Sertifikasi Cybersecurity untuk Pemula — CEH, Security+, atau OSCP?
Tahun 2019, saya ambil keputusan yang cukup nekat. Dengan tabungan pas-pasan sebagai IT support, saya daftar OSCP — sertifikasi penetration testing paling terkenal di dunia. Biayanya sekitar 15 juta rupiah waktu itu, hampir dua bulan gaji saya. Saya pikir, “Udah, gas aja. OSCP kan golden ticket buat kerja di cybersecurity.” Kenyataannya? Saya gagal. Dua kali. Baru lulus di percobaan ketiga, setelah hampir satu setengah tahun berjuang. Dan di situlah saya belajar bahwa memilih sertifikasi cybersecurity untuk pemula itu bukan soal ambil yang paling bergengsi atau paling mahal — tapi yang paling sesuai dengan level dan arah karier kamu.
Nah, di artikel ini saya akan bedah satu per satu sertifikasi cybersecurity untuk pemula yang paling sering ditanyain: CEH, CompTIA Security+, OSCP, dan eJPT. Saya bandingkan dari sisi biaya, tingkat kesulitan, pengakuan di Indonesia, format ujian, dan mana yang cocok buat jalur karier yang mana. Plus, saya akan jawab pertanyaan yang paling sering muncul: emang sertifikasi itu perlu, sih? Jawaban jujurnya: tergantung. Yuk kita bahas.
Perbandingan Sertifikasi Entry-Level — Mana yang Worth It?
Sebelum detail, saya kasih tabel perbandingan dulu biar kamu bisa lihat gambaran besarnya. Ini berdasarkan pengalaman pribadi dan obrolan dengan hiring manager di beberapa perusahaan Indonesia.
CEH (Certified Ethical Hacker) dari EC-Council
CEH adalah salah satu sertifikasi cybersecurity paling dikenal di Indonesia — dan juga paling kontroversial. Dikenal karena nama “ethical hacker”-nya yang catchy dan fakta bahwa banyak lowongan di Indonesia mencantumkan CEH sebagai requirement.
Biaya: sekitar $950-$1200 (14-18 juta rupiah) untuk ujian saja. Training resmi EC-Council bisa tambah 20-30 juta. Jadi total bisa 35-50 juta kalau ambil paket training. Mahal.
Format ujian: 125 soal pilihan ganda dalam 4 jam. Teori doang. Nggak ada hands-on, nggak ada practical lab. Kamu bisa lulus CEH tanpa pernah nge-hack satu sistem pun — dan ini kritik terbesar terhadap sertifikasi ini. Banyak soal yang outdated dan nggak relevan dengan ancaman modern.
Tingkat kesulitan: rendah. Dengan belajar dari bank soal (dan banyak yang tersebar di internet), kamu bisa lulus dalam 2-4 minggu persiapan.
Pengakuan di Indonesia: cukup tinggi. Masih banyak perusahaan — terutama perbankan dan konsultan — yang nyantumin CEH sebagai requirement. Tapi trennya mulai bergeser: makin banyak hiring manager yang sadar bahwa CEH nggak membuktikan kemampuan teknis.
Kesimpulan personal saya: CEH bagus buat memenuhi requirement HR terutama di perusahaan enterprise yang compliance-driven. Tapi buat skill development, OSCP atau eJPT jauh lebih berdampak.
CompTIA Security+
CompTIA Security+ adalah sertifikasi vendor-neutral yang fokus pada fundamental cybersecurity. Ini sering jadi sertifikasi pertama buat orang yang masuk ke dunia security, terutama di jalur defensive/blue team.
Biaya: sekitar $392 (6 juta rupiah). Jauh lebih terjangkau dibanding CEH. Bisa dapat diskon kalau beli voucher dari reseller.
Format ujian: maksimal 90 soal (multiple choice dan performance-based), 90 menit. Performance-based questions (PBQ) itu simulasi interaktif — misalnya kamu harus konfigurasi firewall rule di environment virtual. Ini nilai plus karena ada elemen praktisnya, meski tetap mayoritas teori.
Tingkat kesulitan: moderate. Untuk pemula yang baru belajar, butuh persiapan 2-3 bulan dengan belajar konsisten.
