Home » Karier & Sertifikasi » Roadmap Karier Cybersecurity 2024 — Dari Nol Sampai Pro
Karier & Sertifikasi

Roadmap Karier Cybersecurity 2024 — Dari Nol Sampai Pro

Jalan berkelok dari meja belajar menuju kota futuristik bercahaya dengan enam cabang jalur mewakili berbagai pilihan roadmap karier cybersecurity, figur di depan monitor menyala biru dan ungu

Roadmap Karier Cybersecurity 2024 — Dari Nol Sampai Pro

Tahun 2016, saya berhenti dari pekerjaan pertama sebagai IT support di perusahaan logistik di Jakarta. Alasannya simpel: saya bosan setengah mati. Setiap hari ngurusin printer rusak, install ulang Windows, reset password user yang lupa. Gaji UMR, jenjang karier nggak jelas. Saya tahu ada dunia lain di luar sana — dunia yang lebih menantang dan lebih menjanjikan — tapi saya nggak tahu harus mulai dari mana. Waktu itu, istilah “cybersecurity” masih terdengar asing. Saya cuma tahu ada yang namanya “hacker” dan itu kedengeran keren. Tapi the real question was: gimana caranya? Nggak ada roadmap, nggak ada mentor, nggak ada kurikulum yang jelas. Saya menghabiskan berbulan-bulan cuma buat browsing random blog posts, nyobain tools tanpa ngerti konsep dasarnya, dan ujung-ujungnya bingung sendiri. Kalau saya bisa balik ke masa lalu dan kasih diri saya yang baru mulai sebuah roadmap karier cybersecurity, saya akan hemat bertahun-tahun waktu yang terbuang percuma. Nah, di artikel ini saya akan sharing roadmap itu ke kamu — gratis, tanpa embel-embel kursus mahal.

Kita akan bahas enam jalur karier utama di cybersecurity, skill apa yang dibutuhkan buat masing-masing jalur, timeline realistis (bukan janji “6 bulan jadi hacker” — itu bullshit), dan sumber daya gratis yang bisa kamu pakai mulai hari ini. Anggap aja ini obrolan santai antara saya dan kamu — saya sharing pengalaman delapan tahun jadi security researcher, kamu tinggal nyeruput kopi dan nyatet yang penting.

Enam Jalur Karier di Cybersecurity — Mana yang Cocok Buat Kamu?

Ini pertanyaan pertama yang harus kamu jawab sebelum mulai belajar. Cybersecurity itu luas banget — ibarat dunia medis, ada dokter umum, dokter bedah, dokter anak, dokter gigi. Masing-masing punya spesialisasi dan tanggung jawab yang beda. Kamu nggak bisa belajar semuanya sekaligus — itu resep buat burnout. Kamu harus pilih satu spesialisasi dulu, dalemin, baru nanti branching ke area lain kalau udah jago.

Saya akan jabarin enam jalur yang paling umum dan realistis buat pemula di Indonesia. Setiap jalur saya jelasin dari sisi kerjaan sehari-hari, skill yang dibutuhkan, tipe kepribadian yang cocok, dan prospek kariernya.

Penetration Tester — Si Tukang Bobol yang Etis

Penetration tester, sering disingkat pentester, adalah orang yang dibayar buat nge-hack sistem secara legal. Tugas kamu adalah nyari celah keamanan di aplikasi, jaringan, atau infrastruktur perusahaan — sebelum hacker beneran yang nemu. Kamu pakai tools dan teknik yang sama kayak attacker beneran, tapi hasilnya kamu laporkan ke perusahaan supaya bisa diperbaiki.

Kerjaan sehari-hari pentester itu mostly teknis. Pagi-pagi kamu bisa aja dapet assignment: “Tolong pentest aplikasi mobile banking kita sebelum rilis”. Kamu mulai dari reconnaissance — ngumpulin informasi tentang target. Terus scanning — nyari port terbuka, service yang jalan, teknologi yang dipakai. Lanjut ke enumeration — ngorek-ngorek lebih dalam. Baru masuk ke exploitation — nyoba nge-bypass login, inject SQL, atau manfaatin misconfiguration. Kalau berhasil dapet akses, lanjut privilege escalation. Dan yang paling penting tapi sering diremehin: reporting. Kamu harus bisa nulis laporan yang jelas — bukan cuma bilang “ini bolong”, tapi jelasin kenapa bolong, dampaknya ke bisnis, dan gimana cara betulin.

