eryk budi pratama

eryk budi pratama

Alhamdulillah Lulus MM Universitas Bakrie




Alhamdulillah, akhirnya saya dapat menyelesaikan Magister Manajemen Universitas Bakrie pada Januari 2019. Setelah berbagai macam kesibukan yang ada, Alhamdulillah akhirnya saya dapat menyelesaikan tanggung jawab yang satu ini. Saat S1 dulu saya kuliah di kampus yang sama, dengan program studi Teknik Informatika. Setelah lulus, mengingat di kampus untuk S2 hanya ada MM, akhirnya saya ambil saja. Walaupun saat S1 hanya sedikit mendapatkan materi yang berhubungan dengan ilmu manajemen, tapi itu bukan halangan bagi saya untuk menyelesaikan S2 di bidang manajemen. Untuk tesis S2 ini saya mengambil topik tentang business plan. Setelah sempat dua atau tiga kali mengganti judul karena kegalauan, akhirnya saya tetapkan topiknya tentang business plan saja. Untuk nilai, alhamdulillah ada sedikit peningkatan dari S1 dulu (sebelum ditambahkan nilai tesis) :))



Banyak yang bilang nilai tidak penting. Tapi bagi saya nilai tetap penting karena merupakan tanggung jawab saya untuk berusaha semaksimal mungkin dalam meyelesaikan setiap tantangan dan permasalahan. Btw, promosi dikit boleh donk di blog sendiri :) Magister Manajemen Universitas Bakrie itu akreditasinya A loh !. Bagi yang penasaran kurikulumnya apa, bisa dicek di websitenya ini.  Kalau dari kurikulum MM UB, mata kuliah yang jadi minat saya adalah Managing Corporate Strategy & Risks dan Managing Operations & Information Systems karena masih sedikit relevan dengan kerjaan. Jika nantinya saya memang lanjut S3 di bidang manajemen, kemungkinan area ini jadi fokus riset saya. 


Kenapa ambil S2 Manajemen, kok gak IT atau ilmu komputer ?


Nah ini yang kadang jadi pertanyaan rekan-rekan saya. Jawaban singkat saya, karena di kampus S2 nya baru manajemen :)) Jadi begini. Dulu waktu S1 sebenarnya saya ingin masuk prodi manajemen. Saya sudah ikut tes beasiswa Universitas Bakrie, tapi saya cuma dapat beasiswa 50%. Akhirnya saya coba prodi teknik informatika, dan Alhamdulillah saya dapat beasiswa penuh. Seiring berjalannya waktu, minat saya untuk mempelajari ilmu manajemen tidak terhenti. Saya kadang beli buku-buku terkait ilmu manajemen, misalnya enterpreneurship, leadership, dan sebagainya. Begitu saya tahu kampus buka program S2 dan untungnya kelas malam, jadi saya putuskan untuk ikut program MM. 

Salah satu motivasinya adalah karena memang saya suka membaca dan mempelajari apapun. Passion utama saya di IT (khususnya IT security), tapi saya suka juga mempelajari ilmu manajemen, psikologi, metafisika, komunikasi, bahkan saya sempat mempelajari secara otodidak, ikut kursus, dan menampilkan pertunjukan hipnosis dan hipnoterapi !!! (nanti saya coba tulis artikel tentang ini :))) Menurut saya tidak ada ilmu yang baik yang tidak bermanfaat. Mungkin tidak saat ini atau dalam waktu dekat manfaatnya, tapi di lain hari mungkin ilmu yang kita pelajari dapat bermanfaat. Contoh, saat saya belajar hipnoterapi. Mungkin orang berasumsi lah ngapain orang IT belajar begituan, unfaedah. Tapi pas kuliah, saya pernah bantu mengobati beberapa teman yang punya fobia. Cabangnya ilmu hipnoterapi ada beberapa, cuma saya fokus di penyembuhan fobia. 

Kembali ke topik, terus kaitannya ilmu manajemen yang saya pelajari di S2 sama kerjaan apa? Kan kerjaan saya kebanyakan tentang IT
Seperti yang saya tulis di atas tentang matkul yang jadi favorit saya, ilmu corporate strategy / strategic management ini dapat digunakan untuk pengembangan strategi IT juga. Pola pikir perencanaan strategi perusahaan dapat memberikan saya wawasan ketika melakukan konsultansi untuk perancangan strategi IT agar dapat lebih selaras / align dengan strategi perusahaan. Tentunya dalam membuat perencanaan IT, kita juga perlu melihat sudut pandang bisnis seperti apa dan bagaimana strategi IT dapat align dengan strategi bisnis. 
Contoh lain, masalah Risk Management. Wah ini udah jadi barang wajib di konsultan macam Big 4 yang dalam memberikan jasa advisory/consulting, menggunakan pendekatan berbasis risiko. Perusahaan punya Enterprise Risk Management, nah bagaimana risiko-risiko IT dapat align dengan ERM perusahaan. 
Contoh lagi, mata kuliah Manajemen Operasional dan Sistem Informasi. Okelah untuk Sistem Informasi, sudah jelas relevan sama pekerjaan. Untuk manajemen operasional, relevansinya dimana? Mungkin buat rekan kerja saya yang lebih ke bagian business consulting, akan sangat relevan. Bagi saya yang lebih banyak memberikan konsultansi untuk IT, dapat relevan jika ada proyek semacam business process review, yang menuntut kita untuk memahami proses operasional bisnis, sistem informasi yang digunakan, pengendalian / kontrol atas aplikasi dan IT, dan risiko-risiko yang relevan. Ini juga relevan jika ada proyek-proyek yang berhubungan dengan Enterprise Resource Planning (ERP) karena dalam perkuliahaan, dibahas juga materi tentang ERP.

Selain itu, coba baca artikel saya tentang mengapa konsultan IT harus memiliki banyak keahlian yang saya publish di medium dan blog saya juga.

Sebenarnya kuliah S2 manajemen ini menarik, khususnya bagi praktisi di bidang IT seperti saya. Wawasan saya jadi lebih terbuka. Ya siapa tahu kan suatu saat saya bisa membuat perusahaan consulting sendiri, dimana ilmu yang saya pelajari selama di MM Universitas Bakrie ini sangat bermanfaat. Jika ada kesempatan melanjutkan jenjang yang lebih tinggi, kemungkinan topiknya terkait strategic management atau enterprise risk management yang masih dikaitkan dengan IT.

Dari sisi IT, Alhamdulillah saat ini saya diberikan kesempatan untuk lanjut S2 Ilmu Komputer. Saat ini saya sedang menyusun tesis dengan topik seputar android malware dan machine learning. Jika lulus nanti dan ada kesempatan untuk lanjut S3, topik ini yang akan saya bawa sebagai bahan penelitian :)

Semoga ilmu dan pengalaman yang saya pelajari dapat bermanfaat dan memberikan kontribusi bagi perkembangan ilmu pengetahuan di Indonesia. Dan semoga saya bisa menyelesaikan S2 Ilmu Komputer saya tepat waktu. Aamiin.


Salam,


Artikel kelulusan S1: di sini

Mengapa Konsultan IT Harus Memiliki Banyak Keahlian


Alhamdulillah kali ini saya ada kesempatan untuk berbagi tulisan kepada pembaca. Sebenarnya saya agak bingung cari judul. Dalam tulisan ini saya akan coba berbagi pandangan mengenai pentingnya seorang konsultan IT dalam menguasai keahlian lain yang tentunya selain IT. Artikel ini akan saya bagi jadi 3 bagian, yaitu pengenalan secara umum latar belakang karier saya, penjelasan kemampuan apa saja yang idealnya dikuasai konsultan IT, dan perusahaan yang bagus untuk mengasah kemampuan konsultansi IT. Sebagai catatan bahwa ini tulisan ini adalah sudut pandang dari pengalaman saya sebagai konsultan IT dan hasil membaca dari beberapa referensi tulisan blog. 

Latar Belakang Karier

IT merupakan passion saya sejak SD dahulu. Believe or not, waktu kelas 3 SD dulu saya belajar CMD pakai sistem operasi DOS. Hingga akhirnya saya belajar hampir semua area di IT terhitung dari SD sampai saat ini saya berkarier sebagai konsultan IT di salah satu Big 4. Mengawali karier secara resmi setelah lulus kuliah di Big 4, saya memiliki beberapa pengalaman di bidang IT, khususnya yang terkait dengan keamanan informasi. Pembaca dapat membaca tulisan saya tentang beberapa hal yang saya kerjakan di EY dulu sebelum akhirnya saya pindah ke perusahaan lain. Link: ini , ini , dan ini.

Kalau pembaca sudah membaca tautan di atas, secara umum disimpulkan bahwa saya banyak berkecimpung di area keamanan informasi, tata kelola dan manajemen IT, manajemen risiko IT, dan  arsitektur IT. Tak lengkap rasanya jika tidak menguasai IT dari sisi implementasi teknologi. Oleh sebab itu saya pindah ke salah satu perusahaan system integrator multinasional, yaitu Dimension Data. Melalui perusahaan yang luar biasa ini saya belajar mengenai implementasi teknologi khususnya keamanan IT. Selain itu saya memiliki kesempatan untuk terlibat dalam area Digital Transformation. Saat ini saya berkarier di PwC, salah satu Big 4 juga. Kurang lebihnya yang saya kerjakan sama dengan saat masih di EY dulu.

