Di pasar pentest Indonesia yang semakin ramai, hampir setiap vendor mengklaim memiliki tim “bersertifikat” dan penguji “profesional”. Namun bagi decision maker yang bertugas memilih vendor yang tepat, klaim tanpa konteks bukan informasi yang cukup untuk dijadikan dasar keputusan.
Pertanyaan yang lebih relevan bukan sekadar “apakah tim kalian punya sertifikasi?” — melainkan “sertifikasi apa, apa artinya, dan bagaimana saya bisa memverifikasinya?”
Widya Security menyusun panduan ini sebagai referensi objektif bagi profesional yang ingin memahami lanskap sertifikasi pentester secara menyeluruh — termasuk apa itu pentest OSCP, mengapa sertifikasi seperti CREST semakin relevan di konteks enterprise, dan bagaimana menggunakannya sebagai alat evaluasi vendor yang lebih tepat.
Apa Itu OSCP dalam Konteks Pentest?
OSCP (Offensive Security Certified Professional) adalah sertifikasi penetration testing yang dikeluarkan oleh Offensive Security — salah satu lembaga sertifikasi keamanan siber paling dihormati secara global. Yang membedakan OSCP dari sertifikasi lainnya adalah format ujiannya: seorang kandidat harus menyelesaikan ujian praktik selama 24 jam penuh di lingkungan lab yang terisolasi — tanpa panduan, tanpa bantuan, hanya dengan skill nyata.
Artinya, sertifikat OSCP tidak bisa diperoleh hanya dengan menghafal materi atau menjawab soal pilihan ganda. Pemegang OSCP telah membuktikan kemampuan mereka dalam mengeksploitasi sistem nyata secara mandiri dan mendokumentasikan temuan secara profesional.
Dalam konteks pentest OSCP, perusahaan yang memiliki penguji bersertifikat OSCP memberikan jaminan bahwa pengujian dilakukan oleh seseorang yang telah melewati validasi skill secara independen — bukan sekadar mengklaim pengalaman.
Mengapa Sertifikasi Pentester Penting bagi Perusahaan?
Saat menyewa vendor pentest, perusahaan pada dasarnya memberikan akses terotorisasi kepada pihak luar untuk menyerang sistem internal mereka. Ini adalah kepercayaan yang sangat besar — dan keputusan ini tidak boleh hanya didasarkan pada proposal yang meyakinkan atau portofolio yang terlihat impresif.
Sertifikasi pentester menjadi relevan karena tiga alasan konkret:
Bukti kompetensi yang tervalidasi secara independen. Berbeda dengan klaim pengalaman yang sulit diverifikasi, sertifikasi seperti OSCP dikeluarkan oleh lembaga pihak ketiga yang independen berdasarkan ujian yang terstandarisasi.
Standar metodologi yang terjamin. Penguji bersertifikat dididik untuk mengikuti metodologi pengujian yang terstruktur — bukan sekadar menjalankan tools secara serampangan dan menyerahkan output otomatis sebagai laporan.
Akuntabilitas profesional. Pemegang sertifikasi terikat pada kode etik yang ditetapkan oleh lembaga penerbit, yang memberikan lapisan tambahan kepercayaan dalam penanganan data sensitif perusahaan.
Perbandingan Sertifikasi Pentester: OSCP, CREST, CEH, dan GPEN
Tidak semua sertifikasi pentester memiliki bobot yang setara. Berikut perbandingan empat sertifikasi utama yang paling sering disebutkan dalam konteks pengadaan layanan pentest:
| Sertifikasi | Lembaga Penerbit | Format Ujian | Level | Keunggulan |
|---|---|---|---|---|
| OSCP | Offensive Security | Praktik 24 jam | Individual | Pengakuan industri tertinggi untuk kemampuan hands-on |
| CREST | CREST (UK) | Teori + praktik berjenjang | Individual & Organisasi | Satu-satunya yang sertifikasi di level organisasi |
| CEH | EC-Council | Pilihan ganda | Individual | Dikenal luas, namun lebih bersifat teoritis |
| GPEN | GIAC / SANS | Ujian terbuka (open-book) | Individual | Kuat pada metodologi dan dokumentasi |
Kesimpulan praktis untuk decision maker:
OSCP adalah indikator paling kuat untuk kemampuan teknis individual seorang pentester. Namun, jika Anda mengevaluasi kualitas sebuah perusahaan pentest — bukan hanya individu pengujiannya — CREST menjadi parameter tambahan yang sangat relevan, karena sertifikasi ini beroperasi di level organisasi.
CEH, meskipun dikenal luas, umumnya dipandang oleh kalangan profesional keamanan siber sebagai sertifikasi entry-level yang lebih bersifat teoritis — kurang mencerminkan kemampuan praktis dibandingkan OSCP atau GPEN.
