Home » Karier & Sertifikasi » Gaji Cybersecurity Indonesia 2024 — Security Engineer, Pente...
Karier & Sertifikasi

Gaji Cybersecurity Indonesia 2024 — Security Engineer, Pentester, SOC

Meja kantor modern dengan laptop menampilkan grafik gaji naik dan simbol rupiah, toples kaca berisi koin emas di samping kontrak, badge sertifikasi di papan gabus, gaji cybersecurity Indonesia 2024

Gaji Cybersecurity Indonesia 2024 — Kisaran Gaji Security Engineer, Pentester, dan SOC Analyst

Waktu saya baru pindah dari IT support ke junior security engineer, gaji saya naik hampir 3 kali lipat. Dari 5 juta ke 13 juta. Buat saya yang udah bertahun-tahun hidup dengan gaji pas-pasan, itu kayak mimpi. Dan di situlah untuk pertama kalinya saya sadar: wow, cybersecurity itu dibayar serius. Tapi setelah beberapa tahun di industri ini, saya juga belajar bahwa ada banyak nuansa di balik angka-angka itu. Ada yang digaji 8 juta sebagai junior — ada juga yang 20 juta. Ada yang 5 tahun pengalaman masih di 15 juta — ada yang 2 tahun udah tembus 30 juta. Dan perbedaan itu bukan cuma soal skill. Di artikel ini saya akan share gaji cybersecurity Indonesia 2024 se-realistis mungkin — berdasarkan pengalaman pribadi, obrolan dengan recruiter, diskusi di komunitas, dan data dari teman-teman yang udah sharing (anonim).

Kita akan bahas: range gaji per role dan level, faktor yang mempengaruhi gaji (lokasi, sertifikasi, tipe perusahaan), mitos gaji yang harus di-debunk, perbandingan freelance vs full-time, bug bounty sebagai sumber penghasilan, dan tentunya — kapan waktunya job hop.

Disclaimer: semua angka di artikel ini adalah estimasi berdasarkan pengalaman dan riset personal. Gaji sangat bervariasi tergantung perusahaan, lokasi, skill individu, dan kemampuan negosiasi.

Range Gaji per Role dan Level — Ini Angka Realistisnya

Ini bagian yang paling ditunggu. Tapi sebelum masuk ke angka, perlu dipahami: range yang saya sebutin adalah untuk Jakarta dan kota besar (Surabaya, Bandung). Untuk kota tier 2, biasanya 15-30% lebih rendah. Untuk remote working buat perusahaan luar negeri, bisa 50-200% lebih tinggi.

Security Engineer

Security engineer punya range gaji yang lumayan lebar karena role ini mencakup banyak spesialisasi. Rata-rata, ini range-nya:

Junior (0-2 tahun pengalaman): Rp 8.000.000 - Rp 18.000.000 per bulan. Fresh graduate dengan portfolio kuat bisa dapet 10-12 juta. Career switcher yang udah punya pengalaman IT (sysadmin, network engineer) bisa langsung masuk di 12-15 juta.

Mid-level (2-5 tahun): Rp 18.000.000 - Rp 35.000.000 per bulan. Di level ini, spesialisasi kamu mulai berdampak ke gaji. Cloud security engineer cenderung di upper range. Application security engineer juga tinggi — terutama di fintech dan e-commerce.

Senior (5+ tahun): Rp 35.000.000 - Rp 70.000.000+ per bulan. Di level senior, gaji udah sangat individual. Senior security engineer di unicorn bisa tembus 60 juta. Di enterprise (bank, telekomunikasi), biasanya ada tambahan benefit yang signifikan (bonus tahunan, tunjangan, saham).

Security Lead / Manager: Rp 50.000.000 - Rp 100.000.000+ per bulan. Ini udah pindah ke management track. Tapi security manager yang purely managerial (tanpa technical depth) cenderung di lower-middle range — yang dicari itu security manager yang masih bisa hands-on.

Penetration Tester

Pentester atau ethical hacker punya range yang sedikit berbeda. Di sisi entry-level, gajinya mirip security engineer. Tapi di level senior, pentester yang spesialis (misalnya web3/smart contract security) bisa tembus angka yang sangat tinggi karena supply-nya langka.

Junior (0-2 tahun): Rp 7.000.000 - Rp 15.000.000 per bulan. Ekspektasi minimum biasanya udah bisa solve CTF medium dan ngerti OWASP Top 10 secara praktis. Kalau udah OSCP certified, minimal 10 juta — OSCP masih jadi game changer di range ini.

Mid-level (2-5 tahun): Rp 15.000.000 - Rp 30.000.000 per bulan. Di level ini, biasanya udah punya spesialisasi (web, mobile, network, atau API). OSCP hampir wajib — atau setidaknya eWPT, eMAPT, atau equivalent.

