Dari "Teater Kepatuhan" Menuju Pertahanan Aktif

Program tata kelola identitas di berbagai sektor industri berjalan berdasarkan asumsi yang keliru: bahwa peninjauan akses berkala, kebijakan yang terdokumentasi, dan laporan audit yang bersih merupakan landasan keamanan yang dapat dipertanggungjawabkan. Kenyataannya tidak demikian.

Lanskap ancaman telah berubah secara mendasar. Identitas, baik milik manusia maupun non-manusia, dibuat, dimodifikasi, dan dimanfaatkan dalam hitungan milidetik. Hak akses terus berubah di antara siklus peninjauan. Dan ketika terjadi pelanggaran, auditor, regulator, pemeriksa, perusahaan asuransi, dan pihak yang terlibat dalam gugatan tidak menanyakan apakah kebijakan tersebut ada. Mereka menanyakan apakah kebijakan tersebut diterapkan, secara real-time, pada saat insiden terjadi.

Makalah ini berpendapat bahwa model tradisional tata kelola dan administrasi identitas (IGA), yang bergantung pada kampanye peninjauan tahunan atau triwulanan, menciptakan apa yang kami sebut sebagai ‘Kesenjangan Kelalaian’: jurang yang semakin melebar antara apa yang tercantum dalam dokumentasi kebijakan statis suatu organisasi dan apa yang sebenarnya dilakukan oleh sistem dinamisnya. Jika dibiarkan tanpa penanganan, celah ini bukan sekadar risiko keamanan. Ini merupakan beban risiko, dan bagi lembaga keuangan serta instansi pemerintah, hal ini juga berpotensi menjadi temuan audit yang tak terhindarkan.

Alternatifnya adalah beralih ke Active Defense Governance (ADG), sebuah model di mana tata kelola berfungsi sebagai mekanisme pengendalian yang berkelanjutan, otomatis, dan berbasis risiko, bukan sekadar proses verifikasi berkala. Jika diterapkan secara efektif, ADG mengubah tata kelola identitas dari pusat biaya kepatuhan menjadi kemampuan keamanan operasional, dan yang terpenting, menjadi landasan pertahanan yang siap menghadapi gugatan hukum.

Makalah posisi ini bertujuan untuk memberikan kerangka kerja kepada para praktisi, pemimpin program, dan pemangku kepentingan eksekutif guna mengevaluasi dan mengembangkan pendekatan IGA mereka, melampaui kegiatan kepatuhan berkala menuju model ADG yang berkelanjutan dan dapat dipertanggungjawabkan. Makalah ini akan menjelaskan secara rinci:

• Mengapa siklus peninjauan IGA tradisional tidak memadai untuk menghadapi risiko-risiko saat ini
• Bagaimana kesenjangan tata kelola yang timbul tersebut menimbulkan risiko hukum dan regulasi
• Kerangka kerja untuk menerapkan ADG, mulai dari kemampuan dasar hingga kemampuan pertahanan yang utuh
• Metrik yang dapat digunakan organisasi untuk mengukur efektivitas ADG
• Hal-hal yang perlu dipertimbangkan dalam implementasi bagi organisasi pada setiap tahap kematangan tata kelola

Paradoks audit yang bersih

Saat ini, banyak organisasi secara rutin meraih hasil yang memuaskan dalam audit SOC 2 Tipe II, penilaian kesiapan GDPR, tinjauan kepatuhan DORA, dan audit keamanan CJIS, namun justru mengalami pelanggaran keamanan berbasis identitas hanya dalam hitungan minggu setelah menerima hasil audit yang memuaskan tersebut. Hal ini bukanlah kebetulan. Ini merupakan konsekuensi struktural dari cara kerangka kerja kepatuhan tradisional dirancang dan cara organisasi menanggapinya.

Kerangka kerja kepatuhan, pada dasarnya, menilai kondisi pada suatu titik waktu tertentu. Proses penugasan SOC 2 mengevaluasi apakah pengendalian telah diterapkan dan berjalan secara efektif selama periode yang telah ditentukan. Audit CJIS memastikan bahwa kebijakan akses yang mengatur informasi peradilan pidana telah didokumentasikan dan dipatuhi.

Kerangka kerja tersebut memang berbeda-beda, tetapi memiliki keterbatasan yang sama: periode tertentu, gambaran sekilas mengenai kendali, bukan berkelanjutan penegakan hukum.

Lembaga keuangan yang tunduk pada pedoman FFIEC, NYDFS Bagian 500, atau PCI DSS v4.0 kini semakin sering dihadapkan pada auditor yang meminta bukti penerapan pengendalian berkelanjutan, bukan sekadar pernyataan kepatuhan pada titik waktu tertentu. Lembaga federal yang tunduk pada FISMA, FedRAMP, atau NIST SP 800-53 beroperasi di bawah model tata kelola yang mendokumentasikan pengendalian pada saat otorisasi, namun dokumentasi tersebut mungkin tidak mencerminkan penegakan operasional di antara siklus tinjauan. Dalam setiap kasus, kerangka kerja audit menangkap suatu momen. Lingkungan ancaman tidak berhenti selama siklus tinjauan.

