Home » Karier & Sertifikasi » Cara Menjadi Security Engineer — Panduan Langkah Demi Langka...
Karier & Sertifikasi

Cara Menjadi Security Engineer — Panduan Langkah Demi Langkah dari Nol

Papan roadmap bercahaya dengan 6 tonggak bulanan dari fondasi teknis sampai tawaran kerja, laptop menampilkan terminal dan cangkir kopi sebagai panduan cara menjadi security engineer

Cara Menjadi Security Engineer — Panduan Langkah Demi Langkah dari Nol

Tahun 2020 adalah titik balik karier saya. Setelah 4 tahun jadi IT support dengan rutinitas yang bikin mati rasa, saya akhirnya berhasil tembus posisi junior security engineer di sebuah perusahaan teknologi di Jakarta. Yang bikin spesial: saya nggak punya gelar S1 yang relevan (jurusan saya manajemen informatika — mostly bisnis, bukan teknis), nggak punya sertifikasi waktu itu, dan portfolio saya isinya cuma beberapa writeup CTF dan script GitHub yang random. Tapi entah gimana, di antara 200+ pelamar, saya yang keterima. Looking back, saya sadar ada pola dan strategi yang — sengaja atau nggak — berhasil. Dan di artikel ini saya akan sharing strategi itu ke kamu: cara menjadi security engineer selangkah demi selangkah, lengkap dengan rencana 6 bulan, tips portfolio, trik resume, sampai negosiasi gaji.

Ini bukan teori atau “tips dari internet”. Ini berdasarkan pengalaman pribadi saya — kegagalan, keberhasilan, dan pelajaran mahal yang saya dapat sepanjang jalan. Kalau kamu posisinya sekarang lagi stuck di Helpdesk atau IT support, atau fresh graduate yang bingung cara menjadi security engineer mulai dari mana — semoga artikel ini jadi roadmap kamu.

Bulan 1-2: Bangun Fondasi — Networking dan Linux

Jangan langsung lompat ke Hack The Box atau nyoba OSCP. Kamu akan frustasi dan berhenti. Mulai dari fundamental — dan untuk security engineer, fundamental itu networking dan Linux.

Rencana bulan pertama: networking. Pelajari OSI model, TCP/IP, subnetting, DNS, HTTP/HTTPS, dan basic routing. Target: kamu bisa jelasin apa yang terjadi dari user ketik URL sampai halaman tampil — di setiap layer. Sumber: Professor Messer Network+ (YouTube), Practical Networking (YouTube), subnettingpractice.com untuk latihan. Praktek: install Wireshark, capture traffic laptop sendiri pas browsing, dan analisis packet-nya. Lihat TCP handshake, DNS query, HTTP request/response secara real.

Rencana bulan kedua: Linux. Install Ubuntu (atau Fedora) sebagai daily driver — jangan cuma VM yang dibuka seminggu sekali. Target: kamu nyaman di terminal; bisa navigasi file system, manage permissions, edit file dengan vim/nano, manage services dengan systemd, dan bikin bash script sederhana. Sumber: OverTheWire Bandit (gratis, belajar sambil main game), Linux Journey (website gratis), dan The Linux Command Line (buku gratis).

Di akhir bulan kedua, kamu harus bisa: install Ubuntu dari scratch, konfigurasi IP statis via command line, setup SSH server dengan key-based authentication (bukan password), dan bikin script bash yang automate backup log.

Bulan 3-4: Masuk ke Dunia Security + Mulai Scripting

Sekarang fondasi udah ada, kita masuk ke core security concepts. Jangan terburu-buru nyobain exploitation — kita mulai dari defensive side dulu, karena security engineer lebih banyak ngurusin hardening dan defense daripada attacking.