Senior (5+ tahun): Rp 30.000.000 - Rp 60.000.000+ per bulan. Senior pentester dengan reputasi (pernah nemu critical bug di bug bounty, speaker di conference, kontributor tool open source) bisa nego di upper range. Yang spesialisasi di blockchain/web3 bisa lebih tinggi lagi.

SOC Analyst

SOC Analyst secara umum punya range sedikit di bawah security engineer dan pentester — terutama di level entry karena barrier to entry-nya lebih rendah. Tapi di level senior (SOC Lead, Incident Response Lead), gajinya kompetitif.

Junior (0-2 tahun): Rp 6.000.000 - Rp 12.000.000 per bulan. Ini role yang paling banyak entry-level opening-nya. Fresh graduate bisa langsung masuk. Sertifikasi CompTIA Security+ atau BTL1 membantu naikin ke 8-10 juta.

Mid-level (2-5 tahun): Rp 12.000.000 - Rp 25.000.000 per bulan. Di level ini, SOC Analyst biasanya udah pegang shift lead atau spesialisasi di threat hunting atau incident response.

Senior / SOC Lead (5+ tahun): Rp 25.000.000 - Rp 45.000.000 per bulan. SOC Manager bisa lebih tinggi — terutama di perusahaan yang SOC-nya besar (50+ orang).

GRC Analyst

GRC punya range yang mengejutkan — di level mid dan senior, gajinya bisa setara atau bahkan lebih tinggi dari technical role. Kenapa? Karena supply GRC profesional di Indonesia masih sangat sedikit, sementara demand dari perbankan dan enterprise tinggi banget.

Junior (0-2 tahun): Rp 7.000.000 - Rp 14.000.000 per bulan. ISO 27001 Lead Auditor/Implementer certification langsung boost gaji ke upper range.

Mid-level (3-5 tahun): Rp 14.000.000 - Rp 30.000.000 per bulan. Di level ini, biasanya udah handle compliance untuk beberapa framework sekaligus (ISO 27001, PCI DSS, GDPR).

Senior / GRC Manager (5+ tahun): Rp 30.000.000 - Rp 60.000.000+ per bulan. Di perbankan, GRC Manager bisa dapet benefit setara VP.

Faktor yang Mempengaruhi Gaji Kamu

Gaji di cybersecurity nggak cuma ditentuin oleh role dan level. Ada faktor-faktor lain yang pengaruhnya signifikan.

Pertama, lokasi. Jakarta masih jadi yang tertinggi — gaji untuk role yang sama di Bandung atau Surabaya biasanya 10-25% lebih rendah. Tapi dengan makin banyaknya remote work, perbedaan ini mulai mengecil. Perusahaan luar negeri yang hire remote dari Indonesia biasanya bayar lebih tinggi — tapi ekspektasi skill-nya juga lebih tinggi.

Kedua, tipe perusahaan. Startup early-stage biasanya gaji lebih rendah tapi kasih equity (saham) yang bisa jadi lottery ticket kalau startup-nya sukses. Startup growth-stage (Series B+) dan unicorn biasanya gaji tinggi plus benefit bagus. Enterprise (bank, telekomunikasi, tambang) gaji stabil, benefit lengkap, bonus tahunan besar, tapi kenaikan gaji tahunan cenderung kecil (5-10%). Konsultan cybersecurity gaji variatif — tergantung utilization dan project yang di-handle.

Ketiga, sertifikasi. OSCP masih jadi sertifikasi dengan ROI terbaik untuk pentester — biaya ujian $1600 (25 juta) bisa dibalikin dalam 2-3 bulan kenaikan gaji. CISSP untuk senior role juga signifikan — banyak perusahaan enterprise yang literally kasih tunjangan sertifikasi bulanan kalau kamu CISSP certified. Cloud certs (AWS Security, AZ-500) naikin gaji cloud security engineer 10-20%.

Keempat, kemampuan negosiasi. Ini yang sering diremehkan, tapi dampaknya bisa puluhan juta per tahun. Saya kenal dua orang dengan skill mirip, pengalaman sama, ngelamar di perusahaan yang sama. Yang satu terima offer pertama: 15 juta. Yang satu nego: 20 juta. Selisih 5 juta per bulan, 60 juta per tahun. Only because one negotiated.

Kelima, kelangkaan skill. Skill yang lagi high demand tapi low supply otomatis gajinya tinggi. Di 2024, skill yang termasuk kategori ini: cloud security (terutama multi-cloud), container dan Kubernetes security, DevSecOps, API security, dan blockchain security.