Mengenal CREST: Standar Korporat yang Mulai Dikenal di Indonesia
CREST (Council of Registered Ethical Security Testers) adalah lembaga sertifikasi keamanan siber internasional yang berbasis di Inggris, dengan anggota dan afiliasi di lebih dari 30 negara. Yang membedakan CREST dari sertifikasi lainnya adalah cakupannya yang beroperasi di dua level sekaligus:
Level Organisasi — CREST mensertifikasi perusahaan pentest secara keseluruhan, bukan hanya individu pengujiannya. Untuk mendapatkan status sebagai CREST Approved Company, sebuah perusahaan harus menjalani asesmen menyeluruh terhadap proses bisnis, prosedur kerahasiaan, metodologi pengujian, dan manajemen kualitas layanan.
Level Individual — CREST juga mengeluarkan sertifikasi berjenjang untuk penguji individual, mulai dari CPSA (CREST Practitioner Security Analyst), CRT (CREST Registered Tester), hingga CCT (CREST Certified Tester) — baik untuk jalur infrastruktur maupun aplikasi web.
Mengapa ini relevan untuk pentest indonesia di konteks korporat?
Sejumlah lembaga keuangan multinasional, perusahaan BUMN dengan standar internasional, dan proyek yang memerlukan kepatuhan terhadap regulasi global mulai mensyaratkan — atau setidaknya memberikan preferensi kepada — vendor pentest dengan afiliasi atau pengakuan dari CREST. Di beberapa yurisdiksi seperti Inggris, Australia, dan Singapura, CREST bahkan menjadi persyaratan wajib untuk pentest yang berhubungan dengan infrastruktur sistem pembayaran dan lembaga keuangan.
Cara Memverifikasi Klaim Sertifikasi Vendor Pentest
Mengklaim memiliki tim bersertifikat adalah mudah. Memverifikasi klaim tersebut adalah langkah yang seharusnya dilakukan setiap decision maker yang serius. Berikut cara konkretnya:
Verifikasi OSCP: Pemegang OSCP yang sah dapat membuktikan kredensial mereka melalui profil Credly (platform digital credential) atau sertifikat resmi yang diterbitkan Offensive Security. Mintalah vendor untuk menunjukkan bukti digital atau nama lengkap penguji yang dapat diverikasi secara mandiri di platform tersebut.
Verifikasi CREST: Perusahaan yang terdaftar sebagai CREST Approved Company dapat ditelusuri langsung di direktori resmi CREST di situs crest-approved.org. Ini adalah verifikasi paling mudah dan tidak membutuhkan informasi apapun dari vendor — Anda bisa mencarinya sendiri.
Verifikasi CEH: EC-Council menyediakan portal verifikasi di eccouncil.org di mana sertifikat dapat dicek menggunakan nomor sertifikat yang diberikan vendor.
Langkah tambahan yang disarankan: Selain memverifikasi sertifikat, mintalah vendor untuk menjelaskan secara spesifik siapa dari tim mereka yang akan ditugaskan ke proyek Anda. Vendor yang profesional tidak akan keberatan dengan permintaan ini — bahkan akan menyambutnya sebagai bagian dari transparansi.
Checklist Evaluasi Vendor Pentest Indonesia Berbasis Sertifikasi
Gunakan checklist berikut sebagai panduan evaluasi saat meminta proposal dari beberapa vendor pentest Indonesia:
✅ Sertifikasi Tim
- Apakah ada penguji bersertifikat OSCP di tim yang akan mengerjakan proyek Anda?
- Dapatkah mereka menunjukkan bukti verifikasi yang dapat dicek secara mandiri?
- Apakah perusahaan memiliki pengakuan dari lembaga seperti CREST atau asosiasi industri relevan?
✅ Metodologi yang Terstandarisasi
- Apakah metodologi pengujian mengikuti standar yang diakui (OWASP, PTES, NIST 800-115)?
- Apakah pengujian dilakukan secara manual atau didominasi automated tools?
✅ Transparansi Laporan
- Dapatkah vendor menunjukkan contoh laporan yang sudah dianonimkan?
- Apakah laporan mencakup Proof of Concept (PoC) untuk setiap temuan?
✅ Kerahasiaan dan NDA
- Apakah vendor bersedia menandatangani NDA sebelum scoping dimulai?
- Apakah ada prosedur penghapusan data yang terdokumentasi setelah proyek selesai?
✅ Transparansi Harga
- Apakah estimasi biaya diberikan setelah proses scoping yang jelas?
- Adakah potensi biaya tambahan di luar proposal awal yang perlu diantisipasi?
Widya Security: Tim Pentest Tersertifikasi di Indonesia
Widya Security memahami bahwa kepercayaan dibangun bukan melalui klaim, melainkan melalui transparansi dan dapat diverifikasinya kompetensi yang ditawarkan.