Rencana bulan ketiga: security fundamentals. Pelajari CIA triad, defense in depth, least privilege, zero trust, risk management basics, security controls classification (preventive, detective, corrective), dan basic threat modeling (STRIDE, attack trees). Lalu masuk ke OWASP Top 10 — ini wajib. Jangan cuma baca, praktek: deploy DVWA (Damn Vulnerable Web Application) di localhost, dan coba setiap vulnerability sambil baca dokumentasi. Target: kamu bisa jelasin setiap OWASP Top 10 item, root cause-nya, dan mitigasinya. Sumber: OWASP official documentation, PortSwigger Web Security Academy (mulai dari beginner labs), dan TryHackMe (path: Introduction to Cyber Security).

Rencana bulan keempat: scripting intensif. Sekarang kamu perlu Python. Kenapa bulan keempat? Karena sekarang kamu udah cukup ngerti security untuk ngerti kenapa scripting penting — kamu bisa langsung aplikasikan. Target: bisa bikin script Python untuk: parsing log file dan ekstrak IP address yang mencurigakan, automasi HTTP request (pakai requests library), bikin simple port scanner (pakai socket), dan interaksi dengan API (REST). Sumber: Automate the Boring Stuff with Python, Python Crash Course, dan Codecademy Python 3 Course (yang gratis).

Di akhir bulan keempat, proyek portfolio pertama: bikin script Python untuk automasi security check (misalnya: cek apakah website target punya header keamanan yang tepat — HSTS, CSP, X-Frame-Options). Taro di GitHub dengan README yang jelas.

Bulan 5: Spesialisasi Awal + Bangun Lab

Bulan kelima adalah bulan transisi — kamu mulai memilih area spesialisasi awal dan ngebangun bukti konkret skill kamu.

Pertama, pilih area fokus: network security, application security, atau cloud security. Saran saya untuk pemula: pilih network security atau cloud security — keduanya relevan untuk entry-level security engineer dan lebih terstruktur belajarnya. Application security cenderung lebih dalam dan butuh pemahaman development yang kuat.

Kalau kamu pilih network security: belajar firewall administration (coba pfSense — gratis dan banyak tutorial), IDS/IPS concepts (Snort atau Suricata), VPN setup (WireGuard), dan network segmentation. Proyek: bikin homelab dengan pfSense sebagai router/firewall, beberapa VLAN, dan rules yang memisahkan network management, user, dan server. Dokumentasikan.

Kalau kamu pilih cloud security: belajar AWS (atau Azure) fundamentals, fokus ke IAM, VPC, security groups, S3 bucket policies, CloudTrail logging, dan basic monitoring. Proyek: deploy aplikasi sederhana di AWS dengan best practice keamanan — EC2 di private subnet, ALB di public subnet, security group yang ketat, CloudTrail enabled, dan alerting untuk konfigurasi yang menyimpang. Dokumentasikan.

Di akhir bulan kelima, kamu harus punya minimal 2-3 proyek di GitHub dengan dokumentasi yang jelas. Ini akan jadi bahan portfolio yang kamu pamerin pas interview.

Bulan 6: Persiapan Job Hunting

Bulan terakhir dari rencana 6 bulan ini fokus ke persiapan cari kerja. Karena percuma jago teknis tapi nggak bisa ngejual diri.

Langkah pertama: bikin resume cybersecurity. Aturan mainnya beda dengan resume IT support atau developer. Beberapa tips berdasarkan pengalaman saya: jangan cuma listing job description lama — highlight impact. Bukan “Mengelola jaringan kantor,” tapi “Mengelola dan mengamankan jaringan 200+ perangkat untuk 3 kantor cabang, menurunkan downtime insiden keamanan sebesar 40%.” Taruh technical skills section di atas. Hiring manager security biasanya scanning keywords: sebutin OS (Linux, Windows Server), networking (TCP/IP, firewall, VPN), security tools (Nmap, Burp Suite, Wireshark), scripting (Python, Bash), cloud (AWS, Docker). Kalau punya CTF experience atau bug bounty submissions, taro di section terpisah. Jangan lupa link ke GitHub, blog, atau portfolio online.