Believe or not, di luar proyek-proyek yang saya kerjakan selama di EY, Dimension Data, dan PwC yang tentunya terkait dengan area IT Security, IT Governance, Risk, Compliance (GRC), IT Strategy & Management, dan Enterprise Architecture, ada bidang-bidang lain yang saya asah. Saya tidak bisa cerita di blog ini. Untuk mengetahui lebih jauh, mari kopdar :))

Kemampuan Ideal Konsultan IT

Pada dasarnya cakupan kerja konsultan IT bisa sangat luas. Tentunya dengan penjelasan di latar belajang karier saya, pembaca dapat memahami bahwa area kerja saya di luar pengembangan dan implementasi software (meskipun secara informal saya ada pengalaman di software development).

Tentunya kemampuan teknis sesuai bidang keahlian itu sangat penting. Namun konsultan IT perlu untuk memahami area di sekitar IT. Merujuk ke beberapa artikel yang telah saya baca (ini, ini, ini), berikut adalah kemampuan yang menurut saya perlu untuk dikuasai oleh konsultan IT di luar dari keahlian spesifiknya (keahlian teknis) di area mana:

Business Development Skill
Menurut pengalaman, idealnya inilah hal pertama yang didapatkan dan harus dikuasai oleh konsultan IT. Ketika kita baru bergabung di perusahaan konsultan, anggap saja di level freshgrad, jika memang kita sedang tidak diikutkan ke proyek tertentu maka biasanya kita diminta bantu atasan kita untuk Business Development. Kalau di level Manager ke bawah biasanya ngapain aja? Misalnya bantu bikin proposal teknis, mengurus kelengkapan administrasi untuk tender (misal CV, daftar pengalaman proyek perusahaan, dll.), menghadiri aanwizing, dll. Hal-hal terkait client relationship, perencanaan budget, perencanaan sales pipeline, dsb biasanya dikerjakan oleh level Manager ke atas. Ini case untuk di Big 4. Di perusahaan lain biasanya ada bagiannya sendiri. Tapi tidak ada salahnya kan menguasai business development secara end-to-end untuk meningkatkan value kita. Karena pada akhirnya no selling no project no money :))

Saya pernah menulis artikel terkait SPIN Selling. Ini adalah salah satu teknik sederhana dalam menjual layanan / solusi.

Communication Skill
Apapun jenis proyeknya, hasil dari assessment tentunya disampaikan secara verbal kepada manusia, bukan komputer. Menurut pengalaman dan pengamatan, banyak praktisi IT yang masih belum bisa menentukan penggunaan kalimat yang cocok untuk orang awam/non-teknis. Saya sendiri pernah mengalami hal ini, bagaimana membuat hal teknis dapat dipahami dengan bahasa yang manusiawi. Beberapa proyek yang saya kerjakan exposurenya sampai ke level top management / BoD, sehingga tidak mungkin saya menggunakan bahasa teknis ketika memaparkan hasil assessment. Kebanyakan hasil assessment disampaikan dalam bentuk workshop atau konsinyering. Biasanya target audience sudah ditentukan. Beruntunglah kalau sesi presentasi ke BoD dan ke level subordinatenya dipisah, kalau digabung gimana? Tenang saja biasanya BoD dan tim teknis punya sesi yang beda :) Konsultan IT harus bisa jadi "fasilitator" untuk stakeholder.

Sebagai konsultan IT juga harus memiliki rasa percaya diri dalam menentukan suatu keputusan. Rasa percaya diri akan tercermin dari cara kita berkomunikasi. Lah kalau menyampaikan rekomendasi kelihatan ragu-ragu, berarti hasil assessmentnya meragukan donk? Bisa jadi.

Seorang konsultan IT juga harus bisa menjadi "customer service" yang baik, bahkan teman curhat yang baik untuk menjaga relationship dengan client. At the end, client will focus on you, whatever the company behind you. (Menurut pengalaman pribadi saya sih karena sudah ada buktinya, hehe)

Leadership and Management Skill
Pada level tertentu, kemampuan dalam mengelola tim dan mengembangkan tim (coaching) sangat diperlukan. Memang kita kerja untuk diri sendiri, tapi mengembangkan kemampuan tim sangat penting bagi kelangsungan hidup tim kita. Tentunya anda ingin tim anda diisi orang-orang yang hebat dan bisa saling bekerja sama kan? Pada kondisi tertentu kita mungkin akan dihadapkan pada kondisi sedang ada beberapa proyek dan aktivitas business development yang berjalan paralel. Kemampuan dalam manajemen proyek dan waktu memegang peranan yang kritikal bagi kesuksesan proyek.

Setiap perusahaan pasti menerapkan KPI baik untuk divisi/service line maupun individu. Menurut saya kemampuan dalam team management, team development, time management, dan project management dapat membantu kita untuk mencapai KPI yang ditentukan, terutama yang terkait dengan utilisasi personil.

Documentation and Reporting Skill 
Ini salah satu penyakit rekan-rekan konsultan IT (yang teknis), yaitu kemampuan dalam dokumentasi dan pembuatan laporan dari hasil assessment.  Saat awal-awal kerja dulu saya pernah mengalami hal tersebut, terutama ketika pembuatan proposal dan laporan assessment. Menurut saya, beberapa hal yang perlu diperhatikan dalam penulisan laporan adalah alur penyajian dokumentasi, pemilihan kata dan kalimat (EYD untuk Bahasa Indonesia atau grammar untuk Bahasa Inggris), penggunaan tanda baca, layout / design / estetika dari laporan, dan yang suka khilaf adalah TYPO :))

Menurut saya "harga" dari konsultan juga tercermin selain dari kualitas konten laporan/dokumentasi, juga penyajian laporan yang memperhatikan hal-hal yang telah saya sebutkan di atas. Untuk aktivitas business development itu sendiri, memang saat tender hampir faktor "financial" jadi patokan utama (biasanya yang paling murah yang menang). Namun selama saya kerja, penyusunan proposal tetap harus "berkualitas". Beruntunglah kalau tendernya project yang sudah pernah dikerjakan sehingga memudahkan pekerjaan saya dalam pembuatan proposal :))

Client's and/or Industry Business Process Expertise
Memang konsultan IT dituntut untuk menguasai bidang IT tertentu, namun pada dasarnya jasa kita dibutuhkan untuk membuat bisnis klien menjadi lebih baik. Bagaimana kita bisa membantu klien untuk meningkatkan kinerja operasional bisnis dari aspek IT kalau kita tidak memahami proses bisnis klien? Konsultan IT dituntut untuk bisa menyampaikan "bahasa bisnis" yang baik. Hal ini masih ada kaitannya dengan kemampuan dalam komunikasi dan dokumentasi.

Kalau kita belajar teorinya kan IT harus bisa sejalan (align) dengan bisnis. Strategi IT harus bisa mendukung dan selaras dengan strategi bisnis. Bagaimana kita bisa menyelaraskan inisiatif IT kalau tidak bisa memahami kebutuhan perusahaan? Bagaimana kita bisa memahami kebutuhan perusahaan kalau tidak memahami organisasi perusahaan? Bagaimana kita bisa memahami organisasi perusahaan kalau tidak memahami bagaimana bisnis berjalan?

Lebih jauh lagi, banyak keterkaitan IT dengan aspek operasional bisnis. Dalam proyek yang terkait dengan peningkatan kapabilitas IT secara enterprise dan bahkan yang khusus ke kapabilitas IT Security, saya juga membutuhkan sesi diskusi / interview dengan beberapa unit bisnis. Bahkan dalam proyek IT tertentu, semua unit bisnis kebagian untuk saya interview. Tujuan utamanya adalah agar saya bisa mendapatkan perspektif dari segala penjuru sehingga pada nantinya rekomendasi yang diberikan memang sesuai dan lebih representif terhadap kondisi perusahaan.

Kalau memang kita lebih banyak klien di industri keuangan, saya sarankan belajar proses bisnis di industri keuangan (misalnya bank atau asuransi). Tentunya memahami proses bisnis di klien wajib hukumnya karena walaupun ada beberapa klien di industri yang sama, tapi bisa jadi beberapa bagian ada perbedaan.  Cuma nantinya disesuaikan dengan jenis proyeknya, karena tidak semua proyek juga menuntuk kita untuk memahami proses bisnis secara end-to-end. Seperti misalnya proyek penetration testing, minimal kita paham alur aplikasi/sistemnya, tidak harus sampai ke proses bisnis yang di luar ruang lingkup. Atau dalam salah satu proyek tranformasi, tim saya hanya mengumpulkan informasi dari unit bisnis terkait saja, tidak semua unit bisnis di perusahaan klien.