Tipe orang yang cocok: kamu yang suka problem-solving, curious tinggi, nggak gampang nyerah kalau stuck, dan enjoy ngulik-ngulik hal teknis. Kalau kamu tipe yang pas nemu bug di aplikasi malah penasaran “kok bisa ya?”, bukan “ah males ah”, jalur ini cocok. Kamu juga harus nyaman sama kegagalan — 90% waktu pentesting itu nyoba hal yang gagal, 10% sisanya baru berhasil.

Skill teknis: networking fundamental (OSI model, TCP/IP, subnetting, DNS, HTTP/HTTPS), Linux yang kuat (terminal adalah temen terbaik kamu), scripting (Python, Bash), web application concepts (HTML, JavaScript, SQL, cookies, sessions), dan pemahaman tentang vulnerability classes (OWASP Top 10). Tools: Burp Suite, Nmap, Metasploit, Wireshark, Gobuster, dan berbagai tools CLI lainnya.

Sertifikasi yang diakui: OSCP dari Offensive Security adalah golden standard buat pentester junior di Indonesia. Ada juga eJPT dari INE/eLearnSecurity yang lebih ramah pemula, dan CPTS dari Hack The Box yang kontennya bagus tapi relatif baru.

SOC Analyst — Garda Terdepan Pertahanan Siber

SOC (Security Operations Center) Analyst adalah pekerjaan di sisi defensive cybersecurity. Kalau pentester itu striker yang nyerang, SOC Analyst itu kiper plus bek. Tugas kamu memonitor network traffic, log, dan alert dari berbagai security tools untuk mendeteksi serangan yang sedang atau sudah terjadi.

Ini jalur entry-level paling umum di Indonesia. Kenapa? Karena demand-nya tinggi — hampir semua perusahaan besar (bank, telekomunikasi, e-commerce, pemerintahan) punya tim SOC sendiri atau pakai managed SOC service. Mereka lebih willing buat hire dan train SOC Analyst dari nol dibanding pentester. Karena sifat kerjanya yang 24/7, selalu ada slot buat新人.

Tipe orang yang cocok: kamu yang teliti, sabar, bisa kerja di bawah pressure, dan nggak gampang panik kalau dashboard tiba-tiba merah semua. Kerjaan SOC kadang monoton karena banyak false positive, tapi pas ada insiden beneran, adrenalinnya naik drastis. Kamu juga harus siap kerja shift — SOC itu 24/7, jadi ada jadwal malam dan weekend. Kalau kamu tipe yang suka rutinitas terstruktur dan nggak masalah dengan jadwal shift, ini bisa cocok.

Skill teknis: networking wajib banget (kamu harus bisa baca network traffic dan ngerti anomali), sistem operasi (Windows dan Linux — kedua-duanya), log analysis (Windows Event Logs, syslog, application logs), SIEM tools (Splunk, Elastic, Wazuh — minimal satu), basic malware analysis, dan incident response procedures. Scripting itu nilai plus — bisa automasi alert triage.

Sertifikasi: CompTIA Security+ (basic tapi global recognition), Blue Team Level 1 (BTL1) untuk hands-on SOC, CompTIA CySA+ untuk intermediate, dan BTL2 untuk advanced.

Security Engineer — Arsitek Keamanan

Security Engineer fokusnya pada implementasi dan maintenance sistem keamanan. Kamu bukan cuma nyari celah — kamu yang bangun sistem supaya celah itu nggak ada dari awal. Ini ibarat arsitek dan kontraktor: kamu ngedesain dan ngebangun bentengnya.

Security Engineer bisa kerja di berbagai domain: network security (firewall, VPN, IDS/IPS), application security (SAST, DAST, code review, security champions program), cloud security (AWS/Azure/GCP hardening, IAM, container security), atau product security (bekerja bareng tim engineering bikin produk yang secure by design). Ini jalur yang paling demanding secara technical breadth, tapi juga paling rewarding — baik dari sisi gaji maupun kepuasan profesional.

Tipe orang yang cocok: kamu yang suka membangun sesuatu, bukan cuma ngerusak atau monitor. Kamu yang suka automation — malas ngerjain hal repetitif itu sebenarnya sinyal bagus, artinya kamu akan bikin script buat otomasi. Kamu yang bisa berpikir secara sistem, bukan cuma komponen individual. Dan kamu yang nyaman kerja bareng tim lintas fungsi — developer, DevOps, network engineer, sampai manajemen.