Pengakuan di Indonesia: lumayan. Security+ diakui secara global dan sering jadi requirement buat posisi SOC Analyst, IT Security, atau compliance. Di Indonesia, pengakuannya nggak setinggi CEH di sektor enterprise tradisional, tapi di perusahaan tech dan startup lebih dihargai karena fokusnya ke fundamental yang aplikatif.
Kelebihan utama: Security+ compliant dengan DoD 8570 (standar pemerintah AS), jadi kalau kamu pengen kerja remote buat perusahaan luar, ini nilai tambah. Juga nggak perlu renew tiap tahun — berlaku 3 tahun dan bisa diperpanjang dengan CEU (continuing education).
OSCP (Offensive Security Certified Professional)
OSCP dari Offensive Security (OffSec) adalah golden standard buat penetration testing. Ini sertifikasi yang paling dihormati secara teknis dan jadi benchmark “apakah kamu beneran bisa nge-hack atau cuma bisa ngomong”.
Biaya: $1649 (sekitar 25 juta rupiah) untuk paket Learn One (90 hari lab access + 1 exam attempt). Ada paket lebih murah Learn Fundamental ($849) tapi exam attempt-nya cuma 1 dan lab access lebih pendek. Mahal — tapi menurut saya ini investasi terbaik buat pentester.
Format ujian: 24 jam practical exam. Kamu dikasih beberapa mesin yang harus di-hack. Dalam 24 jam itu, kamu harus dapetin cukup poin dengan fully compromising mesin-mesin tersebut. Setelah 24 jam selesai, kamu punya 24 jam lagi buat nulis penetration test report profesional. Passing grade: 70 poin dari 100.
Tingkat kesulitan: tinggi. Sangat tinggi. Ujian OSCP bukan cuma tes pengetahuan — ini tes endurance, mental, dan kemampuan problem-solving. Saya gagal dua kali. Pengalaman pertama: saya stuck 8 jam di satu mesin, panik, dan akhirnya cuma dapet 40 poin. Pengalaman kedua: lebih siap, tapi masih kurang di privilege escalation Windows. Baru percobaan ketiga saya berhasil dengan 80 poin.
Pengakuan di Indonesia: sangat tinggi. OSCP sering jadi tiket masuk ke interview pentester, dan banyak perusahaan konsultan security di Indonesia yang mewajibkan konsultan mereka OSCP-certified. Tapi perlu dicatat: OSCP itu spesifik penetration testing. Kalau kamu apply SOC Analyst dengan OSCP, hiring manager mungkin bingung — “ini orang maunya pentesting apa defensive?”
eJPT (eLearnSecurity Junior Penetration Tester)
eJPT dari INE/eLearnSecurity adalah sertifikasi penetration testing yang lebih ramah pemula dibanding OSCP. Kalau OSCP itu final boss, eJPT ini level pertama yang ngenalin kamu ke dunia pentesting praktis.
Biaya: sekitar $200-$400 (3-6 juta rupiah) tergantung promo. Jauh lebih terjangkau.
Format ujian: practical, hands-on, sama seperti OSCP — bedanya lebih terpandu dan nggak se-hardcore OSCP. Kamu dikasih environment virtual dengan beberapa mesin dan diminta menyelesaikan scenario pentest. Ada guide yang nggak terlalu cryptic, jadi kamu nggak akan totally lost.
Tingkat kesulitan: moderate, cocok untuk pemula. Kalau kamu udah ngerti networking dan basic Linux, kamu bisa prepare dalam 1-3 bulan.
Pengakuan di Indonesia: growing. eJPT belum seterkenal CEH atau OSCP, tapi makin banyak hiring manager yang aware — terutama di perusahaan tech yang ngerti bedanya sertifikasi teori vs praktis.
Rekomendasi saya: eJPT adalah batu loncatan sempurna sebelum OSCP. Ambil eJPT dulu, dapet rasa “oh ini ternyata pentesting”, terus baru gas OSCP kalau udah pede.
Sertifikasi Mana untuk Jalur Karier yang Mana?
Ini yang sering bikin bingung: sertifikasi A cocok buat jalur B atau C? Nih, saya mapping-kan:
Kalau kamu mau jadi SOC Analyst: CompTIA Security+ dulu buat pondasi, terus lanjut BTL1 (Blue Team Level 1) atau CompTIA CySA+. Jangan ambil CEH atau OSCP — nggak relevan. Kecuali kamu pengen pindah ke pentest nantinya.