Problem Solving and Analytical Skill
Sebagai konsultan IT, tentu wajib memiliki kemampuan dalam problem solving dan analisis. Tentunya hal tersebut ditunjang dengan kemampuan kita dalam memahami permasalahan. Pemahaman terhadap permasalahan dan juga kemampuan dalam menentukan rekomendasi perbaikan tentunya didukung oleh pemahaman kita, baik dari pengalaman sebelumnya maupun dari literatur/dokumentasi yang telah kita pahami untuk menyelesaikan permasalahan tersebut.

Menurut saya kata kuncinya adalah fast learner dan palugada skill. Kita dituntut untuk dapat cepat memahami dan beradaptasi dengan kondisi klien. Menurut saya kemampuan PALUGADA (apa lu mau gua ada) di suatu kondisi dapat membantu kita dalam menyelesaikan sebuah permasalahan. Dan hal yang menurut saya cukup penting adalah sebisa mungkin kita jangan saklek / kaku atas hasil assessment yang kita berikan ke klien. Misalnya menurut kita A, tapi klien maunya B. Dalam banyak kondisi, tentunya kita harus bisa membuat kesepakatan, entah itu A- atau B+ disesuaikan dengan kondisi lapangan. Tapi gak ada salahnya juga kita tetap mengajukan A asalkan dengan alasan/landasan yang memang dapat diterima kedua pihak.

Kalau diperhatikan, yang dijual konsultan adalah metodologi (best practice). Untuk konsultan IT, selain metodologi juga tentunya pengembangan dan implementasi sistem, tergantung bisnis yang dijalankan perusahaan tersebut. Di Indonesia sendiri ada yang memang perusahaan IT fokus di jasa konsultansi IT, ada juga yang fokus di pengembangan dan implementasi sistem, dan ada juga yang menjalankan keduanya. Saat saya di Big 4, saya banyak belajar dari sisi people, process, dan bisnis. Saat di perusahaan system integrator, saya banyak belajar dari sisi teknologi (walaupun saat ini perusahaan mengembangkan bisnis ke consulting juga).  Saat ini saya memilih berkarier dulu di perusahaan consulting global karena saya ingin mempelajari banyak metodologi (best practice) agar dapat membantu klien dalam menyelesaikan permasalahan baik dari sisi IT maupun bisnis.

Menurut saya yang mahal adalah informasi dan pengalaman yang saya butuhkan untuk business development (misalnya contoh proposal, go to market, benchmark, sales presentation, studi kasus, dll), project delivery (methodology, contoh deliverables, working paper, dll), dan informasi-informasi lain yang tentunya resourcesnya bersifat global. Dari situ saya bisa belajar consulting di negara lain seperti apa.

Pada dasarnya masing-masing bagian di atas butuh ruang tersendiri untuk dijelaskan lebih banyak. Mungkin di lain kesempatan saya bisa tulis lebih komprehensif.

Best Company for Consulting Skill Development

Kemudian muncul pertanyaan, sebaiknya dimana harus berkarier untuk mengembangkan skill di bidang consulting ini? Pada dasarnya setiap perusahaan adalah tempat terbaik untuk belajar. Namun setiap orang pasti punya perbedaan preferensi. Karena minat dan preferensi saya di perusahaan consulting global, maka tentunya jika ada pertanyaan yang diajukan ke saya, saya akan jawab berkarier di perusahaan consulting global adalah pilihan terbaik. Untuk daftar perusahaan top consulting companies bisa dilihat di ini, ini, ini . Kalau saya pribadi sampai saat ini masih lebih prefer berkarier di Big 4. Kenapa? Mungkin pembaca bisa baca artikel yang pernah saya tulis tentang kelebihan berkarier di big 4. Kalau saya rangkum, kurang lebihnya benefitnya seperti berikut:
  • Exponential learning curve
  • Opportunity to take on large amounts of responsibility very early in your career
  • You will work with incredibly smart and successful people every single day
  • You will have every opportunity to prove yourself and succeed
  • Annual promotion (good career path)
  • World-class experiences and International opportunities
  • Exposure to high ranking client personnel, including executives
  • Stamp of approval on your resume
Selain benefit, pasti setiap perusahaan ada kekurangannya. Cuma tidak perlu disebutkan juga karena masing-masing juga punya kekurangan yang berbeda. Untuk perusahaan di luar Big 4 (termasuk perusahaan lokal) saya tidak berani untuk ulas karena tidak tahu secara langsung.

Kesimpulannya adalah untuk mendapatkan service yang premium tentunya biayanya tidaklah murah. Ada alasan tertentu mengapa klien mau mengeluarkan uang lebih untuk menggunakan jasa perusahaan consulting global seperti Big 4, MBB (McKinsey, BCG, Bain), Accenture, dsb. Perusahaan global dan lokal punya pasarnya sendiri, walaupun di banyak kesempatan pasti ketemu di tender. Sekali lagi, tulisan ini adalah subjektif dari pengalaman saya pribadi. Saya yakin rekan-rekan punya preferensi yang mungkin berbeda.

Sekian tulisan singkat saya. Semoga bermanfaat :)


Salam,
Eryk Budi Pratama

Channel 2 (Non Financial Audit Support) di Big 4





Sudah agak lama saya tidak nulis di blog tercinta ini. Tulisan kali ini dilatarbelakangi oleh pertanyaan dari beberapa rekan baik di internal maupun di luar tentang apa dan ngapain sih Channel 2 di Big 4. Sebelum lanjut membaca artikel ini, saya sarankan pembaca baca beberapa artikel yang sudah lama saya tulis saat saya masih di EY dulu.

Jika pembaca masih awam tentang apa saja yang dikerjakan orang IT di Big 4, saya coba jelaskan secara singkat dulu. Berdasarkan yang saya tahu, di setiap Big 4 punya service line namanya Risk Assurance (RA) atau sejenisnya. Jadi teman-teman IT (dan akuntansi) yang jadi IT Auditor, biasanya masuk di RA. Di artikel ini saya tidak jelaskan secara detail IT Audit (baik dalam konteks Financial Audit maupun selain itu) karena saya akan coba rangkum beberapa hal yang biasanya (dan bisa) dilakukan di Channel 2.

Di RA sendiri ada 2 jenis pekerjaan: Channel 1 (Financial Audit Support) dan Channel 2 (Non Financial Audit Support). Sederhananya, Channel 2 adalah jenis pekerjaan yang tidak terkait dengan IT Audit yang support untuk Financial Statement Audit (Financial Audit IT Integration - FAIT). Dalam artikel ini saya juga gak akan bahas masalah independensi / konflik antara Channel 1 dan Channel 2. Saya fokus jelaskan di Channel 2 bisa ngapain saja berdasarkan pengalaman saya. Oke mari kita jelaskan satu per satu.