Skill teknis: advanced networking (VLAN, VPN, firewall rules, IDS/IPS, network segmentation), Linux administration (ini harga mati), cloud platform (minimal AWS atau Azure), containerization (Docker, Kubernetes — ini makin penting), infrastructure as code (Terraform, Ansible), scripting (Python, Go, Bash), CI/CD security, dan pemahaman security frameworks (MITRE ATT&CK, CIS Benchmarks).

Sertifikasi: untuk cloud — AWS Security Specialty atau Azure Security Engineer (AZ-500). Untuk network security — CCNA, PCNSE (Palo Alto), atau NSE (Fortinet). Untuk level senior — CISSP (tapi jangan ambil kalau masih junior, terlalu luas dan mahal).

GRC Analyst — Jalur Non-Teknis yang Sangat Powerfull

GRC singkatan dari Governance, Risk, and Compliance. Ini jalur cybersecurity yang lebih banyak ngurusin kebijakan, regulasi, dan manajemen risiko dibanding teknis. Jangan salah paham — GRC bukan jalur “kelas dua” atau “buat yang nggak bisa teknis”. GRC itu powerfull banget, terutama di perusahaan enterprise, perbankan, dan sektor keuangan.

Tugas GRC Analyst: memastikan perusahaan comply dengan standar keamanan (ISO 27001, PCI DSS, GDPR, atau regulasi OJK/BI di Indonesia), melakukan risk assessment, bikin dan review kebijakan keamanan informasi, dan koordinasi audit internal maupun eksternal. Kamu akan banyak meeting, banyak baca regulasi, banyak nulis dokumen. Ini bukan kerjaan yang bisa di-remote sambil rebahan — kamu harus pinter komunikasi dan politik kantor.

Tipe orang yang cocok: kamu yang rapi, terstruktur, suka baca dan nulis, dan bisa komunikasi dengan baik ke berbagai level — dari tim teknis sampai direksi. Kalau kamu menikmati ngatur proses dan dokumen ketimbang ngulik kode atau konfigurasi server, GRC bisa jadi sweet spot. Kabar baik: supply profesional GRC di Indonesia masih sangat terbatas, jadi demand dan gajinya kompetitif.

Skill: pemahaman tentang compliance framework (ISO 27001 wajib, PCI DSS nilai plus, GDPR kalau kerja di perusahaan yang handle data EU), risk management methodology (kualitatif dan kuantitatif), auditing basics, policy writing, dan komunikasi bisnis. Skill teknis basic tetap penting — kamu harus ngerti konsep keamanan, meski nggak perlu sedalam pentester.

Sertifikasi: ISO 27001 Lead Auditor atau Lead Implementer (sangat dihargai di Indonesia), CISA (Certified Information Systems Auditor), CRISC (Certified in Risk and Information Systems Control). CISSP untuk level senior.

Malware Analyst — Pemburu Virus Digital

Malware Analyst adalah spesialis yang fokus pada analisis malware: virus, ransomware, trojan, worm, rootkit, dan berbagai varian software jahat. Tugas kamu adalah membongkar malware untuk ngerti cara kerjanya, apa yang dilakukannya, indikator kompromi, dan gimana cara mendeteksi serta membersihkannya.

Ini mungkin jalur paling teknis di cybersecurity. Kamu harus ngerti low-level programming (C, Assembly), reverse engineering, operating system internals (terutama Windows — karena mayoritas malware target Windows), dan forensic analysis. Tools: IDA Pro, Ghidra, x64dbg, Process Monitor, Wireshark, dan tool forensic lainnya.

Tipe orang yang cocok: kamu yang super detil, bisa fokus berjam-jam ngelihatin assembly code tanpa bosen, dan punya rasa penasaran nyaris obsesif tentang “gimana program ini bekerja”. Kalau kamu suka puzzle yang rumit banget dan nggak keberatan staring at hex dumps selama berjam-jam, malware analysis bisa jadi candu.

Skill: C/C++ programming fundamentals, x86/x64 Assembly basics, Windows internals (PE file format, Windows API, process memory, handles), debugging dan disassembly, network protocol analysis, Python scripting, dan sandbox analysis.

Sertifikasi: GREM (GIAC Reverse Engineering Malware) — bergengsi tapi mahal banget, Certified Reverse Engineering Analyst (CREA), eCRE dari eLearnSecurity.

Cloud Security Engineer — Spesialisasi Masa Depan

Cloud Security Engineer fokus pada keamanan di platform cloud (AWS, Azure, GCP). Dengan makin banyaknya perusahaan Indonesia yang migrasi ke cloud, demand buat spesialis ini lagi meroket. Ini salah satu jalur dengan gaji tertinggi di cybersecurity — bahkan untuk level mid.