Langkah kedua: cari lowongan. Di Indonesia, sumber lowongan cybersecurity antara lain: LinkedIn (set job alert dengan keyword “security engineer”, “cybersecurity”, “information security”), platform job portal Indonesia (Jobstreet, Glints, Kalibrr), dan yang sering terlewat: komunitas. Grup Telegram InfoSec Indonesia, Discord komunitas cyber, grup WhatsApp — banyak lowongan yang disebar di sini sebelum diposting di portal resmi. Networking masih jadi cara paling efektif dapet kerja.

Langkah ketiga: latihan interview. Siapkan jawaban untuk pertanyaan umum: “Ceritakan tentang diri kamu” (relevan dengan security), “Kenapa tertarik cybersecurity?”, “Apa proyek security yang pernah kamu kerjakan?”, “Jelaskan OWASP Top 10”, “Gimana cara kamu stay updated dengan threat terbaru?”. Latihan di depan cermin atau rekam sendiri. Kedengeran norak, tapi efektif.

Portfolio — Bukti Nyata Lebih Keras dari CV

Ini nggak bisa saya tekankan cukup: portfolio is everything untuk pemula. Ketika kamu nggak punya pengalaman kerja di cybersecurity, portfolio adalah satu-satunya bukti bahwa kamu bisa. Dan portfolio bukan cuma “saya pernah belajar ini” — tapi “saya udah ngerjain ini, ini buktinya.”

Apa aja yang bisa jadi portfolio? Pertama, CTF writeups. Kalau kamu solve CTF challenge, tulis writeup-nya. Jelasin problem-solving process kamu — dari reconnaissance sampai flag ditemukan. Jangan cuma copy-paste solusi. Tulis dengan gaya kamu sendiri. Kedua, bug bounty reports. Walaupun laporannya duplikat atau N/A, tetep tunjukin metodologi kamu. Bisa di-redact nama programnya. Ketiga, GitHub projects. Script automation, homelab documentation (pakai diagram), security tools yang kamu bikin sendiri walaupun sederhana. Keempat, blog posts. Tulis tentang konsep security yang baru kamu pelajari — ini nunjukin kemampuan komunikasi kamu.

Portfolio terbaik yang saya lihat dari kandidat junior: GitHub repo berisi dokumentasi homelab lengkap dengan diagram network, konfigurasi firewall, rules, dan penjelasan kenapa setiap keputusan security diambil. Itu langsung membedakan dia dari 100 kandidat lain yang cuma punya CV doang.

Di Mana Nyari Kerja Cybersecurity di Indonesia?

Selain platform job portal, ini channel yang menurut saya efektif:

LinkedIn dengan pendekatan yang tepat. Jangan cuma lamar — engage. Follow hiring manager dan security lead di perusahaan target. Komentar yang bermutu di post mereka. Share artikel atau insight tentang cybersecurity. Bangun personal brand. Saya sendiri dapet beberapa interview dari recruiter yang reach out duluan karena lihat postingan saya di LinkedIn.

Komunitas adalah emas. Indonesia Cybersecurity Community (ICC), grup Telegram InfoSec Indonesia, komunitas daerah seperti Surabaya Hacker Link atau Jogja Information Security Community. Dateng ke meetup — bahkan yang online. Kenalan, tukar informasi, bangun reputasi. Banyak anggota komunitas yang senior dan mereka sering ngasih tahu kalau ada opening di perusahaannya.

Referral. Kalau kamu punya teman atau kenalan yang kerja di perusahaan target, minta referral. Di banyak perusahaan, referral itu fast track — CV kamu langsung ke hiring manager tanpa harus lewat filter HR. Tapi ingat: referral cuma ngebuka pintu. Sisanya tetap skill kamu.