Cyber Security
Well, disinilah saya memulai karier (secara resmi) setelah saya lulus kuliah. Cyber Security sendiri cakupannya cukup luas. Layaknya konsep IT, Cyber Security juga mencakup aspek People, Process, Technology. Kalau dari sisi People, pembaca bisa lihat sekilas artikel saya di sini. Saya mengawali karier Cyber Security dari sisi People dan Process karena proyek yang bisa dikerjakan Big 4 idealnya yang berkaitan dengan People dan Process. Untuk pengalaman dari sisi Technology saya dapatkan dari Dimension Data. Cyber Security ini saya taruh paling awal karena selain disini passion saya sejak SMP dulu, juga karena jenis proyeknya macam-macam dan dari sisi knowledge, Cyber Security ini sangat cepat dan luas cakupannya. Berikut beberapa area dari Cyber Security yang biasanya ada.
  • Vulnerability Assessment and Penetration Testing (VAPT). VAPT merupakan aktivitas security (risk) assessment (/audit) yang dilakukan secara teknis. Untuk melakukan VAPT mutlak harus punya technical skill. Secara umum VAPT dilakukan terhadap 2 obyek, yaitu Infrastruktur (Operating System, Database Server, Perangkat Jaringan, Perangkat Security, dsb) dan Aplikasi (Web, Mobile, Desktop/Thick client).  Pada umumnya manusia channel 2 yang VAPT dituntut untuk menguasai semua technical knowledge, mulai dari sistem operasi, network, database, aplikasi (programming / scripting), dll. Bahkan untuk kasus tertentu, kita harus bisa menunggunakan teknik tipu-tipu alias social engineering bahkan di suatu proyek bisa saja kita harus tes physical security. Jadi skill semacam lock picking (seni buka gembok kayak maling) bisa berguna juga kok :p Oia VAPT ini juga biasanya mencakup configuration review, cuma tergantung scopenya juga.
  • Cybers Security Strategy / Roadmap / Blueprint Development. Dari namanya sudah jelas bahwa untuk yang ini lebih ke arah pengembangan master plan/roadmap untuk Cyber Security. Kadang (banyak sebenernya) perusahaan yang sudah mulai aware dengan cyber security mulai memikirkan bagaimana meningkatkan kapabilitas cyber security perusahaannya. Untuk pengembangan startegi dan peningkatan kapabilitas internal, kadang perusahaan butuh masukan dari konsultan sehingga disinilah kita masuk. Secara umum, biasanya perusahaan mengacu ke Cybersecurity Framework punya NIST. Cuma biasanya kalau penyusunan Cyber Security master plannya diserahkan konsultan, framework yang digunakan ya pakai punya konsultan tersebut.
  • International Standard (ISO 27001 and PCI-DSS) Implementation. Orang cyber security wajib tahu nih dua standar yang biasa digunakan dari sisi Process yaitu ISO 27001 (Information Security Management System) dan PCI-DSS. Untuk jenis proyeknya bisa ada dua jenis, yaitu persiapan dan pendampingan sertifikasi ISO 27001 dan PCI-DSS. Kalau persiapan, biasanya kita assess gap dan kasi rekomendasi perbaikan. Biasanya juga kita bantu klien melengkapi dokumentasi yang masih kurang. Kalau pendampingan biasanya sampai tahap setelah auditor ISO 27001 dan PCI-DSS ini selesai melakukan audit dan kita bantu "baby-sitting" si klien. Saya sendiri pernah melakukan maturity assessment untuk persiapan ISO 27001 di salah satu perusahaan asuransi global. Proyeknya global, kebetulan buat Indonesia saya sendiri yang pegang pas saya masih associate dulu. Challenge accepted and well completed karena harusnya ini proyek dikerjain senior tapi saya sendirian yang kerjain pas masih associate. 
  • Cyber Security Awareness and Socialization. Sesuai namanya, disini biasanya kita membantu klien untuk meningkatkan tingkat kepedulian / awareness dari karyawan terkait dengan ancaman keamanan informasi. Contoh dari service ini misalnya phishing exercise.
  • Incident Response Readiness Assessment. Salah satu service untuk menguji kesiapan tim internal klien dalam menghadapi serangan cyber. Biasanya konsultan akan melakukan serangan dengan beberapa skenario (misalnya dengan menyebarkan malware) untuk menguji sejauh mana tim internal klien dapat mendeteksi dan menangani serangan tadi.
  • Security Technology Design and Implementation Assistance. Nah ini salah satu service yang sebenernya applicable buat bidang lain selain security sih. Cuma karena ini konteksnya cyber security, jadi kita punya services buat bantu desain cyber security capabilities dari sisi Technology dan membantu pendampingan implementasi perangkat security. Tergantung scope sih tapi biasanya kalau pendampingan, kita bantu identifikasi kebutuhan usernya, bikin RFP, seleksi vendor (POC dan scoring), project management buat implementasi, dan post implementation review. Buat service yang ini disarankan skill teknis dan non teknisnya 50:50. 
IT Governance
Berikutnya adalah bidang yang gak kalah seru karena pas kuliah ini salah satu matkul favorit saya :) Biasanya bentuk proyeknya semacam maturity assessment untuk IT Governance yang mengacu ke COBIT.  Saat ini COBIT sudah versi 5, cuma masih ada perusahaan yang masih pakai COBIT 4.1. Kebetulan saya pernah assess perusahaan yang masih pakai COBIT 4.1. Saran saya coba baca-baca COBIT5 ya guys karena memang biasanya proyek-proyek IT Governance yang kita lakukan mengacu kesitu. Jenis proyek yang biasanya dikerjakan:
  • IT Governance review
  • COBIT 5 Maturity Assessment
  • IT Governance dalam konteks untuk support IT Strategic Plan
  • IT Internal Audit assessment
  • dan lain-lain tergantung kreativitas dan potensi proyek yang kita dapatkan :)


IT Regulatory Compliance
Proyek-proyek compliance review lagi cukup demanding nih terutama karena aturan / regulasi (misalnya BI dan OJK)  yang mewajibkan industri tertentu harus memenuhi / comply dengan peraturan yang masih terkait. Biasanya (sejauh ini) aturan yang menimbulkan banyak proyek adalah PBI dan POJK yang mengatur masalah eBanking, eMoney, eWallet, Bank Wide IT Risk Management, dan bentar lagi pasti ada yang tentang Data Privacy (efek dari GDPR di Eropa). Beberapa peraturan yang biasanya masuk scope:
  • POJK 38/2016 and SAL SEOJK21/2017
  • PBI 18/17/PBI/2016 and SEBI 18/21/DKSP
  • PBI 19/10/PBI/2017 and SEBI 14/38/DASP/2012
  • PBI 18/40/PBI/2016 and SEBI 18/41/DKSP/2016
  • PermenkominfoNo. 04/ 2016
  • PermenkominfoNo. 20/ 2016
  • dan lain-lain
FYI gak cuma industri keuangan dan telco yang ada aturan terkait IT. Baru-baru ini saya baca ada aturan kementerian perhubungan yang mencakup Cyber Security. 

Third Party Risk Management
Kalau kita baca POJK 38/2016 and SAL SEOJK21/2017 bab 9 sebenarnya Bank wajib melakukan monitoring dan audit intern untuk penyedia jasa layanan IT (vendor/third party). Nah dengan service ini kita bisa tawarkan bantuan (yang gak gratis tentunya :p) ke Bank untuk melakukan risk assessment ke vendor-vendornya Bank. Waktu mengerjakan proyek ini, saya pernah ke vendor-vendor semacam ATM switching/gateway, perusahaan arsip, perusahaan security, call center, dll. Benefitnya dapat proyek ini adalah kita jadi bisa belajar proses bisnis di perusahaan yang beda-beda bisnisnya.

IT Strategic Plan / Master Plan
Salah satu proyek di channel 2 yang biasanya "mahal". Sesuai namanya, kita bantu klien untuk membuat rencana strategis IT. Ada yang minta untuk 3 tahun, ada juga 5 tahun. kalau dari pengalaman saya, biasanya pembuatan IT Strategic Plan mencakup komponen berikut:
  • Business Environment. Ini tahap awal yang penting karena kita wajib paham bisnisnya klien seperti apa serta posisi IT sekarang bagaimana
  • Enterprise Architecture. Idealnya mengacu ke TOGAF. Ada 4 domain: Business Architecture, Information Architecture, Application Architecture, Technology Architecture)
  • IT Governance. Biasanya mengacu ke COBIT 5
  • IT Organization. Pendefinisian organisasi IT termasuk roles and responsibilities.
IT Project Management Office (PMO)
Sesuai namanya, model proyeknya adalah kita menjadi PMO untuk proyek tertentu. Yang biasanya butuh PMO itu proyek-proyek besar kayak misalnya implementasi ERP. Tapi ada juga kok proyek-proyek yang menurut saya tidak terlalu besar tapi butuh jasa PMO. Saya sarankan baca-baca tentang PMBOK (Project Management of Body Knowledge). PMBOK ini best practice buat project management yang uda common dipakai. Selain PMBOK sebenarnya ada lagi yaitu PRINCE2, cuma nampaknya jarang dipakai di Indonesia.

User Access / Segregation of Duties (SoD) Review
Buat rekan-rekan Channel 1 nampaknya SoD review sudah tidak asing lagi. SoD review juga bisa masuk ke Channel 2. Sebagai contoh ada opty SoD review yang digabung sama assessment untuk Identity & Access Management (IAM).

Lain-Lain
Selain yang saya sebutkan di atas, masih banyak potensi jenis proyek channel 2. Sebagai contoh, saya pernah mengerjakan proyek-proyek berikut:
  • Digital Transformation. Di proyek ini lebih menitikberatkan ke sisi Infra dan Service Operation (salah satu domain IT Service Management) yang Agile. Nahloh ilmu infra dan ITSM digabungin sama konsep agile dan DevOps.
  • IT Security Audit Guideline. Intinya saya membuat panduan audit keamanan TI.
  • Technology Architecture. Di proyek ini saya melakukan identifikasi kebutuhan user, membuat RFI, RFP, vendor scoring, dan membuat kajian-kajian tertentu terkait IT Security dan DevOps.
  • Security Technology Implementation. Nampaknya di Indonesia belum ada Big 4 yang melakukan implementasi teknologi. Ini saya kerjakan waktu saya di Dimension Data. 
Beberapa jenis proyek yang masih bisa diexplore adalah:
  • IT Service Management.  Bentuk proyeknya bisa kajian/assessment/improvement IT Service Management klien. ITSM secara best practice mengacu ke IT Infrastructure Library (ITIL). Pernah juga ada proyek ITSM maturity assessment. Selain itu, beberapa perusahaan yang saya tahu pernah membutuhkan jasa untuk penyusunan IT Service Catalogue.
  • Data Analytics. Data analytics yang saya maksud ini gak hanya terbatas ke analitik hal-hal yang berkaitan dengan financial data, tapi lebih dari itu. Untuk saatini kebanyakan data analytics diarahkan ke data visualization. Bukan promosi, tapi dari mulut ke mulut yang common pakai Tableu. Untuk di level teknis, saya sarankan belajar ilmu data science. Saya sendiri sedang belajar sedikit-sedikit karena data analytics ini bisa juga dipakai dalam konteks security.
  • Cloud. Cloud merupakan salah satu bagian dari Digital Transformation. Sejauh ini sudah demand buat cloud migration. Bisa juga kita tawarkan cloud risk/security assessment dan cloud readiness assessment.