Mitos Gaji Cybersecurity yang Harus Diluruskan

Saya sering denger mitos-mitos tentang gaji cybersecurity yang misleading. Yuk kita straighten out:

Mitos 1: “OSCP langsung gaji 50 juta.” Nggak. OSCP itu tiket masuk ke interview pentester — bukan garansi gaji. Fresh graduate dengan OSCP biasanya dapet 10-15 juta untuk role pentester junior. Kalau ada yang dapet 50 juta, itu bukan karena OSCP-nya doang, tapi karena kombinasi pengalaman, skill lain, dan perusahaan yang ngasih (biasanya remote buat luar).

Mitos 2: “Cybersecurity pasti gaji tinggi.” Relatif. Dibanding IT support atau general IT? Iya, lebih tinggi. Tapi dibanding software engineer senior di FAANG atau blockchain developer? Belum tentu. Cybersecurity itu dibayar dengan baik, tapi bukan berarti automatically kaya.

Mitos 3: “Remote kerja buat luar negeri pasti gaji 100 juta++.” Nggak semua. Banyak perusahaan luar yang hire remote dari Southeast Asia justru karena biaya lebih rendah. Gaji 30-50 juta untuk remote role itu udah bagus. Yang 100 juta++ itu biasanya untuk senior specialist atau role lead.

Mitos 4: “Job hop tiap 6 bulan bikin gaji cepet naik.” Ini cara terbaik untuk diblacklist. Job hop yang strategis (tiap 1.5-2 tahun, dengan justifikasi jelas dan peningkatan skill nyata) memang efektif. Tapi job hop tiap 6 bulan cuma bikin CV kamu kelihatan nggak loyal dan hiring manager ragu.

Freelance vs Full-Time — Pro dan Kontra

Banyak yang tanya ke saya: “Mending freelance atau full-time?” Jawabannya: tergantung fase karier dan prioritas hidup kamu.

Full-time cocok buat: pemula yang butuh mentorship dan struktur, yang pengen jenjang karier jelas (junior -> senior -> lead -> manager), yang butuh stabilitas penghasilan (gaji tetap tiap bulan, asuransi, BPJS), dan yang pengen exposure ke enterprise environment (tools mahal, proses mature, tim besar). Kekurangan full-time: gaji cenderung capped (ada ceiling), kenaikan tahunan kecil, dan kamu terikat di satu perusahaan.

Freelance cocok buat: yang udah punya pengalaman dan network, yang pengen fleksibilitas waktu dan lokasi, yang nyaman dengan ketidakpastian income (feast or famine), dan yang pengen variasi project. Kelebihan: earning potential lebih tinggi (rate freelance untuk pentester mid-level bisa 15-30 juta per project, 2-3 project per bulan), bisa pilih project yang interesting, dan nggak ada office politics. Kekurangan: nggak ada income certainty, nggak ada benefit (harus bayar asuransi sendiri), nggak ada paid leave, dan kamu harus handle semua sendiri — dari marketing, sales, admin, sampai pajak.

Saran saya: mulai full-time dulu. Dapetin pengalaman, bangun skill dan reputasi. Setelah 3-5 tahun, kalau kamu udah punya network dan tabungan yang cukup buat buffer beberapa bulan tanpa income, baru explore freelance atau consulting.

Bug Bounty sebagai Sumber Penghasilan — Realistis Nggak?

Bug bounty sering digembar-gemborkan sebagai “cara cepet kaya di cybersecurity.” Saya akan kasih realita berdasarkan pengalaman di platform seperti HackerOne, Bugcrowd, dan yeswehack.

Penghasilan dari bug bounty itu highly skewed. Top 1% hunters dapet 90% hadiah. Artinya, mayoritas hunters — termasuk yang jago — penghasilannya nggak konsisten. Kamu bisa sebulan dapet $10,000, terus tiga bulan berikutnya nol.

Untuk hunter di Indonesia, realitanya: beginner hunter biasanya dapet $0 - $500 per bulan (kebanyakan $0 di awal). Intermediate hunter (sudah 6-12 bulan aktif, ngerti methodology) dapet $500 - $2,000 per bulan. Advanced hunter (full-time, jago di niche tertentu) bisa dapet $2,000 - $10,000+ per bulan.

Bug bounty sebagai side income? Definitely possible dan recommended. Sebagai full-time income? Mungkin, tapi butuh bertahun-tahun untuk konsisten dan perlu buffer finansial yang kuat.

Tips untuk yang mau mulai bug bounty: jangan kejar bounty, kejar skill. Fokus di satu platform dulu, satu jenis vulnerability, dan pelajari program yang udah berjalan lama (program baru biasanya udah di-hunt banyak orang). Dan kelola ekspektasi: 3-6 bulan pertama biasanya hasilnya minim. Itu normal.

Kapan Waktunya Resign dan Job Hop?

Ini pertanyaan yang sering saya dapet: “Gaji saya udah 1 tahun nggak naik-naik, sementara di luar temen-temen pada dapet yang lebih tinggi. Pindah nggak ya?”