Kesalahan Fatal Interview yang Sering Terjadi

Saya udah interview belasan kandidat untuk posisi security engineer junior, dan ini kesalahan yang paling sering muncul:

Overclaim skill. Di CV nulis “expert di networking dan Linux”, pas ditanya “gimana cara kerja traceroute?” langsung bingung. Atau “OSCP certified”, pas diminta jelasin buffer overflow, nge-blank. Ini instant rejection. Lebih baik underpromise dan overdeliver.

Nggak bisa jelasin konsep dengan sederhana. Waktu diminta jelasin apa itu XSS ke orang non-teknis, jawabnya “Itu serangan cross-site scripting yang menginjeksi malicious script ke web.” Interviewer lanjut: “Saya adik kamu yang kuliah jurusan sastra, bisa jelasin ulang?” Kalau kamu nggak bisa simplify, itu red flag — karena kerjaan security engineer banyak komunikasi dengan non-teknis.

Fokus di tools, bukan konsep. “Saya jago Burp Suite, Nmap, Metasploit.” Tapi pas ditanya “kalau nggak ada tools, gimana?”, nggak bisa jawab. Tools itu kendaraan — yang dinilai itu supirnya, bukan mobilnya.

Nggak punya pertanyaan. Di akhir interview, pas ditanya “Ada pertanyaan?” dan kamu jawab “Udah cukup, kok” — ini missed opportunity besar. Siapkan 3-5 pertanyaan yang nunjukin kamu udah riset tentang perusahaan dan posisinya. Contoh: “Saya lihat perusahaan lagi migrasi ke microservices — gimana tim security nge-handle security di arsitektur baru itu?”

Negosiasi Gaji — Yes, Bahkan untuk Junior

Salah satu pelajaran paling mahal di awal karier saya: nggak negosiasi gaji. Saya terima aja offer pertama dengan perasaan “ini udah naik banyak dari gaji IT support kok.” Baru beberapa bulan kemudian saya tahu bahwa teman satu tim dengan skill setara dapat 30% lebih tinggi — cuma karena dia nego. Sakitnya tuh di sini.

Realitanya: di Indonesia, negosiasi gaji itu ekspektasi, bukan hal tabu. HR biasanya udah ngasih range dan ekspektasi bahwa kandidat akan nego. Kalau kamu nggak nego, ya itu harga terendah di range mereka yang kamu terima.

Tips negosiasi: pertama, riset market rate. Cek Glassdoor, diskusi di komunitas (dengan sopan, jangan nanya langsung “gaji lu berapa?” tapi “range gaji untuk junior security engineer di Jakarta berapa ya?”), dan tanya ke teman senior. Kedua, tunggu mereka yang kasih angka duluan. Kalau ditanya “expected salary?”, kamu bisa jawab: “Saya fleksibel, tapi berdasarkan riset dan skill yang saya bawa, saya expect di range X sampai Y. Tapi saya terbuka untuk diskusi.” Ketiga, negotiate the whole package — bukan cuma gaji pokok. Tunjangan, asuransi, flexible work arrangement, training budget, sertifikasi yang dibiayai perusahaan — semua itu nilai. Keempat, jangan bluff tanpa leverage. Kalau kamu punya offer lain, itu leverage. Tapi kalau nggak, jangan pura-pura — ketauan.

Satu hal penting: jangan ngerasa nggak enak nego karena kamu junior. Perusahaan ngasih offer berdasarkan nilai yang kamu bawa — bukan berdasarkan status “junior” atau “senior”. Kalau kamu bisa artikulasikan nilai itu (portfolio, skill, antusiasme), kamu berhak nego.

Komunitas dan Networking — Investasi Jangka Panjang

Ini mungkin terdengar klise, tapi percaya deh: di dunia cybersecurity Indonesia, komunitas adalah salah satu aset terbesar kamu. Saya dapet pekerjaan pertama, klien pertama, mentor pertama, dan bahkan teman belajar OSCP — semuanya dari komunitas.