Kesimpulan
Berhubung keterbatasan waktu dalam menulis, rasanya saya hanya mampu untuk menulis secara overview. Buat pembaca yang ingin tahu lebih detil di bagian tertentu, monggo bisa kontak saya di eryk.pratama@gmail.com atau PM ke Linkedin saya.  Jika sama-sama ada waktu tidak menuntup kemungkinan untuk kopdar.

Semoga bermanfaat. Semangat menulis, semangat berbagi :))



Salam,
Eryk Budi Pratama

Personal Branding dengan Linkedin




Linkedin merupakan social media yang ditujukan untuk menampilkan profil diri kita yang sesuai dengan profesionalisme kita, misalnya pengalaman kerja, bisnis, penelitian, proyek, dan lain-lain. Berhubung saya tidak punya datanya, saya tidak tahu seberapa banyak rekan-rekan di Indonesia ini yang sudah tahu dan menggunakan Linkedin. By the way, ini tulisan tidak ditujukan untuk promosi Linkedin. Saya gak dibayar sepersen pun kok :) Hanya ingin coba bantu jelasin kepada rekan-rekan yang mungkin belum tahu. Buat yang sudah tahu, mungkin ada hikmah yang bisa diambil dari tulisan saya.

Melanjutkan penjelasan sebelumnya, intinya, Linkedin ini merupakan media promosi yang sangat bermanfaat untuk saya pribadi karena sangat membantu untuk perkembangan karir di bidang IT. Banyak manfaat yang saya dapatkan dari sini, misalnya tawaran pekerjaan, bisnis, kolaborasi, dan lain-lain. Oia ini account Linkedin saya : https://www.linkedin.com/in/erykbudipratama/. 

Linkedin sendiri terdiri dari beberapa section yang bisa diatur sesuai keinginan kita. Kebetulan saya menggunakan hampir semua section yang ada di linkedin. Menurut saya, section yang penting adalah bagian Summary, Experience (pengalaman kerja), Recommendations (rekomendasi dari rekan lain yang uda punya account Linkedin juga), dan Accomplishments. Accomplishments terdiri dari beberapa subsection. Menurut saya yang penting untuk dicantumkan adalah Projects, Honors & Awards, Certifications, Organizations, dan Publications. Untuk contohnya, bisa dilihat langsung di profil saya :D

Pada dasarnya Linkedin ini Free kok seperti media sosial yang lain. Tapi ada juga yang Premium alias berbayar. Alhamdulillah saya diberi kesempatan untuk menikmati fitur Premium ini. Sebenarnya banyak manfaatnya menggunakan fitur Premium. Apa saja manfaatnya? Sejauh pengamatan saya, berikut manfaatnya: 
1) Top Applicant Job. Kita bisa lihat profil kita jika dibandingkan dengan yang lain, itu posisinya dimana. Ini sebagai contoh, untuk posisi-posisi berikut saya termasuk Top 10% dan Top 50%.


2) Competitive Intelligence about other Applicants. Nah ini yang menarik menurut saya. Misalnya kita mau apply job di suatu perusahaan, kita bisa lihat orang-orang lain yang apply profilnya seperti apa. Tidak detail tapi setidaknya bisa menggambarkan skill, current role, pas experience, seniority level, education, dan location apa saja.

3) Who Your Viewers.  Nah ini bedanya sama yang versi Free. Disini saya bisa lihat siapa saja yang view profil saya secara UNLIMITED. Kalau yang free setahu saya terbatas. Jadi kita bisa tahu orangnya siapa aj, terus ada klasifikasinya juga berdasarkan perusahaan dan job title yang lihat profil kita.

4) Meningkatkan kemungkinan kita untuk ditemukan oleh pencari kerja (recruiter atau head hunter).
5) Dapat free 5 InMail. Jadi InMail ini semacam email yang bisa kita kirim langsung tanpa harus connect ke orang yang kita tuju,

Buat rekan-rekan yang masih pakai Free, jangan khawatir. Linkedin punya fitur namanya Social Seling Index. Kalau kata Linkedin: "Your Social Selling Index (SSI) measures how effective you are at establishing your professional brand, finding the right people, engaging with insights, and building relationships. It is updated daily". Ini URLnya : https://www.linkedin.com/sales/ssi. Ini contoh punya saya. Berhubung jarang update, jadinya SSI indexnya gak terlalu bagus :)

Menurut pengalaman saya, berikut adalah tips yang dapat saya berikan agar profil rekan-rekan dapat ditemukan dengan mudah oleh Rekruiter.
  1. Kata kunci pada bagian paling atas Intro. Menurut saya ini bagian yang kritikal karena saat rekruiter/headhunter/HRD ingin mencari orang, pasti mereka memasukkan kata kunci. ebisa mungkin masukkan kata-kata kunci yang relevan dengan objective kalian. Misalnya, saya ingin berkarier di bidang IT, khususnya di IT Security. Tulisalah kalimat yang relevan, misalnya "IT Security Consultant", "IT Security Professional", "Cyber Security Enthusiast", atau sejenisnya. Riset tentang kata kunci tertentu cukup penting untuk meningkatkan kemungkinan profil kita ditemukan terhadap kata kunci tertentu.
  2. Buat Summary yang ringkas, padat, dan jelas.  Bagian summary ini cukup penting karena pada dasarnya tidak semua orang punya banyak waktu untuk melihat detil profil orang, terutama bagi para rekuriter/head hunter/HRD karena biasanya mereka banyak melakukan review terhadap profil orang. Sama seperti saat membuat CV, filtering pertama ada di bagian Summary. Kalau saya sendiri biasanya memasukkan secara ringkas pengalaman saya di bidang apa saja dan ringkasan jenis project apa saja yang pernah saya kerjakan. Sertifikasi bidang IT juga saya tampilkan. 
  3. Buat penjelasan di bagian Experience dan Projects dengan detail. Saya berusaha memberikan deskripsi pekerjaan dan project dengan detail, walaupun tidak semuanya. Ada beberapa yang hanya saya tulis penjelasan singkatnya. Semakin detail informasi yang kalian berikan, memudahkan orang lain memahami apa yang kalian kerjakan. 
  4. Update tulisan dan share status. Saya sangat menyarankan kalian untuk bisa menulis artikel di Linkedin. Tips dari saya, setelah kalian selesai publish artikel, dishare secara rutin dengan interval waktu tertentu. Misalnya tiap sebulan sekali, artikel yang sama kalian share ulang. Hal ini dilakukan untuk memastikan bahwa orang-orang yang baru jadi connection kalian itu aware sama artikel kalian. Lebih bagus lagi kalau kalian rajin nulis artikel. Selain itu, kalau misalnya kalian sibuk banget, bisa juga dengan share status. Share status ini gampangannya kalian share link berita, terus kalian kasi komen. Beberapa orang yang saya perhatikan, mereka share link berita tiap hari. Bahkan ada yang sehari bisa lebih dari 10x share link berita. Dampaknya apa? Tiap buka linkedin, orang tersebut selalu nongol di atas, apalagi kalau banyak yang komen. 
  5. Nimbrung di status atau artikel orang yang terkenal. Kalian bisa coba juga kasi komen di status atau artikel orang lain yang menurut kalian punya influence banyak dan terkenal. Saya pernah coba iseng komen ke status orang yang menurut saya cukup terkenal. Alhasil, besoknya jumlah viewers tiba-tiba naiknya lumayan. Tentunya saya sarankan komen yang cerdas ya guys :)
  6. Minta rekomendasi dari rekan kerja. Nah ini cukup penting juga. Rekomendasi dari rekan-rekan kita membantu profil kita agar lebih meyakinkan buat rekuriter/headhunter/HRD. Jadi, minta rekomendasi yang baik-baik ke rekan kalian ya dan jangan lupa kasi rekomendasi balik biar ada hubungan mutualisme :D

Ini saya kasi contoh beberapa tawaran yang pernah saya dapatkan.



Ada beberapa tawaran lain juga yang datang dari Indonesia, USA, dan lainnya. Karena saya masih ingin di Indonesia aja, jadi dengan terpaksa gak saya ambil tawaran yang dari luar.

Sekian yang dapat saya sampaikan. Feel free untuk kasi komentar, kritik, dan saran. Semoga bermanfaat ^_^


Salam,

Eryk Budi Pratama
Senior Consultant at PwC





Kelebihan Berkarier di Big 4


Beberapa minggu yang lalu saya sempat membaca artikel yang menarik tentang benefit dari berkarier di Big 4. Dulunya Big 4 dikenal sebagai professional services di bidang accounting, namun sekarang bisnisnya sudah banyak berkembang di bidang consulting (advisory) juga. Sebagai informasi saja, saya salah satu konsultan EY di service line Advisory. Pada artikel ini, saya ingin sedikit menambahkan informasi atau memberikan tanggapan atas artikel yang saya baca tersebut. Segala tulisan saya berdasarkan apa yang saya rasakan dan pengalaman selama di EY (khususnya di service line Advisory). Untuk "Big 4" yang lain seperti PwC, Deloitte, dan KPMG bisa saja sama tapi bisa juga berbeda karena faktor-faktor yang mempengaruhi juga pasti beda.

