boleh tes aplikasi apa dan ada waktunya juga. Misal, kita boleh tes di luar jam kerja atau tidak.

(Saat membuat peta jalan (roadmap) keamanan siber, waktu yang diutuhkan seorang konsultan bisa lebih lama dari pentest. Sebab, ia harus mewawancarai banyak divisi, termasuk departemen legal dan pengadaan barang. Karena, bagian-bagian ini juga memfilter orang-orang yang direkrut. Jika pentest, kata Natasha, waktunya bisa lebih singkat, hanya beberapa pekan atau 1-2 bulan, meski pentest juga masuk bagian dari rencana peta jalan.)

Dalam pembuatan peta jalan secara garis besar seperti apa?

Pertama kami nilai dulu kemampuan mereka apa saja. Kami ada check list-nya. Kami mengacu ke best practices atau framework. Kami tanya ke kliennya mereka mau pakai framework Horangi? Tapi, kadang-kadang klien minta ISO 27001 saja.

(Menurut dia, tugas konsultan akan mengulas sumber daya yang dimiliki klien. Salah satu hal yang dinilai, misalnya, bagaimana pengaturan perusahaan bagi karyawan yang memakai laptop atau tablet sendiri. Juga, apakah boleh karyawan mengunduh data-data perusahaan di komputer sendiri. “Rekomendasi kami di-roadmap itu, mereka harus menambahkan kontrol. kontrol apa saja ditambahkan supaya manajemen aset dan orang lebih tepat,” kata dia.)

Yang dinilai enggak hanya teknologi saja ya?

Enggak. Karena hampir 70-80 persen kadang-kadang kesalahan itu pada orang. Ada tiga komponen penting, yaitu orang, proses, dan teknologi. Kalau hanya teknologi doang, orang dan prosesnya enggak benar, ya percuma, enggak bisa mencapai target. Kadang klien sudah beli teknologi mahal-mahal, tapi konfigurasinya salah, jadi enggak maksimal deh manfaatnya.

Foto: Arsip pribadi

Dunia siber atau hacking kan teknis banget, tuh. Belajarnya bagaimana?

Autodidak dan bimbingan juga. Jadi, kalau penetration testing itu, enggak bisa otodidak. Soalnya kita harus belajar cara baca bahasa pemrograman, harus mengerti python, http request, json, dan lainnya. Tapi, kita enggak perlu detail coding.

Biasanya itu diajari, misalnya, “Script-nya kayak gini, oh, ini vulnerable”. Kedua, web learning, banyak yang bayar dan gratis. Dari YouTube juga.

Berapa lama belajar teknis?

Dari Agustus 2019, baru mau setahun.

Pernah menyerah?

Ada. Waktu belajar juga trial and error. Awal-awal berusaha ngapalin sintaksnya, eh bahasa pemogramannya gantilah. Jadi, stres sendiri. Ujung-ujungnya malas belajar kan, akhirnya kayak ah susah banget. Jadi, males deh.

Lalu...

Saya kan ada coach dan mentor juga kan yang ngajarin pentesting. Coach saua bilang: “Kamu salah, kamu jangan hapalin sintaksnya, kamu pelajari konsepnya”. Kalau ngapalin sintaks, tapi enggak tahu mau ngapain, untuk apa.

Mentor-mentor ini penting banget sih. Kadang kami punya cara yang simpel yang coach enggak kepikiran. Jadi, kami bisa, saling memberi gitu. Jadi, enggak menerima doang dari dia.

Sama-sama saling belajar di dunia siber, paling enggak enak kalau sendirian, enggak ada partner belajar, itu kan bosen ya. Enggak ada tantangan baru. Kalau kita punya community yang tepat, saya juga join, mereka suka sharing materi experience tentang klien.

[Komunitas ini] lumayan membantu, jauh lebih cepat sih. Karena daripada kita cari satu-satu informasinya, kalau kita punya teman saling berbagi, kita juga bagi info. Kita bisa lebih cepat pelajari, up-to-date- lah ya.

Dunia siber kan didominasi laki-laki, pendapatnya?

Enggak selalu sih, tapi kebanyakan memang laki-laki. Tapi, itu jadi kesempatan kan. Orang kadang-kadang sudah underestimate karena ini dianggap bukan bidang kita.

Pas awal aku masuk EY di timku semuanya laki-laki. Saya perempuan pertama. Terus pas dikenalin gitu, biasalah, kalau first day kita dibawa muter, isinya cowok semua. Enggak lama setelah itu, ada perempuan yang masuk, lumayan punya teman perempuan.

