Beberapa waktu yang lalu ketika membahas terkait minimnya resource dalam dunia IT security, ternyata banyak sekali yang berpikir bahwa resource termaksud seputar pentester, ataupun IT security engineer. Padahal dunia IT security apalagi sekarang-sekarang ini cukup luas. Dan dalam industri IT security, bukan cuma dibutuhkan kemampuan hacker yang sekiranya mampu menembus pertahanan customer. Bukan hanya redteam v.s blueteam. Bukan hanya bug bounty.

Ada role-role lain yang krusial namun kurang mendapatkan perhatian. Terutama dalam kaitannya dengan bisnis. Sehingga — sorry to say, banyak sekali orang-orang bisnis dalam IT security yang pondasi dasarnya tidak kuat karena bukan berasal dari ranah teknis IT security. Biasanya karena dianggap bisa jualan maka langsung disuruh jualan produk. Tentu saja sebelumnya sudah melalui training namun seringkali trainingnya juga langsung ke produk. Ada missing link, atau gap, yang terlewati bagi mereka.

Efeknya ketika memformulasikan solusi IT security bagi customer hasilnya kurang maksimal. Bicara soal produk ataupun solusi anti-hacker, namun sama sekali belum pernah dalam hidupnya melihat bagaimana sebuah sistem di-hack. Apalagi merasakan sensasi masuk ke suatu mesin ala hacker. Memang tidak semua demikian, namun banyak sekali yang seperti itu. Hingga pada akhirnya terjebak pada paradigma “jualan” saja.

Ketika customer butuh solusi security, langsung disodorin produk. Padahal belum jelas permasalahannya. Bisa jadi produk tersebut cocok, bisa jadi tidak cocok. Apabila berperan sebagai vendor, itu adalah tugas sang vendor untuk bisa meraba kebutuhan customer bahkan meskipun customer tersebut sama sekali tidak tau apa yang sebenarnya mereka butuhkan. Namanya juga customer, fokus mereka bisa jadi pada hal lain seperti menjalankan bisnis perusahaan ataupun operasional. Tugas vendor lah yang harus mampu menggali kebutuhan tersebut.

Setelah digali baru dilihat apakah sesuai dengan produk yang dimiliki. Solusi dalam dunia IT security juga ada beragam, dan seringkali tidak bisa dipaksakan begitu saja. Oleh karean itu ada beberapa pihak yang ditunjuk melakukan proses “solution integration”. Biasa dikenal dengan sebutan SI. Nah, ini sebenarnya sangat krusial karena harus mampu memetakan mulai dari kondisi pada customer, memformulasikan kebutuhan customer, memetakan kebutuhan tersebut dengan berbagai macam solusi baik yang dimiliki oleh perusahaan sendiri maupun kolaborasi dengan para partner, hingga kemudian “merajut” menjadi satu solusi terintegrasi yang terbaik bagi customer.

Melihat dari kebutuhan diatas — misalnya memetakan kebutuhan dengan produk-produk yang ada, SI yang baik tentu harus mampu mempelajari produk-produk vendor / partner lain. Kelebihan dan kekurangannya apa terhadap kebutuhan customer. Termasuk harganya apakah sesuai dengan budget customer. Ibarat bermain puzzle deh, berusaha untuk semaksimal mungkin me-match-kan rangkaian produk / solusi agar bisa bermanfaat maksimal bagi customer.

Tugas diatas bisa jadi terdapat dalam satu individu, atau bisa juga bagi-bagi tugas dalam tim. Biasa disebut sebagai Security Architect. Nah, tentu bisa dibandingkan ketika seorang security architect memiliki pengalaman teknis dalam hal hacking dibandingkan jika belum memiliki pengalaman hacking sama sekali. Tentu sense nya akan berbeda bukan?

Apabila solusi yang dibutuhkan adalah anti-DDoS, harus paham dulu apa itu DoS (Denial of Service). Harus melihat kondisi network customer, ada komponen atau servis apa saja yang bisa menjadi target serangan DoS. Harus tau dulu beragam jenis / tehnik DDoS mulai dari ICMP flood, SYN flood, DNS Amplification, dsb.

Bisa jadi customer saking besar networknya tidak dimaintain dengan baik aset-asetnya. Sehingga perlu dilakukan semacam network scanning sederhana dalam proses assessment dimana bisa mempermudah customer mengidentifikasi aset-asetnya.