Rule of thumb saya: job hop itu strategis kalau ada minimal dua dari tiga alasan ini: gaji secara signifikan di bawah market rate (cek ulang range di atas), udah nggak belajar hal baru (stagnasi skill lebih berbahaya dari gaji rendah — karena skill yang marketable adalah aset jangka panjang), atau lingkungan kerja toxic (ini non-negotiable — mental health lebih penting dari gaji).

Tapi jangan job hop kalau: cuma karena temen dapet lebih tinggi (bandingkan apple to apple — role, experience, company, location), kamu baru 6-12 bulan di tempat sekarang (kecuali toxic parah), atau kamu belum siap interview dan belum ada offer di tangan (jangan resign sebelum dapet offer — daya tawar kamu jauh lebih tinggi kalau kamu masih employed).

Dan yang paling penting: jangan burn bridges. Industri cybersecurity Indonesia itu kecil — semua kenal semua. Kalau kamu resign dengan cara yang nggak profesional (ghosting, ngilang tanpa handover, badmouth company), itu akan balik ke kamu. Beri notice period sesuai kontrak, selesaikan handover dengan baik, dan keep relationship positif dengan mantan kolega.

Perjalanan Gaji Saya Sendiri

Sebelum sharing perjalanan gaji saya sendiri, saya tekankan lagi: gaji cybersecurity Indonesia 2024 sangat bervariasi, dan kamu bisa mempengaruhinya dengan skill dan strategi yang tepat — sebagai gambaran realistis seperti apa trajectory karier di cybersecurity.

2015-2016: IT Support di perusahaan logistik — Rp 4.500.000 per bulan. Kerjaan: printer, Windows, reset password. Di sinilah saya mulai belajar cybersecurity malam-malam sepulang kerja.

2017-2019: Freelance IT + part-time pentester (project-based) — sekitar Rp 5.000.000 - Rp 10.000.000 per bulan. Sangat nggak stabil. Kadang sebulan dapet 2 project, kadang 3 bulan kosong. Tapi di periode ini saya invest banyak waktu buat belajar dan sertifikasi (gagal OSCP dua kali).

2020: Junior Security Engineer di perusahaan tech Jakarta — Rp 13.000.000 per bulan. Ini lompatan pertama yang signifikan. Di sini saya belajar banyak tentang enterprise security, cloud, dan automation.

2021-2022: Mid-level Security Engineer (promosi) — Rp 22.000.000 - Rp 28.000.000 per bulan. Mulai handle project lebih besar, mulai jadi mentor untuk junior, dan OSCP finally lulus di tahun 2022.

2023-2024: Senior Security Engineer + freelance consulting — Rp 40.000.000+ per bulan (full-time) + project-based income yang variasinya Rp 5.000.000 - Rp 30.000.000 per bulan. Di titik ini, income udah kombinasi gaji tetap dan freelance.

Apa yang bisa kamu pelajari dari trajectory ini? Pertama, growth itu nggak linear. Ada periode stagnan (2017-2019 buat saya), dan itu normal. Kedua, invest di skill dan sertifikasi itu baru berbuah setelah 1-2 tahun — bukan instan. Ketiga, ada titik di mana freelance mulai masuk akal sebagai tambahan income — tapi itu setelah kamu punya pengalaman dan reputasi.

Uang Bukan Segalanya — Tapi Kamu Harus Tahu Worth Kamu

Saya tutup dengan ini: uang emang bukan segalanya. Kepuasan kerja, work-life balance, tim yang supportif, kesempatan belajar — itu semua penting. Tapi, kamu juga harus tahu worth kamu. Jangan sampai kamu dibayar di bawah market rate hanya karena nggak tahu atau nggak berani nego.

Cybersecurity adalah industri yang membayar dengan baik — terutama kalau kamu skill-mu tepat dan kamu tahu cara ngejual diri. Gunakan informasi di artikel ini sebagai baseline, bukan patokan absolut. Lakukan riset sendiri, tanya di komunitas (dengan cara yang sopan), dan selalu negotiate.

Kalau kamu punya pertanyaan atau butuh saran tentang negosiasi gaji — atau pengen sharing pengalaman sendiri — drop di komentar. Diskusi soal gaji itu penting buat transparansi industri, dan semakin banyak yang sharing, semakin semua orang tahu worth mereka.

Banditz Cyber Verified
Security Researcher at IT Security
Banditz Cyber adalah security researcher di IT Security yang berfokus pada keamanan web, analisis kerentanan, dan edukasi keamanan siber. Melalui tulisannya, ia membagikan panduan praktis, riset teknis, dan wawasan keamanan digital dengan pendekatan yang mudah dipahami.
View all posts