Kerjaan sehari-hari: cloud infrastructure hardening, identity and access management (IAM), network security di cloud (VPC, security groups, WAF), container dan Kubernetes security, serverless security, cloud compliance (misalnya memastikan environment AWS comply dengan CIS benchmarks), dan cloud security monitoring (GuardDuty, Security Hub, Azure Sentinel).

Tipe orang yang cocok: kamu yang udah punya background DevOps atau system administration dan pengen switch ke security, atau kamu yang dari awal tertarik cloud dan mau spesialisasi. Jalur ini relatif lebih gampang dimasukin kalau kamu udah ngerti cloud fundamentals.

Skill: mendalam di minimal satu cloud provider (AWS paling banyak dipakai di Indonesia), infrastructure as code (Terraform, CloudFormation), containerization (Docker, Kubernetes), CI/CD pipeline security, scripting (Python, Bash), dan IAM concepts (RBAC, ABAC, least privilege).

Sertifikasi: AWS Certified Security Specialty, Azure Security Engineer (AZ-500), Google Professional Cloud Security Engineer, CCSP (Certified Cloud Security Professional) dari ISC2.

Fundamentaldulu, Sertifikasi Belakangan

Saya sering lihat pemula yang langsung lompat ambil sertifikasi mahal tanpa fundamental kuat. Mereka ambil CEH, OSCP, bahkan ngincer CISSP — tapi pas saya tanya basic networking atau cara kerja HTTP, langsung nge-blank. Ini kesalahan fatal.

Ibaratnya, kamu belajar jadi dokter tapi langsung spesialis bedah jantung tanpa belajar anatomi dasar. Chaos. Sertifikasi itu validasi, bukan fondasi. Fondasi kamu dibangun dari pemahaman tentang networking, operating systems, scripting, dan security concepts fundamental. Gratis semua kok.

Fundamental networking: OSI model, TCP/IP stack, subnetting, routing, switching, DNS, HTTP/HTTPS, TLS handshake. Kamu harus bisa jelasin apa yang terjadi dari detik pertama kamu ketik URL di browser sampai halaman tampil. Fundamental OS: Linux file system hierarchy, permissions, processes, services, logs, users, package management. Windows: registry, event logs, services.msc, Active Directory basics. Scripting: Python atau Bash minimal — kamu harus bisa automasi tugas simpel kayak parsing log atau bikin HTTP request. Security concepts: CIA triad, defense in depth, least privilege, zero trust, kill chain.

Kalau kamu udah kuat di fundamental ini, baru deh sertifikasi yang kamu ambil akan benar-benar bernilai — bukan cuma badge LinkedIn yang isinya kosong.

Timeline Realistis — Lupakan “6 Bulan Jadi Hacker”

Salah satu janji paling menyesatkan di industri ini: “jadi ethical hacker profesional dalam 6 bulan”. Saya akan blak-blakan: ini omong kosong. Kecuali definisi “hacker” kamu adalah orang yang bisa install Kali Linux dan klik tombol di Metasploit — that’s a script kiddie, bukan professional.

Timeline realistis dari nol absolut sampai siap entry-level job: 12 sampai 24 bulan untuk full-time learner, atau 24 sampai 36 bulan untuk part-time learner yang belajar 2-4 jam per hari. Ini dengan asumsi kamu konsisten, bukan sprint-seminggu-terus-libur-sebulan.

Bulan 1-3: fundamentals. Networking basics, Linux basics, scripting basics (Python atau Bash). Target: kamu nyaman dengan terminal, bisa bikin script simpel, dan ngerti gimana data bergerak di jaringan. Sumber: Professor Messer Network+ di YouTube, OverTheWire Bandit buat Linux, Automate the Boring Stuff with Python.

Bulan 4-6: cybersecurity basics. Mulai TryHackMe (starting dari path beginner), belajar OWASP Top 10, basic pentesting methodology, basic defensive concepts. Mulai ikut CTF level beginner — jangan minder kalau nggak bisa solve, itu normal. Target: kamu bisa jelasin OWASP Top 10 dan bisa solve CTF easy.

Bulan 7-12: mulai spesialisasi. Pilih satu jalur dari yang saya jelasin di atas, dan mulai dalemin. Kalau pentester: PortSwigger Web Security Academy, Hack The Box starting point. Kalau SOC: LetsDefend, TryHackMe SOC path. Kalau security engineer: bikin lab kecil-kecilan, deploy aplikasi di cloud dengan Terraform sambil belajar security-nya. Di bulan 10-12, kamu bisa mulai apply entry-level job.

