Job Description
Full details about the role and requirements
Yukerja Summary
The Secure SDLC Consultant role at KED Consulting is curated from Glints (category Keuangan & Perbankan). Note the work location (Kebayoran Baru) before applying. Yukerja.com is not the employer — applications are handled on the official source site.
Tentang KED Consulting
KED Consulting (PT Karya Ekosistem Digital) adalah firma advisory IT independen berbasis di Jakarta yang melayani klien sektor perbankan dan jasa keuangan Indonesia. Kami membantu klien merancang dan mengoperasikan sistem IT yang aman, terpercaya, dan selaras dengan regulasi.
Dalam konteks meningkatnya ancaman siber dan percepatan adopsi AI di sektor keuangan, KED mengembangkan kapabilitas DevSecOps Advisory untuk membantu klien membangun pipeline pengembangan perangkat lunak yang aman sejak tahap desain (Security by Design).
Peran & Tanggung Jawab
Sebagai DevSecOps Consultant di KED Consulting, Anda akan bertanggung jawab atas:
Secure SDLC & Secure Coding Advisory
• Merancang dan mengimplementasikan Secure Software Development Life Cycle (S-SDLC) di lingkungan klien perbankan, mencakup fase requirements, design, development, testing, dan deployment
• Memberikan advisory dan pelatihan Secure Coding Practices kepada tim developer klien, meliputi mitigasi OWASP Top 10 dan CWE/SANS Top 25
• Melakukan Threat Modeling pada aplikasi kritis klien menggunakan metodologi STRIDE atau PASTA
• Mendampingi klien dalam penyusunan Secure Coding Standard dan kebijakan code review
DevSecOps Pipeline & Toolchain
• Merancang dan mengintegrasikan security tooling ke dalam CI/CD pipeline klien: SAST, DAST, SCA (Software Composition Analysis), dan Secret Scanning
• Memberikan rekomendasi dan panduan implementasi tools DevSecOps seperti SonarQube, Checkmarx, Snyk, OWASP ZAP, Trivy, dan sejenisnya
• Membantu klien dalam penerapan Infrastructure as Code (IaC) Security dan container security (Docker/Kubernetes)
• Menyusun DevSecOps Maturity Assessment dan roadmap peningkatan kapabilitas
Application Security & Vulnerability Management
• Melakukan Code Review berbasis keamanan (Security Code Review) pada aplikasi kritikal klien
• Mengkoordinasikan dan menginterpretasikan hasil Penetration Testing (Pentest) serta memandu remediasi
• Membangun dan mengelola program Vulnerability Management di lingkungan pengembangan perangkat lunak klien
• Menyusun laporan eksekutif dan teknikal terkait postur keamanan aplikasi klien
Kepatuhan & Regulasi Keamanan IT
• Memastikan S-SDLC dan praktik DevSecOps klien selaras dengan regulasi OJK (POJK PTI, PADK No. 1/2026), Bank Indonesia, dan standar internasional (ISO/IEC 27001, NIST CSF)
• Mendukung klien dalam persiapan audit keamanan aplikasi dan pemenuhan persyaratan regulator terkait keamanan siber
• Menyusun kebijakan dan prosedur keamanan pengembangan software untuk kebutuhan kepatuhan
Manajemen Klien & Delivery
• Berkolaborasi langsung dengan CISO, CTO, dan tim engineering klien dalam mendefinisikan roadmap keamanan aplikasi
• Menyusun deliverable konsultansi berkualitas tinggi: framework, assessment report, playbook, dan rekomendasi strategis
• Memimpin workshop dan sesi pelatihan DevSecOps untuk tim teknis klien
Kualifikasi & Persyaratan
Pendidikan & Pengalaman
• Sarjana (S1) atau Pascasarjana (S2) di bidang Teknik Informatika, Ilmu Komputer, Keamanan Siber, atau bidang terkait
• Minimal 5 (lima) tahun pengalaman profesional di bidang DevSecOps, Application Security, atau Secure Software Development
• Pengalaman langsung di sektor jasa keuangan (perbankan, asuransi, fintech, atau multifinance) menjadi persyaratan utama
• Pengalaman sebagai konsultan atau pengalaman bekerja dengan beragam klien menjadi nilai tambah yang signifikan
Sertifikasi (Wajib — Minimal Satu)
Pelamar diwajibkan memiliki minimal satu sertifikasi di bawah ini; memiliki lebih dari satu menjadi nilai tambah:
CSSLP Certified Secure Software Lifecycle Professional — ISC2 Secure SDLC end-to-end
CEH Certified Ethical Hacker — EC-Council Penetration Testing & Vulnerability Assessment
GWEB GIAC Web Application Defender — SANS Web Application Security
OSCP Offensive Security Certified Professional Penetration Testing & Exploit
CKS Certified Kubernetes Security Specialist — CNCF Container & Cloud-Native Security
CISSP Certified Information Systems Security Professional — ISC2 Keamanan Informasi & GRC (nilai tambah)
Kompetensi Teknis
• Penguasaan metodologi Secure SDLC: OWASP SAMM, Microsoft SDL, BSIMM
• Pemahaman mendalam terhadap OWASP Top 10 (Web & API), CWE/SANS Top 25, dan teknik remediasi
• Pengalaman praktis dengan tools SAST/DAST/SCA: SonarQube, Checkmarx, Veracode, Snyk, OWASP ZAP, Burp Suite
• Kemampuan Threat Modeling menggunakan STRIDE, PASTA, atau Attack Trees
• Pemahaman CI/CD pipeline (Jenkins, GitLab CI, GitHub Actions) dan integrasi security gates
• Pengetahuan tentang container security (Docker, Kubernetes) dan cloud security (AWS/Azure/GCP) menjadi nilai tambah
• Familiar dengan regulasi keamanan siber perbankan: OJK POJK PTI, PADK 1/2026, SEOJK Keamanan Siber, SNI ISO/IEC 27001
• Kemampuan pemrograman dasar untuk code review: Python, Java, JavaScript/TypeScript, atau Go
Kompetensi Non-Teknis
• Kemampuan komunikasi teknikal dan non-teknikal yang kuat kepada audiens setingkat CISO/CTO
• Kemampuan menyusun laporan dan dokumentasi yang terstruktur, jelas, dan actionable
• Pengalaman memimpin workshop, pelatihan, atau sesi knowledge transfer
• Kemampuan analitis tinggi dalam menilai risiko keamanan dalam konteks bisnis perbankan
• Proaktif, detail-oriented, dan berorientasi pada kualitas deliverable