Mulai dari yang simpel: join grup Telegram InfoSec Indonesia, follow akun Twitter security researcher Indonesia, ikut meetup online yang sekarang makin banyak. Kalau kamu di kota besar, cari meetup offline — biasanya diadakan sebulan sekali.

Di komunitas, jangan cuma jadi silent reader. Aktif bertanya (setelah googling dulu), sharing resource, bantu jawab pertanyaan orang lain. Reputasi dibangun dari kontribusi, bukan dari badge atau title. Saya kenal banyak orang yang dapet tawaran kerja tanpa ngelamar — karena kontribusi mereka di komunitas bikin hiring manager notice.

Dan satu lagi: jangan cuma networking “ke atas” — ke yang udah senior. Networking ke samping — sesama pemula — itu sama pentingnya. Mereka yang sekarang sama-sama belajar, 5 tahun lagi bisa jadi CISO, security lead, atau founder startup. Dan kalian udah kenal dari dulu.

Closing — Perjalanan Ini Milik Kamu

Saya nulis artikel ini bukan untuk ngasih jaminan “ikuti 6 bulan ini pasti langsung dapet kerja”. Nggak ada jaminan. Tapi ini framework yang proven — saya dan beberapa orang yang saya mentor udah ngalamin sendiri.

Yang membedakan mereka yang berhasil dan yang nggak, bukan bakat. Bukan IQ. Bukan background. Tapi konsistensi. Mereka yang bisa bertahan belajar setiap hari — 2 jam, 3 jam, bahkan cuma 30 menit — selama berbulan-bulan, tanpa nyerah pas stuck. Itu yang akhirnya tembus.

Jadi kalau kamu serius pengen jadi security engineer, mulai hari ini. Buka laptop, install Ubuntu, dan mulai belajar. Portfolio, resume, networking — itu langkah berikutnya. Langkah pertama selalu yang paling susah. Setelah itu, momentum akan bawa kamu.

Kalau ada pertanyaan atau butuh diskusi lebih lanjut, drop di komentar. Saya selalu senang diskusi dengan aspiring security engineer.

Gimana Kalau Kamu Masih Kuliah?

Pertanyaan yang sering banget masuk ke DM saya: “Saya masih kuliah semester 5, kapan waktu yang tepat buat mulai?” Jawaban saya: sekarang. Jangan nunggu lulus. Justru masa kuliah adalah golden period buat belajar cybersecurity karena kamu punya dua hal yang priceless: waktu dan energy.

Kalau kamu masih kuliah, ini yang bisa kamu lakukan paralel: pertama, ambil mata kuliah atau proyek akhir yang berkaitan dengan security. Kedua, ikut kompetisi CTF kampus atau nasional. Ketiga, magang — bahkan yang unpaid sekalipun — di perusahaan yang ada hubungannya dengan IT security. Keempat, bangun personal brand di media sosial dengan sharing apa yang kamu pelajari.

Saya personally kenal beberapa orang yang udah dapet offer kerja sebelum wisuda karena portfolio dan reputasi mereka di komunitas. Salah satunya: anak semester 7 yang rajin nulis writeup CTF di blog, kontribusi ke open source security tools, dan aktif di grup Telegram — dapet offer 15 juta per bulan sebagai junior pentester, padahal belum lulus.

Satu hal lagi untuk mahasiswa: jangan mengorbankan kuliah untuk belajar cybersecurity. Kuliah tetap penting — bukan cuma untuk gelar (yang sayangnya masih jadi filter HR di banyak perusahaan), tapi juga untuk membangun dasar berpikir yang terstruktur. Cybersecurity dan kuliah bisa jalan paralel — saya buktiin sendiri.

Banditz Cyber Verified
Security Researcher at IT Security
Banditz Cyber adalah security researcher di IT Security yang berfokus pada keamanan web, analisis kerentanan, dan edukasi keamanan siber. Melalui tulisannya, ia membagikan panduan praktis, riset teknis, dan wawasan keamanan digital dengan pendekatan yang mudah dipahami.
View all posts