Hasilnya adalah apa yang semakin sering disebut para praktisi sebagai paradoks audit bersih, atau paradoks kepatuhan: semakin yakin suatu organisasi terhadap hasil auditnya, semakin rentan sebenarnya organisasi tersebut. Dasbor hijau yang dihasilkan dari data yang berusia tiga, enam, atau sebelas bulan bukanlah bukti adanya pengendalian. Itu justru bukti masa lalu pengendalian, dan dalam skenario pelanggaran, perbedaan itu sangat menentukan.

Jika organisasi Anda mengalami pelanggaran keamanan besar-besaran yang berkaitan dengan identitas hari ini, para penyelidik tidak akan menanyakan apakah Anda memiliki kebijakan tata kelola. Mereka akan menanyakan apakah kebijakan tersebut sudah berlaku dan diterapkan pada saat pelanggaran terjadi. Jika jawabannya adalah “kami meninjaunya setiap tahun,” Anda bukan hanya rentan. Anda tidak bisa membela diri.

Penurunan kualitas audit: tanggal kedaluwarsa tersembunyi pada setiap tinjauan

Setiap kampanye sertifikasi akses, peninjauan hak akses, dan proses verifikasi peran memiliki batas waktu yang tidak pernah didokumentasikan. Begitu kampanye tersebut ditutup, data yang telah disertifikasi mulai menyimpang dari kenyataan. Kami menyebut hal ini sebagai degradasi audit.

Di lingkungan perusahaan modern, identitas dan hak akses yang terkait dengannya tidak bersifat statis. Akun layanan dibuat dan sering kali dikonfigurasi secara salah. Kontraktor direkrut dan cakupan akses mereka meluas melampaui tujuan awal. Karyawan berganti peran dan menumpuk hak akses yang tidak pernah dicabut. Identitas non-manusia, termasuk kunci API, akun mesin, Agentic AI, dan bot Otomatisasi Proses Robotik (RPA), berkembang biak di seluruh infrastruktur dengan pengawasan yang minim.

Dalam lingkungan ini, siklus tinjauan triwulanan berarti bahwa penyimpangan akses tidak terdeteksi hingga sembilan puluh hari sebelum akhirnya dapat terdeteksi. Tinjauan tahunan berarti paparan yang tidak terpantau selama hingga satu tahun penuh. Komunitas penyerang sangat menyadari dinamika ini. Waktu tinggal (dwell time) untuk serangan berbasis identitas diukur dalam hitungan minggu dan bulan, bukan jam, tepatnya karena frekuensi tata kelola tradisional menciptakan jendela peluang yang dapat diprediksi.

Tinjauan pengawas: instrumen tata kelola yang paling tidak dapat diandalkan

Bentuk peninjauan akses yang paling umum dalam program IGA perusahaan adalah sertifikasi oleh atasan atau manajer: sebuah proses berkala di mana para manajer diminta untuk meninjau hak akses bawahan langsung mereka dan memastikan bahwa akses tersebut masih sesuai. Praktik ini telah menjadi bagian yang tak terpisahkan dari kerangka kerja kepatuhan dan ekspektasi audit. Praktik ini juga merupakan salah satu pengendalian yang paling tidak efektif dalam perangkat keamanan identitas.

Masalah-masalah struktural tersebut sudah dipahami dengan baik. Para manajer dihadapkan pada sejumlah besar data hak akses yang tidak dapat mereka evaluasi secara mendalam karena kurangnya pemahaman teknis. Proses peninjauan seringkali dibatasi oleh keterbatasan waktu dan bersaing dengan tanggung jawab inti bisnis. Dan jalan yang paling mudah, yaitu menyetujui begitu saja profil akses yang ada, tidak menimbulkan konsekuensi langsung, meskipun hal itu justru memperpanjang risiko.

Akibatnya adalah apati yang dipicu oleh proses audit: suatu pola perilaku organisasi yang terbentuk, di mana para penilai memandang kampanye sertifikasi sebagai kewajiban administratif, bukan sebagai kegiatan manajemen risiko yang sesungguhnya. Dinamika ini bersifat saling memperkuat. .

Sementara itu, jenis peninjauan yang paling mungkin mengidentifikasi risiko yang signifikan—termasuk peninjauan hak akses berdasarkan peran, peninjauan pengecualian kebijakan, peninjauan akses data tidak terstruktur, dan audit identitas non-manusia—justru termasuk yang paling jarang dilakukan. Peninjauan-peninjauan ini memerlukan keahlian khusus di bidangnya serta akuntabilitas kepemilikan, yang tidak dirancang untuk dipenuhi oleh model yang berpusat pada pengawas.