Dari situ baru kemudian disesuaikan dengan list-of-product yang dimiliki. Setiap produk tentu memiliki kelebihan dan kekurangan dimana bisa diformulasikan sedemikian rupa sehingga resiko bagi customer bisa diminimalisir sebanyak mungkin.

Dari satu contoh sederhana diatas bisa kita lihat bahwa posisi-posisi seperti architect, pre-sales, business developer, bahkan termasuk sales, tentu akan lebih baik jika di isi oleh individu-individu dimana sebelumnya memiliki pengalaman teknis dalam dunia IT security atau hacking. Dengan berbekal pengalaman sebelumnya individu-individu tersebut memiliki sense lebih dibandingkan individu yang belum berbekal pengalaman teknis sebelumnya. Sehingga ketika berbicara terkait IT security, ataupun memformulasikan solusi, biasanya lebih ‘berisi’.

Bukan berarti individu tanpa pengalaman teknis sebelumnya engga bisa mengisi role tersebut dengan baik ya. Namun biasanya cenderung beda tingkat pemahamannya.

Jenjang Karir

Nah, masalah lain, masih banyak anak-anak IT security ketika terjun ke dunia industri masih berpikir bahwa karir dalam industri IT security cuma sekedar teknis seperti pentest ataupun security engineer yang melakukan defense. Padahal namanya juga di Industri tentu ada jenjang karir yang bisa ditapaki.

Ketika sudah jenuh pentest, ataupun konfigurasi perangkat jaringan / security, mulailah pelajari role lain seperti pre-sales dimana tetap membutuhkan pengetahuan teknis namun mulai dibungkus untuk kebutuhan bisnis. Alasan yang biasa ditemukan dilapangan adalah merasa tidak mampu bersosialisasi dengan orang lain sehingga tidak punya dasar yang cukup untuk masuk ranah bisnis.

Ada banyak kok solusinya. Saya biasanya memberikan masukannya begini, kalian-kalian hobi ngoprek, pokoknya harus berhasil meskipun harus begadang-begadang, itu artinya memiliki filosofi ataupun mindset hacking. Kenapa kemudian ketika sudah mulai jenuh dan ingin cari “tantangan” lain malah menyerah dan takut duluan? Kenapa tidak berpikir bahwa dunia bisnispun sebenarnya bisa “dihack”?

Dan tidak setiap role harus dilakukan sendirian, artinya bisa bermain team. Katakanlah ambil role sebagai pre-sales, pelajari produk-produk security lain dimana justru tugasnya lebih banyak teknis, ngomong ke pihak lain gak banyak apalagi jika didampingi oleh rekan dari sales. Melalui teamwork bisa saling mengisi satu sama lain bukan?

Nah, sayangnya juga, banyak anak-anak teknis yang ketika berada di industri cenderung malas untuk pelajari hal-hal baru seperti misalnya pada contoh diatas mempelajari produk-produk berbagai vendor. Udah bertahun-tahun pentest, ya akhirnya cuma mau berkutat disitu-situ aja. Ini keliru. Jika memang passion nya disitu ya silahkan, namun jika ingin berkembang, ingin hacking hal lain, maka harus rela bersusah payah mempelajari hal-hal baru. Apabila sebelumnya sudah dianggap expert dalam ranah teknis, harus rela menurunkan “mahkota” dan menjadi “newbie” lagi dalam role baru. Jika memang memiliki spirit “hacker” dalam diri saya yakin hal-hal baru tersebut bisa dipelajari dalam waktu tidak terlalu lama. Hingga pada akhirnya dikuasai dan kembali menikmati industri IT security bahkan bisa jadi membawa manfaat lebih besar bagi pihak lain.

Dalam cerita diatas saya sempat sampaikan, ketika customer bahkan “have no idea” apa yang mereka butuhkan, maka sebagai penyedia solusi kita harus mampu menggali kebutuhan customer. Jika ditilik dari seni hacking, bukankah itu membutuhkan skill “social engineering”? Jika pihak lain menggunakan semacam kuisioner, bukankah ada cara-cara lain yang inovatif untuk menggali lebih banyak informasi yang dibutuhkan?

Dan ketika skill social engineering tersebut dipadukan dengan skillset ataupun pengetahuan teknis terkait hacking dalam arti untuk melindungi sang customer, maka hasilnya akan sangat powerful.

By end of the day, we’re still doing “hacking”, right? 😊