Kalau kamu mau jadi Pentester: eJPT dulu, terus OSCP. Jangan ambil CEH — kecuali company target kamu explicitly minta CEH (ada beberapa perusahaan enterprise dan pemerintah yang masih mewajibkan). OSCP adalah goal utama.
Kalau kamu mau jadi Security Engineer: CompTIA Security+ untuk fundamental, terus spesialisasi ke cloud (AWS Security, AZ-500) atau networking (CCNA, NSE). Di level senior, targetkan CISSP.
Kalau kamu mau GRC: ISO 27001 Lead Auditor/Implementer adalah starting point terbaik. CompTIA Security+ sebagai fundamental juga bagus. Terus lanjut CISA atau CRISC.
Emang Sertifikasi Itu Perlu?
Jawaban jujur saya: tergantung. There, I said it.
Sertifikasi perlu kalau: kamu fresh graduate atau career switcher tanpa pengalaman di cybersecurity. Sertifikasi bisa jadi sinyal ke HR bahwa kamu serius dan punya baseline knowledge. Di Indonesia, banyak HR yang masih pakai sertifikasi sebagai filter awal CV — suka atau nggak, itu realitanya.
Sertifikasi nggak terlalu perlu kalau: kamu udah punya pengalaman kerja di cybersecurity, portfolio yang kuat (CTF writeups, bug bounty reports, open source contributions), atau kamu punya koneksi/internal referral di perusahaan target. Pengalaman dan bukti nyata selalu menang dari badge LinkedIn.
Sertifikasi JANGAN diambil kalau: kamu ngambil" karena FOMO" atau “biar CV keren” tanpa fundamental yang kuat. Percuma punya CEH atau OSCP kalau pas technical interview kamu nggak bisa jelasin bedanya TCP dan UDP. Saya udah lihat banyak kasus kayak gini — CV-nya mentereng, pas ditanya basic skill langsung ketauan.
Cara Persiapan Tanpa Habis Puluhan Juta
Biaya terbesar itu bukan ujiannya, tapi training-nya. Padahal, mayoritas materi sertifikasi bisa dipelajari gratis atau murah. Ini strategi saya:
Untuk Security+: Professor Messer Security+ series di YouTube (gratis, komplit). Jason Dion practice tests di Udemy (tunggu diskon, bisa dapet 150 ribuan). Total biaya: 6 juta untuk ujian + 150 ribu untuk practice test.
Untuk OSCP: Saran saya tetap ambil paket Learn One karena kamu butuh lab access-nya. Tapi sebelum daftar, persiapkan dulu dengan Hack The Box, TryHackMe, dan Proving Grounds Practice (dari OffSec sendiri, lebih murah buat latihan). Jangan daftar OSCP dalam keadaan blind — kamu akan stress dan waste expensive lab time belajar basic yang seharusnya udah dikuasai.
Untuk eJPT: materi gratis dari INE (dulu ada INE Starter Pass yang gratis), TryHackMe Jr Penetration Tester path, dan YouTube. Ujiannya sendiri sekitar 3-6 juta — paling affordable di antara semua opsi.
Pandangan Employer Indonesia tentang Sertifikasi
Dari obrolan saya dengan beberapa hiring manager di Jakarta, ini insight yang mungkin berguna:
Pertama, mereka mulai paham bedanya sertifikasi teori vs praktis. OSCP makin dihargai, CEH mulai dipertanyakan. Tapi ini masih transisi — banyak perusahaan tradisional yang masih nyantumin CEH karena “dari dulu requirement-nya gitu”.
Kedua, portofolio mulai dilirik. Hiring manager di startup dan tech company lebih interested sama GitHub repo, blog teknis, atau CTF ranking kamu dibanding daftar sertifikasi.
Ketiga, referral is king. Banyak posisi cybersecurity di Indonesia yang diisi lewat referral, bukan cold application. Jadi, selain sibuk ngumpulin sertifikasi, bangun juga network dan reputasi di komunitas.