Exponential learning curve
Bukan rahasia lagi bahwa bekerja di Big 4 dapat meningkatkan secara cepat pengetahuan, pengalaman, dan kemampuan di bidang tertentu yang kita tekuni (atau bidang yang masih relevan). Jika diibaratkan sebagai kurva, maka bentuknya eksponensial. Dalam waktu yang singkat, kita bisa mendapatkan banyak pengalaman, baik untuk bidang yang jadi core competencies kita, bahkan bidang-bidang yang masih relevan dan tidak secara langsung relevan dengan expertise kita. Selama 2 tahun di EY, saya sudah mengerjakan puluhan proyek. Lebih banyak dari umur saya tentunya :)
Kalau kata beberapa orang yang saya kenal, 1 tahun di EY sama dengan beberapa tahun di perusahaan non-consulting. 
Kadang dalam satu waktu, saya bersama tim mengerjakan lebih dari 1 proyek. Pokoknya serba paralel. Selain itu, jenis proyek yang dikerjakan pun beragam sehingga pengalaman yang saya dapatkan dari setiap proyek pun cukup berbeda. Untuk proyek yang sama, kesempatan buat saya untuk meningkatkan efektivitas kerja. Untuk proyek yang beda, kesempatan buat saya untuk belajar hal baru. Saya sudah pernah menulisnya di sini, di sini, di sini, dan di sini. Saya juga menuliskan rangkuman dari jenis proyek yang pernah saya kerjakan di jejaring sosial Linkedin.
Memang Big 4 tempat yang tepat untuk mempercepat pengalaman, pengetahuan, dan batu loncatan untuk akselerasi karier.

Opportunity to take on large amounts of responsibility very early in your career
Ini tantangan yang saya suka. Idealnya, seorang konsultan mengerjakan hal-hal yang menjadi bidangnya. Misalnya saya sebagai cybersecurity consultant, hanya melakukan pekerjaan seputar cybersecurity, misalnya melakakukan pentest, compliance review, security audit, ISO 27001 assessment, dan sejenisnya. Melakukan project planning, kick-off, reporting, presentation juga bagian dari tugas dan masih relevan. Saya ingin tanya, pernah tidak untuk konsultan freshgrad atau yang pengalaman kerjanya di bawah 2 tahun diberi tanggung jawab untuk melakukan business development (bikin proposal, ikut tender, cari project)? project management? resource management? team development? Kalau masuk EY khususnya tim saya, harusnya hal-hal tersebut bakal kita kerjakan. Beberapa pekerjaan yang harusnya dikerjakan di level manajer pun bisa dikerjakan oleh level staff (1-2 tahun). Jadi, terbukti memang banyak tanggung jawab yang saya dan tim pegang di awal-awal karier sebagai konsultan.
There are very few careers that allow you to start obtaining direct managerial experience by age 24
Umur saya 24, sesuai dengan salah satu kutipan di atas bahwa di usia yang masih sebiji jagung gini saya bisa merasakan managerial experience. Bahkan untuk beberapa proyek yang melibatkan EY Global, saya benar-benar manage itu proyek karena memang saya menjadi PIC di Indonesia jika ada proyek dari luar negri. Di Big 4 ada sistem counseling dimana kita selain dituntut untuk menyelesaikan pekerjaan dengan baik, juga harus bisa mengembangkan kemampuan tim. People development. Seorang manajer selain harus mengatur pekerjaan tim, juga harus dapat mengembangkan tim.

You will work with incredibly smart and successful people every single day
Kalau yang ini tidak perlu diragukan lagi. Banyak orang-orang super di EY. Banyak dari rekan-rekan se-project yang lulusan luar. Banyak juga rekan-rekan yang high performer dan smart. Beberapa juga ada yang sampai double promote karena prestasinya luar biasa. Ya semoga saja nular ke saya juga hehe. Dalam sebuah project, kadang saya setim dengan rekan-rekan dari tim lain. Misalnya seperti saat ini,saya sedang mengerjakan project bersama dengan rekan-rekan dari FSO dan IT Advisory. Pernah juga setim sama anak IT Audit (Di EY istilahnya Channel 1). Manfaatnya sih dengan tim yang berasal dari beberapa spesialisasi, saya jadi bisa belajar dikit-dikit yang biasanya mereka kerjain dan bagaimana cara mereka bekerja. Banyak yang saya pelajari dari orang-orang di EY.

You will have every opportunity to prove yourself and succeed
Setiap orang punya kesempatan yang sama. Di sini kesempatan untuk membuktikan diri bahwa kita bisa menjadi lebih baik dan memberikan kontribusi terbuka lebar. Sebagai konsultan dengan bidang-bidang tertentu yang sesuai dengan spesialisasi, kadang (bahkan sering) dituntut untuk bisa menguasai banyak hal, entah itu yang berhubungan sama bidang kita maupun tidak, bahkan untuk hal-hal yang bersifat administratif. Kadang kita diberikan kepercayaan untuk mengemban tanggung jawab yang lebih dari apa yang seharusnya kita lakukan di level saat sekarang kita berada. Kita dituntut untuk bisa menembus batas kita dan belajar banyak hal dalam waktu cepat. Memang dengan banyaknya yang kita pelajari dan kerjakan, membuat pikiran lelah dan capek. Tapi hikmahnya, saya jadi terbiasa untuk belajar dan memahami hal-hal baru dalam waktu yang singkat. Saya sangat senang karena ini salah satu bentuk latihan untuk menjadi seorang versatilist.

Annual promotion
Kelebihan dari Big 4 adalah adanya annual promotion. Saya pernah menulis artikel yang menyebutkan sedikit gambaran jenjang karier di EY. Setiap tahun ada performance review untuk menentukan promotion atau progression. EY punya namanya PMDP (performance management and development process). Saya pernah menjelaskan sekilas tentang PMDP di sini. Berhubung saya di level yang belum tahu detil proses PMDP di balik layar seperti apa, mungkin saya tidak bisa banyak menjelaskan terkait hal tersebut. Di big 4 (khususnya EY), kami ditutntu untuk menjadi "high performer consultant". Kalau gak perform dengan baik, jangan harap mudah untuk naik apalagi untuk promotion (misalnya dari Senior 4 ke Manager 1 atau Manager 3 ke Senior Manager 1). 
Di EY ada istilah promotion dan progression. Kalau promotion itu untuk naik level, misalnya Assistant ke Senior (A2 ke S1), Senior ke Manager (S4 ke M1), atau Manager ke Senior Manager (M3 ke SM1). Progression itu kenaikan gradenya, misalnya dari Senior 1 ke Senior 2 atau Manager 2 ke Manager 3, dsb. Kalau ngomongin gaji, menurut saya untuk progression lumayan lah selisihnya apalagi kalau promotion :)

World-class experiences and International opportunities
Walaupun saya belum pernah dikirim ke luar negri, tapi saya beberapa kali terlibat dalam project skala global. Dalam project terkatit ISO 27001 Maturity Assessment dan Third Party Security Assessment, saya bekerja sama dengan EY Prancis, Hongkong, Singapore, dan India. Minimal saya bisa belajar bagaimana pola mereka dalam bekerja dan aksen dalam berbicara bahasa Inggris.

Exposure to high ranking client personnel, including executives
Selama ini, saya sudah bertemu dengan orang-orang di level operations dan executives. Untuk project tertentu, cukup mudah jika kita ingin bertemu dengan top level management. Padahal untuk staf di perusahaan itu sendiri mungkin gak mudah dan butuh waktu untuk bisa berdiskusi langsung dengan executives secara maksimal. Dari project yang selama ini saya kerjakan, banyak yang bilang kadang orang dalam lebih mau mendengarkan saran konsultan ketimbang orang dalam itu sendiri. Di situ salah satu kelebihan bekerja sebagai konsultan, khususnya di Big 4.