Bulan 12-24: dalami spesialisasi, sambil bangun portfolio. Portfolio itu bukan cuma CV — itu bukti nyata kamu bisa ngapain. Buat pentester: CTF writeups, bug bounty report (walaupun duplikat atau N/A, tetep nunjukin metodologi). Buat SOC: detection rules yang kamu bikin, blog post analisis threat terbaru. Buat security engineer: GitHub repo berisi automation scripts, Terraform modules, atau homelab documentation.

Ini bukan race. Nggak ada piala buat yang paling cepat. Yang ada itu pemahaman yang matang dan bisa dipertanggungjawabkan.

Sumber Daya Gratis untuk Setiap Jalur

Saya janji sejak awal: ini roadmap yang bisa kamu jalani tanpa ngeluarin puluhan juta buat bootcamp. Mungkin kamu butuh duit buat sertifikasi (ujiannya aja, bukan training-nya), tapi bahan belajarnya gratis semua. Ini daftar lengkapnya:

Untuk networking: Professor Messer Network+ series di YouTube (gratis, komprehensif), Practical Networking di YouTube, dan subnettingpractice.com untuk latihan.

Untuk Linux: OverTheWire Bandit (gratis, gamified, belajar sambil main game), Linux Journey (website gratis, materi terstruktur), dan install Ubuntu di laptop atau VM — belajar Linux tanpa praktek itu kayak belajar renang di darat.

Untuk scripting: Automate the Boring Stuff with Python (buku gratis di website-nya), Python.org tutorial resmi, roadmap.sh/python.

Untuk pentester: PortSwigger Web Security Academy (ini wajib, gratis, kualitasnya superb), TryHackMe (ada tier gratis, cukup buat mulai), Hack The Box starting point (gratis), dan OWASP Testing Guide (gratis PDF).

Untuk SOC/defensive: LetsDefend (simulasi SOC, gratis tier ada), TryHackMe SOC level 1 path, Security Blue Team introduction, dan Detection Engineering resources di GitHub.

Untuk GRC: baca ISO 27001 framework (bisa Googling versi gratisnya), ikut webinar compliance gratis dari berbagai platform, dan baca regulasi OJK/BI terkait keamanan informasi.

Satu hal yang lebih penting dari semua resource di atas: praktek. Jangan cuma nonton video dan baca. Setiap konsep yang kamu pelajari, langsung praktikkan. Kalau belajar SQL injection, langsung deploy DVWA di localhost dan coba sendiri. Knowledge tanpa practice itu useless di dunia cybersecurity.

Pesan Buat yang Baru Mulai

Saya inget banget rasanya jadi pemula. Overwhelmed. Lihat orang di LinkedIn pada posting “OSCP pass first attempt”, “Dapet bounty $10,000”, “Nemu CVE critical”. Rasanya kayak semua orang jago dan cuma kamu yang nggak bisa apa-apa. That feeling is completely normal.

Yang nggak kamu lihat di LinkedIn: berapa kali mereka gagal sebelum sukses. Berapa malam mereka begadang stuck di satu soal CTF. Berapa kali mereka ditolak pas interview kerja. Berapa sertifikasi yang mereka gagal sebelum lulus. Social media cuma nunjukin highlight reel, bukan behind-the-scenes.

Jadi, jalani perjalanan ini sebagai marathon, bukan sprint. Consistency beats intensity every single time. Belajar 2 jam per hari selama setahun itu jauh lebih efektif daripada belajar 12 jam sehari selama dua minggu terus burnout dan berhenti. Run your own race.

Dan satu lagi: join community. Cybersecurity di Indonesia punya banyak komunitas yang aktif dan welcoming: dari grup Telegram, Discord, sampai meetup offline. Di situlah kamu dapet mentor, teman belajar, info lowongan, dan support system. Saya sendiri dapet banyak banget kesempatan justru dari networking dan komunitas, bukan dari lamaran cold-call.

Kalau ada pertanyaan atau butuh klarifikasi tentang roadmap karier cybersecurity, drop di komentar — saya akan usahakan jawab satu-satu.

Banditz Cyber Verified
Security Researcher at IT Security
Banditz Cyber adalah security researcher di IT Security yang berfokus pada keamanan web, analisis kerentanan, dan edukasi keamanan siber. Melalui tulisannya, ia membagikan panduan praktis, riset teknis, dan wawasan keamanan digital dengan pendekatan yang mudah dipahami.
View all posts