Sekarang di Horangi, kan kita ada banyak negara—di pusatnya paling gede di Singapura, kedua terbesar di Indonesia—, tapi secara global, konsultan perempuan cuma dua, salah satunya saya.

Rata-rata laki-laki, ya. Perempuan enggak tertarik?

Sebenarnya kadang perempuan-perempuan tanya sih, “Kalau cewek enggak apa apa?” Ya enggak apa-apa. Kami bukan diseleksi: “Oh kita mau yang cowok saja.” Karena yang daftar laki-laki, makanya yang diterima laki-laki terus.

Sedikit ya perempuan yang terjun di dunia siber...

Saya enggak terlalu memahami kenapa mereka tidak tertarik ya. Mungkin kedengarannya saja sudah rada pening gitu: siber! Stigma orang-orang mungkin ini pekerjaan orang TI doang, yang lingkupnya enggak luas.

Saya coba meluruskan stigma itu. Siber itu terdiri dari tiga: orang, proses, dan teknologi. Siber itu tanggung jawab semua orang. Jadi, kita ngerti siber itu bukan cuma sistem-sistem rumit di perusahaan, tapi juga aplikatif dengan kehidupan kita sehari-hari.

Contoh, ketika kita bermedia sosial, kita pakai password, cukup strong belum? Itu kan sudah dunia siber. Enggak serumit orang pikir gitu. Siber itu dibutuhkan semua orang dan semua orang harus aware dengan siber. Jadi, enggak susah kok.

Ada tips lain?

Kalau baru mau mulai, enggak langsung ke teknis. Coba yang assessment, yang tadi saya sebut soal kehidupan bermdia sosial, itu kan sudah mulai siber. Nanti, kalau sudah tertarik, sudah mulai familiar, baru nyemplung ke teknis. Itu seru juga soalnya.

Kalau masih susah banget buat teknis, kita ngerti konsep dulu sih. Aplikasi ini mau ngapain , informasi yang dibutuhkan apa. Jangan langsung belajar coding-nya, syntax-nya kayak gimana. Itu nanti belum selesai, nyerah duluan.

Pernah ikut bug bounty?

Saya pernah coba, tapi enggak sampai di-submit. Karena kode etik kami enggak boleh klien ya. Jadi, cari yang belum pernah jadi klien. Makanya agak susah ya untuk cari yang tidak terbentur kode etik. Tapi, sekarang sih saya belum mau nambah duit ya, itu memang peluangnya gede banget.

Kok enggak di-submit?

Itu bagian dar latihan saja sih.

Sudah cari sertifikasi profesi keamanan siber?

Itu juga salah satu target. Saya juga akan fokus untuk menambah sertifikasi ke depannya karena latar belakang pendidikanku berbeda.

Susah ya...

Iya ada yang susah dan enggak, cuma sertifikasi itu membantu, misal, waktu apply kerja. Nanti dilihat latar belakang pendidikannya, sertifikasi, dan pengalaman. Klien juga lebih percaya, “Oh ini konsultannya certified”.

Oh ya, pendapat Anda soal asuransi siber?

Saya sempat dengar soal asuransi. Menurutku, itu suatu gerakan yang bagus soalnya klien juga enggak ada yang mau rugi besar. Menurutku, tantangannya adalah menentukan nilainya, karena itu kan proyeksi ya, kita enggak tahu seberapa besar kerugian yang ditanggung. Itu susah dihitung juga.

Punya tokoh panutan di dunia cybersecurity?

Parisa Tabriz. Dia dijuluki “Google's Security Princess”. Saat ini bekerja sebagai Head of Product, Engineering, & UX, Chrome di Google Headquarter. Dia menginspirasi karena dia adalah salah satu leader perempuan dengan skill tinggi di bidang cybersecurity, tapi profilnya tetap membumi dan bisa menjelaskan hal-hal rumit jadi simpel.

Ke depan, apa yang ingin Anda lakukan di luar dunia kerja?

Kalau siber itu banyak sih. Sampingan jadi bug hunter dapat penghasilan tambahan juga. Tapi, ke depan, karena teknis baru saya pelajari, jadi mau memperdalam di teknis. Sekarang teknis kan enggak pentest saja ya, ada threat intelligence yang juga lagi berkembang, ada data privacy law.

Masih pengin balik dunia elektro?

Kayaknya kalau balik enggak sih.[]

Redaktur: Andi Nugroho