Alternatif Gratis yang Nggak Kalah Bernilai
Kalau budget kamu bener-bener terbatas — atau kamu masih ragu mau committing ke sertifikasi — ini alternatif yang bisa kamu kejar dulu:
TryHackMe certificates: setiap learning path di TryHackMe kasih certificate of completion. Gratis atau murah (subscription ~150rb/bulan). Ini bukti bahwa kamu udah nyelesain materi tertentu.
Hack The Box rank: kalau kamu bisa achieve Pro Hacker atau Elite Hacker rank di HTB, itu statement yang kuat. Nggak perlu sertifikat — tinggal taro di CV “Hack The Box — Elite Hacker (top 2%)”.
PortSwigger Web Security Academy: 100% gratis, kualitas enterprise-grade. Kalau kamu bisa solve semua lab mereka, kamu udah di level antara eJPT dan OSCP.
Bugcrowd/HackerOne profile: kalau kamu bisa 50+ valid submissions (meski duplikat), itu bukti bahwa kamu ngerti metodologi bug hunting.
Ingat: sertifikasi itu bukti bahwa kamu lulus tes di hari tertentu. Portofolio itu bukti bahwa kamu konsisten berkarya. Hiring manager yang bagus lebih menghargai yang kedua.
Pengalaman Pribadi Saya dengan OSCP
Saya mau cerita lebih detail tentang perjalanan OSCP saya, karena ini mungkin bisa jadi gambaran buat kamu yang lagi mempertimbangkan. Waktu itu saya daftar paket 90 hari lab access. Bulan pertama: saya overconfident. Saya pikir dengan skill pentesting yang udah saya bangun dari CTF, ini akan smooth. Ternyata realitanya beda banget. Mesin di lab OSCP itu dirancang untuk bikin kamu frustasi — by design. Nggak ada writeup, nggak ada hint, nggak ada walkthrough. Kamu sendirian di depan terminal, dan mesin itu kayak lagi ngetawain kamu.
Saya inget banget mesin pertama yang bikin saya stuck 4 hari. Namanya selalu dimulai dengan enumerasi — dan saya gagal di situ. Saya scan pakai nmap, liat port 80 terbuka, buka browser, dan nemu halaman kosong. Saya stuck 4 hari karena nggak kepikiran buat cek subdirektori. Padahal itu basic banget. Pelajarannya: OSCP ngajarin kamu untuk thorough.
Percobaan pertama ujian: gagal dengan 40 poin. Kenapa? Karena saya stuck 8 jam di buffer overflow yang seharusnya 2 jam max. Mental saya down, dan sisa waktunya saya panik. Percobaan kedua: lebih siap, dapet 60 poin, masih kurang 10 poin. Saya hampir nyerah waktu itu. Percobaan ketiga: akhirnya dapet 80 poin, dan itu salah satu perasaan paling satisfying dalam hidup saya. OSCP bukan tes pengetahuan — ini tes ketahanan mental.
Satu pesan terakhir: perjalanan sertifikasi itu personal. Jangan bandingin pace kamu dengan orang lain di LinkedIn yang keliatannya lulus semua sertifikasi dalam 6 bulan. Fokus di progress kamu sendiri. Sertifikasi adalah milestone, bukan tujuan akhir. Tujuan akhirnya adalah skill yang bisa kamu pakai untuk melindungi orang dan organisasi dari ancaman siber.
Terakhir, saya sering ditanya: “Kalau cuma bisa ambil satu sertifikasi, pilih yang mana?” Ini jawaban saya tergantung jalur: kalau pentester — OSCP. Kalau SOC/defensive — CompTIA Security+ dulu, terus BTL1. Kalau GRC — ISO 27001 Lead Implementer. Kalau generalist atau masih bingung — CompTIA Security+. It’s the safest bet untuk yang masih explore.
Tapi apapun sertifikasi yang kamu pilih, pastikan kamu ngambilnya bukan karena FOMO. Ambil karena kamu udah siap secara skill dan mental. Sertifikasi tanpa skill itu kayak SIM tanpa bisa nyetir — di atas kertas boleh, di lapangan bahaya. Saya sendiri butuh 3 kali percobaan OSCP, dan itu normal. Yang penting bukan seberapa cepet kamu lulus, tapi seberapa dalem pemahaman yang kamu dapet sepanjang prosesnya. Good luck dengan perjalanan sertifikasimu — semoga lebih mulus dari perjalanan saya dulu.