Stamp of approval on your resume
No comment untuk yang ini. Yang jelas, beberapa kali sudah ada yang offer ntah itu via linkedin maupun media yang lain. :)

Kurang lebihnya seperti itu. Semoga bermanfaat  ^_^
   

 
Eryk Budi Pratama, S.Kom, CEH, CHt.
IT Advisory Consultant - Cyber Security - Ernst&Young (EY)

Final Year Review FY16 (PMDP) Ernst&Young (EY)


Sudah hampir setahun tidak menulis blog. Sejak terakhir saya menulis ini memang project yang berdatangan cukup padat, baik project penetration testing maupun non-pentest. Project non-pentest ini ada beberapa, di antaranya adalah:
  • Pembuatan pedoman dan petunjuk teknis audit keamanan informasi di salah satu kementerian
  • Security Program Management (SPM) assessment. Sekarang namanya Cyber Program Management (CPM)
  • Third Party Security Assessment (TPSA)
  • ISO 2700X Maturity Assessment
  • Compliance Review - Peraturan Bank Indonesia
Bulan ini adalah bulan dimana EY Indonesia melakukan aktivitas rutin yang menentukan karir dari para konsultannya, yaitu Performance Management Development Program (PMDP). Tahun lalu saya juga sudah menulis PMDP pada posting ini. Tahun ini yang jelas cukup berbeda dengan FY15 kemarin. Jika FY15 saya lebih banyak terlibat project pentest, FY16 ini nampaknya saya lebih banyak terlibat project non-pentest. Bisnis tim Cybersecurity EY Indonesia berkembang cukup pesat jadi project makin banyak. Positifnya adalah saya jadi bisa mendapatkan banyak pengalaman dalam waktu yang singkat. Ada sisi positif lainnya sih, tapi biarlah jadi rahasia :)

Security Audit
Nama projectnya memang security audit, simple. Tapi yang dikerjakan ada 3 bagian, yaitu penetration testing, Security Program Management (SPM), dan User Access Review.  Untuk pentest mungkin pembaca sudah familiar jika pembaca awam membaca postingan saya sebelum-sebelumnya. Untuk SPM akan saya jelaskan sedikit di bagian yang lain. User access review merupakan aktivitas melakukan pengujian terhadap akses user di sistem. Misalnya kita cek apakah akses user terhadap menu di aplikasi sudah sesuai dengan rolenya (atau sudah sesuai dengan user access matrix tidak). Kita juga cek mana saja user yang aksesnya berlebih atau overlap. Assessment ini kami lakukan di salah satu perusahaan BUMN yang terbesar di industrinya.
Untuk pentestnya sendiri juga cukup banyak aplikasi yang harus dites, baik aplikasi berbasis web maupun desktop (native). Selain itu kami juga lakukan pentest dan configuration review terhadap perangkat jaringan dan server. Project ini berlangsung sekitar 3 bulan. Cukup lama karena memang yang dicek banyak. Alhamdulillah project telah selesai dengan hasil yang memuaskan.

Security Program Management (SPM)
SPM adalah salah satu layanan yang diberikan EY di bidang information security. Saat ini namanya ganti jadi Cyber Program Management (CPM). SPM ini adalah framework dari EY yang digunakan untuk melihat maturity perusahaan terkait keamanan informasi ini sekarang seperti apa. Jika pembaca pernah baca tentang CMMI, kurang lebihnya seperti itu. Selain melihat kondisi sekarang maturitynya seperti apa, framework ini juga digunakan untuk menyusun rencanan masa depan berupa inisiatif-inisiatif kemanan informasi dan roadmap implementasinya.


Gambar di atas merupakan framework SPM (bisa dilihat di link ini juga. Jika kita lihat, domainnya cukup banyak dan komprehensif. Semua aspek keamanan informasi tercakup di framework tersebut. Perlu saya tekankan bahwa keamanan informasi tidak hanya bicara masalah teknis, misalnya red team(pentest) dan blue team(mainan firewall, siem, IDS/IPS,dll). Di sini kita berbicara enterprise information security dimana aspek-aspek yang masih berhubungan dengan kemanan informasi juga dinilai. Sebagai contoh disitu kita berbicara masalah strategy (planning), kebijakan dan prosedur, awareness, operations, architecture, security services, data infrastructure, metrics, reporting, dan lain-lain. Cukup detil dan banyak sekali pertanyaan yang bakal diberikan ke client. Kurang lebih ada sekitar 300an pertanyaan yang mencakup semua domain tersebut.

Saya melakukan assessment ini terhadap bank yang... yang bank besar pokoknya. Ada dua bank besar yang waktu itu menggunakan service ini. Ada lagi satu perusahaan terbesar di industri selain perbankan. Silakan PM saya kalau perusahaan anda ingin tahu sejauh apa implementasi kemanan informasinya. Atau ingin membuat strategi penerapan keamanan informasi. SPM ini sudah banyak digunakan di berbagai negara. Jadi ada banyak expert yang bisa bantu service ini. *loh promosi*.

Security Audit Guidelines
Sesuai judulnya, pada project ini saya dan tim membuat panduan audit dan pedoman teknis untuk melakukan audit keamanan informasi di lingungan sebuah kementerian yang menurut saya kritikal bidangnya. Kami membuat panduan umum dan teknis audit mengacu pada ISO 27K, NIST, CIS, dan best practices atau framework lain yang relevan. Melalui project ini, saya mendapatkan sebuah hikmah yaitu sebagai orang Indonesia kita harus cakap dalam menggunakan bahasa Indonesia yang baik dan benar. QA pada project ini cukup ketat karena penggunaan bahasa Indonesia yang tepat dan jelas sangat ditekankan. Alhasil, panduan umum dan teknis selesai dengan halaman yang sangat tebal karena memang kami membuatnya cukup detil.

Third Party Security Asssessment (TPSA)
Ini project pertama saya yang membuat saya bisa terhubungan dengan EY Global (negara lain). Pada project ini saya berkoordinasi dengan EY Singapore dan India. Klien dari project ini adalah sebuah bank yang sangat besar yang pusatnya di UK. Intinya, project ini adalah untuk menilai sejauh mana vendor / third party / pihak ketiga dari bank tersebut dalam menerapkan keamanan informasi di perusahaannya. Sebagai assessor, kami dituntut untuk bisa menemukan dan menganilisis risiko-risiko yang ditemukan pada vendor tersebut. Ada beberapa vendor yang kami tangani yaitu vendor di bidang ATM switching, call center, security service, record management, dan lain-lain. Hikmah dari project ini adalah saya jadi bisa belajar banyak proses bisnis vendor-vendor yang tentunya bidang bisnisnya beda. Hikmah lainnya adalah saya jadi harus komunikasi baik lewat email maupun telpon dengan bahasa Inggris. Lumayan latihan conversation gratisan. 

ISO2700X Maturity Assessment
Ini adalah project kedua saya yang membuat saya bisa terhubung dengan EY Global lain yang berbeda dari project TPSA. Saya berkoordinasi dengan EY China dan Prancis. Kliennya adalah perusahaan asuransi yang sangat besar yang pusatnya di Eropa. FYI, tipikal project seperti TPSA dan ISO 27K ini adalah project Global, jadi dilakukan juga di negara-negara lain yang memang disitu ada cabangnya. Sesuai dengan namanya, saya melakukan penilaian terhadap maturity keamanan informasi berdasarkan ISO2700X. Untuk pembaca yang belum tahu, ISO 2700X adalah standar ISO untuk kemanan informasi. Saya tulis "X" karena angka di belakangnya ada banyak. Detilnya ada di sini. Dalam project ini saya menggunakan ISO27001 dan ISO27002. Dalam project ini saya menilai sejauh mana penerapan kemanan informasi dan memberikan rekomendasi untuk bisa naik ke level yang disepakati.

Compliance Review - Peraturan Bank Indonesia
Berhubung judulnya ada Bank Indonesia, jadi project ini hanya melibatkan EY Indonesia. Pada project ini kami melakukan kajian kepatuhan (compliance review) atas produk baru dari bank dan payment gateway yang akan launch untuk publik agar sesuai dengan Peraturan Bank Indonesia No. 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank. Selain itu untuk produk yang berkaitan dengan transaksi keuangan, kami juga mengacu ke Surat Edaran BI No. 11-10-2009 / PBI No. 11/11/PBI/2009 tentang Alat Pembayaran Menggunakan Kartu (APMK). Sebagai catatan bahwa PBI terkait APMK diganti ke PBI No 14/2/PBI/2012. Beberapa jenis produk yang kami cek adalah terkait debit card, payment gateway, digital banking. Dalam project ini tetap kami lakukan DC/DRC review. Lumayan lah sambil jalan-jalan ke DC/DRC :)

Jadi seperti itulah gambaran umum project yang saya kerjakan FY16 ini. Sebenarnya saya masih mengerjakan juga beberapa project pentest yang kliennya bank. Saat ini tim sedang mengerjakan pentest di perusahaan non bank juga. Project semakin banyak, baik yang teknikal dan non-teknikal. Hikmahnya adalah kami jadi cepat belajar dan menambah banyak pengalaman dalam waktu yang singkat karena beberapa project sebenarnya paralel. Selain menjalankan rutinitas dalam mengerjakan project yang silih berganti datangnya, saya bersama tim juga sedang mengembangkan working paper agar lebih baik lagi. Diharapkan dengan adanya project-project yang telah saya kerjakan, bisa membantu saya dan tim dalam mengembangkan bisnis baru dan menciptakan peluang-peluang yang masih relevan dengan keamanan informasi.

Proses round table pada PMDP telah selesai, tinggal menunggu hasil apakah tahun ini saya promote ke senior atau tidak.  Semoga tahun ini naik biar bisa cepet... ehhh cepet apa ya haha.