Setiap engagement pentest di Widya Security ditangani oleh tim yang memiliki kualifikasi teknis yang tervalidasi, dengan metodologi pengujian yang mengacu pada standar industri internasional — mulai dari perencanaan scoping yang terstruktur, pengujian manual yang komprehensif, hingga laporan yang disusun untuk memenuhi kebutuhan auditor teknis maupun manajemen non-teknis.
Layanan pentest Widya Security tersedia dengan harga mulai dari Rp 20 juta, dengan struktur yang transparan dan dapat disesuaikan berdasarkan metode pengujian (Black Box, Grey Box, atau White Box) serta kompleksitas scope yang disepakati.
📌 Catatan untuk tim konten: Lengkapi bagian ini dengan sertifikasi spesifik anggota tim (OSCP, CREST, CEH, dll.) beserta bukti verifikasi yang dapat ditautkan. Jika Widya Security memiliki afiliasi dengan CREST atau lembaga sertifikasi lainnya di level organisasi, informasi ini sangat krusial untuk dicantumkan di sini.
FAQ: Pertanyaan Seputar Pentest OSCP dan Sertifikasi Pentester
Apa perbedaan utama antara OSCP dan CEH?
OSCP mensyaratkan ujian praktik 24 jam di lingkungan lab nyata, sehingga pemegang sertifikat telah terbukti mampu mengeksploitasi sistem secara nyata. CEH lebih bersifat teoritis dengan format ujian pilihan ganda, sehingga lebih mencerminkan pengetahuan konseptual dibandingkan kemampuan praktis. Di kalangan profesional keamanan siber, OSCP umumnya dipandang sebagai indikator kompetensi teknis yang lebih kuat.
Apakah CREST sudah diakui di Indonesia?
CREST adalah lembaga sertifikasi yang diakui secara internasional dan mulai mendapat perhatian di Indonesia, khususnya di kalangan perusahaan multinasional, lembaga keuangan dengan standar internasional, dan proyek yang bersinggungan dengan regulasi global. Meskipun belum menjadi persyaratan umum di semua sektor, kepemilikan pengakuan CREST di level organisasi menjadi nilai tambah yang signifikan dalam proses seleksi vendor.
Apakah saya harus memilih vendor dengan tim OSCP untuk semua jenis pentest?
OSCP adalah indikator yang sangat relevan untuk layanan pentest yang bersifat manual dan mendalam. Untuk pengujian dengan scope yang lebih terbatas atau yang lebih banyak mengandalkan automated scanning (seperti Vulnerability Assessment), bobot sertifikasi ini mungkin berbeda. Diskusikan kebutuhan spesifik Anda dengan vendor untuk menentukan kualifikasi tim yang paling relevan.
Berapa biaya pentest oleh tim bersertifikat OSCP di Indonesia?
Harga jasa pentest Indonesia dengan tim bersertifikat internasional umumnya mulai dari Rp 20 juta untuk pengujian Black Box satu aset, dengan variasi harga tergantung metode pengujian (Grey Box atau White Box), kompleksitas scope, dan kedalaman analisis yang dibutuhkan. Harga final selalu ditentukan setelah proses scoping awal.
Bagaimana cara memverifikasi bahwa penguji benar-benar memegang sertifikat OSCP?
Pemegang OSCP yang sah dapat membuktikan kredensial mereka melalui profil digital di platform Credly, yang dapat diakses dan diverifikasi secara mandiri. Mintalah vendor untuk menunjukkan tautan profil Credly dari penguji yang akan ditugaskan ke proyek Anda — bukan sekadar salinan sertifikat PDF yang mudah dipalsukan.
Seberapa sering sebaiknya perusahaan melakukan pentest, dan apakah vendor harus selalu bersertifikat OSCP?
Rekomendasi umum adalah pentest dilakukan setidaknya satu kali per tahun, atau setelah perubahan signifikan pada sistem. Untuk pentest yang bersifat komprehensif dan manual — terutama yang hasilnya akan digunakan untuk keperluan audit atau kepatuhan regulasi — memilih vendor dengan penguji bersertifikat OSCP atau setara sangat dianjurkan. Untuk pengujian rutin yang lebih ringan, kualifikasi minimum yang relevan dapat didiskusikan dengan vendor sesuai konteks.
Konsultasikan Kebutuhan Pentest Anda dengan Tim Widya Security
Memilih vendor pentest yang tepat adalah keputusan yang terlalu penting untuk didasarkan hanya pada klaim di halaman pemasaran. Widya Security siap mendampingi Anda mulai dari pemahaman kebutuhan, evaluasi scope yang tepat, hingga pelaksanaan pengujian yang terstandarisasi dan terdokumentasi.