Semoga bermanfaat :)



Eryk Budi Pratama, S.Kom, CEH, CHt.
IT Advisory Consultant - Cyber Security - Ernst&Young (EY)

Pengalaman Security Assessment (Penetration Testing) di Ernst&Young (EY)


Sudah hampir setahun saya meniti karier di salah satu perusahaan jasa professional di bdiang audit and consulting ini. Dalam perjalanan yang tentunya tidak mudah ini cukup banyak ilmu dan pengalaman yang saya dapatkan dari Ernst&Young Indonesia (EYI). Bisa dibilang layanan Information Security di EY termasuk yang muda diantara layanan-layanan EY yang lain khususnya di Advisory. Masih berkaitan dengan dua tulisan saya sebelumnya tentang profil EY dan persiapan final review, hampir setahun ini saya sudah banyak belajar tentang layanan-layanan EY yang terkait dengan IT, mulai dari yang jadi pekerjaan rutin saya di bidang Information Security, sampai dengan bidang-bidang konsultansi IT lainnya seperti IT Risk Management, IT Audit, IT Governance & Strategy, Business Continuity/Disaster Recovery, IT effectiveness, IT Process Improvement and Maturity, Enterprise Architecture, dan beberapa hal lainnya.

Pada tulisan kali ini saya coba menceritakan sedikit pengalaman saya di bidang Information Security. Pada sebagian besar project, saya terlibat untuk mengerjakan pengujian keamanaan (security assessment) khususnya penetration testing (pentest). Bagi rekan-rekan yang awam, pentest itu semacam aktivitas untuk melakukan eksploitasi terhadap sistem berdasarkan hasil dari vulnerability assessment  (VA). Kalau VA sendiri ibaratnya pengujian keamanan juga tapi sampai tahap mengidentifikasi kerentanan-kerentanan yang ditemukan pada sistem. Nah, pentest itu tahap setelah VA, yaitu mengeksploitasi  kelemahan-kelemahan yang ditemukan saat VA tadi. Dalam hampir setahun ini, sudah banyak project pentest yang saya kerjakan dan ke depan bakal ngantri project untuk pentestnya :D

Sebelum mengerjakan project pentest saya yang pertama, saya belajar melakukan IT General Control (ITGC). ITGC adalah bagian dari IT audit untuk melakukan pengecekan terhadap kontrol-kontrol pada sebuah sistem. ITGC sendiri terdiri dari tiga bagian. Tapi dalam pentest saya hanya menggunakan bagian logical access (LA) yang secara umum dikenal sebagai configuraion check untuk melengkapi hasil pentest amaupun VA. Beberapa platform OS dan dabatase yang pernah saya uji adalah:
  • Operating System (OS400/IBM i, AIX, Red Hat Enterprise Linux, Fedora Core, CentOS, Windows Server 2008&2012)
  • Database (SQL Server 2008, Oracle 10g &11g, PostgreSQL)
Untuk pentest, project banyak datang dari bank. Ada juga dari salah satu perusahaan penyedia DC dan aplikasi core banking. Industri perbankan dan keuangan memang lahan yang bagus untuk para praktisi di bidang IT security. Project pertama saya adalah melakukan pentest terhadap salah satu aplikasi yang menjadi core business application di sebuah bank besar di Indonesia. Karena waktu itu saya masih pemanasan, jadi tidak banyak finding yang bisa saya temukan. Berikutnya saya mendapatkan project untuk pentest di platform mobile enterprise. Platform ini nantinya akan digunakan sebagai pusat bagi project-project mobile services berikutnya bagi bank tersebut.

Selanjutnya saya mendapatkan project yang bisa dibilang sangat besar, yaitu Bank Wide. Jadi saya dan tim melakukan pentest terhadap seluruh aset yang dimiliki oleh bank. Kebayang kan berapa banyak server yang harus di-pentest karena bank ini termasuk kategori bank besar yang hampir setara dengan 4 besar bank BUMN yang mungkin pembaca sudah tahu.

Sambil jalan project Bank Wide, saya mendapatkan project terkait Delivery Channel (E-banking) audit. Saya hanya fokus di pentest karena sudah ada tim lain yang menangani bagian compliance. Untuk project yang ini juga lumayan besar karena scopenya tidak hanya server dan aplikasi Internet Banking, tapi juga ATM system dan mobile banking application. Pada project inilah saya pemanasan untuk pentest ATM. Saya sangat bersyukur karena project ini menambah portfolio pentest saya sehingga saya sudah melakukan pentest untuk beberapa jenis platform. Sebenernya ada satu yang saya masih penasaran yaitu pentest SCADA system. EY di negara lain pernah melakukannya. Untuk di Indonesia sendiri sepertinya belum ada. Semoga suatu saat ada dan saya bisa dapet project tersebut.

Berikutnya saya melakukan pentest terhadap ATM system di salah satu bank terbesar di dunia. Project ini cukup unik karena hampir semua sistem entah itu core banking maupun ATM didevelop secara in-house alias bikin sendiri. Setahu saya ini satu-satunya bank yang berani develop hampir seluruh sistemnya secara in-house. Berbekal pengalaman pentest ATM di bank sebelumnya, saya melakukan beberapa penambahan pengujian pada sistem ATM ini karena memang fokus dari project ini ada di sistem ATMnya. Pengujian yang saya lakukan sampai ke tahap reverse engineering baik menggunakan static maupun dynamic analysis. Sistem di dalam mesin ATM itu sendiri cukup kompleks. Lumayan lah susahnya hehehe. Selain dari mesin ATM, saya juga melakukan pengujian terhadap ATM switching dan beberapa server terkait baik itu dari sisi server-server itu sendiri maupun transmisi/transaksi data. Seru deh pokoknya. Selain itu saya juga melakukan PBI compliance untuk Data Center.

Setelah project ATM, datang silih berganti project-project untuk pentest web application dan mobile application. Seperti biasa, selain dari sisi mobile application, pengujian juga dilakukan terhadap sisi infrastructure (server) dan aplikasi (web-based application).  Saya juga masih melakukan PBI compliance terhadap data center di salah satu perusahaan penyedia DC. Pada salah satu project, ada pengalaman yang unik ketika saya dan tim melakukan pentest di ruang server dan di dalam data center. Iya, DI DALAM DATA CENTER. Kebayang kan betapa dingin dan bisingnya di dalam DC. Selain melawan sistem yang ingin di-pentest, saya harus melawan dingin dan kepala yang makin lama terasa beku. Bayangkan berada di dalam data center selama berjam-jam. Beruntung saat keluar dari DC tidak jadi es batu haha.

Saya masih mengerjakan juga project Bank Wide untuk bank lain. Bedanya kali ini saya melakukan pentest juga terhadap core banking system karena masuk dalam scope. Masih ada beberapa project lain yang mungkin tidak saya tulis di sini. Menjelang lebaran pun masih ada project pentest. Setelah lebaran juga. Berdasarkan informasi juga dalam setahun ke depan masih banyak project pentest yang dikerjakan. Kebayang kan serunya bisa banyak melakukan pentest. Ibaratnya tentara, latihan perang selama masih di akademi tidak sia-sia karena sering dipakai dan skill semakin terasah.

Mungkin ini yang bisa saya share untuk para pembaca. Jika saya tulis detil mungkin bisa jadi sangat panjang tulisan ini hehe. Inti dari tulisan saya adalah bahwa saya ingin menunjukkan kalau bidang information security ini "kue"nya juga banyak. Selama ini mahasiswa IT yang paling banyak pasti ke bidang software development/programming, infrasturcture, dan network. Jika dibandingkan denga  bidang IT yang lain, mungkin jumlah praktisi di bidang information security ini jauh lebih sedikit.

Semoga tulisan saya ini bermanfaat. Semangat !! :)



Eryk Budi Pratama, S.Kom, CEH
IT Advisory Consultant, Ernst & Young Indonesia (EY)

Labels

400 education adsl2+ advisory apec as400 auditor bakrie telecom bakrieland bakrieland goes to campus big 4 bisnis BLOG BTEL bts building relationship ccna ceh certified ethical hacker changi chevron CHIP cloud cloud computing collaboration comptia corporate affairs daily social db2 diskusi panel drupal edugate elektro emart ericsson indonesia ernst&young erp eryk budi pratama event report ey fo gaji game developer game development game programmer goes to school gpon gratis harapan hipnosis hipnoterapi i-Community iArmy IBM IBM i ibm indonesia ibm technology iCommunity ict award iFestival ilmu inaicta INDC international islamic university malaysia internship inti college IT IT consultant it risk assurance jaringan komputer kampus karier kebersamaan klcc komunikasi konsultan konsultan IT kuala lumpur kuliah larkin liburan linkedin magang makan malaysia mandiri young technopreneur membangun relasi microsoft mimpi MNC modem money matters moonson academy mrtg MUGI NET network nilai noc nokia noqc opera software paper pengalaman petronas php presentasi proferyk project management proposal proxmox queen street relasi relationship robotika rynet s40 web apps salary sap sap01 sekolah selina limman seminar seremban sharing session sidang singapore sitroges sixma technology skripsi ss robotika statistika struktur data system i talkshow tandif teknik informatika telekomunikasi telepati telkom time tugas akhir tulisan uas ub UGM unilever universitas bakrie urbanesia usaha venture web hosting wirausaha muda mandiri workshop cloud computing young on top
 
Support : Creating Website | Johny Template | Mas Template
Copyright © 2011. Eryk Budi Pratama - All Rights Reserved
Template Modify by Creating Website
Proudly powered by Blogger