Ketika tata kelola menjadi beban

Selama sebagian besar dua dekade terakhir, dampak utama dari tata kelola identitas yang lemah bersifat operasional: pelanggaran keamanan, kehilangan data, dan kerusakan reputasi. Risiko hukum dan regulasi, meskipun nyata, sering kali ditangani melalui komitmen perbaikan dan perjanjian penyelesaian.

Pola pikir tersebut sedang berubah. Persyaratan pengungkapan SEC kini mewajibkan pelaporan insiden keamanan siber yang material secara tepat waktu dan akurat, dan pihak regulator secara aktif mengevaluasi apakah organisasi telah menerapkan kewaspadaan yang wajar dalam praktik keamanannya, bukan sekadar apakah mereka mematuhi daftar periksa. DORA, yang berlaku di seluruh entitas keuangan UE, menetapkan persyaratan eksplisit untuk manajemen risiko teknologi informasi dan komunikasi (TIK) serta respons insiden yang mencakup kontrol akses dan identitas pihak ketiga. Persyaratan kebijakan keamanan CJIS untuk akses informasi peradilan pidana sangat ketat dan tidak dapat dinegosiasikan, dengan kegagalan kontrol akses yang dapat menimbulkan konsekuensi federal yang serius. Bagi lembaga keuangan dan instansi pemerintah, auditor semakin berfokus pada apakah kontrol beroperasi secara berkelanjutan, bukan hanya apakah kontrol tersebut sudah ada selama audit terakhir.

Dalam konteks ini, gugatan hukum atau proses regulasi pasca-pelanggaran tidak akan memperhitungkan apakah suatu organisasi memiliki program tata kelola. Sebaliknya, hal tersebut akan berfokus pada apakah program tersebut telah berjalan dan diterapkan pada saat kejadian. Proses pengumpulan bukti akan mencari catatan akses, catatan sertifikasi, persetujuan pengecualian, dan bukti penegakan kebijakan. Pertanyaannya tidak akan bersifat filosofis. Pertanyaannya akan bersifat bukti.

Sebuah organisasi yang hanya dapat menyajikan catatan sertifikasi tahunan tanpa bukti pemantauan berkelanjutan belum membuktikan kepatuhannya. Organisasi tersebut justru memperlihatkan kesenjangan antara kebijakan tertulisnya dan kondisi keamanan aktualnya, dan hal itu terjadi dalam konteks yang paling merugikan.

Mendefinisikan kesenjangan kelalaian

"Kesenjangan Kelalaian" adalah jurang yang semakin melebar antara apa yang tercantum dalam dokumen kebijakan statis suatu organisasi dan apa yang sebenarnya dilakukan oleh sistem identitas dinamisnya di antara siklus peninjauan. Ini bukanlah risiko teoretis. Ini adalah kerentanan yang tercatat, yang semakin membesar seiring berlalunya hari di antara tindakan tata kelola.

Ada beberapa faktor yang berkontribusi terhadap kesenjangan tersebut:

Pertama, pergeseran akses: penumpukan hak akses, penugasan peran (termasuk definisi peran yang sudah usang), dan pemberian izin yang terjadi di antara periode peninjauan tanpa memicu tindakan tata kelola apa pun.

Kedua, latensi deteksi: selang waktu antara terjadinya anomali akses dan saat organisasi menyadarinya melalui proses tata kelola yang diterapkan.

Ketiga, keterlambatan penanganan: selang waktu antara deteksi dan pencabutan atau penanganan akses yang melanggar kebijakan.

Dalam skenario pelanggaran, "Negligence Gap" adalah area di mana pertanggungjawaban hukum berada. Pengacara penggugat dan otoritas pengawas akan mengukurnya berdasarkan waktu: seberapa lama akses yang diretas itu berlangsung, kapan seharusnya hal itu terdeteksi, dan apa yang seharusnya dilakukan secara berbeda oleh program tata kelola yang wajar.

Identitas non-manusia: area kerentanan yang belum dievaluasi

Cakupan identitas telah meluas secara drastis melampaui pengguna manusia. Akun layanan, token API, identitas mesin, bot RPA, dan agen AI kini mencakup porsi yang signifikan dari total identitas di sebagian besar lingkungan perusahaan. Identitas non-manusia ini sering kali beroperasi dengan hak akses tingkat tinggi, jarang terdeteksi dalam proses peninjauan oleh pengawas, dan memiliki cakupan akses yang berkembang secara organik seiring dengan perubahan sistem dan integrasi.

Dari sudut pandang penyerang, identitas non-manusia merupakan sasaran yang sangat menarik: hak akses tinggi, tingkat deteksi rendah, dan waktu tinggal yang lama sebelum terdeteksi. Dari sudut pandang hukum, akun layanan yang diretas dan digunakan sebagai vektor pergerakan lateral memunculkan pertanyaan tajam mengenai apakah organisasi telah melakukan pengawasan yang efektif terhadap semua jenis identitas, bukan hanya yang tercantum dalam bagan organisasi.

Program tata kelola yang tidak mampu menunjukkan adanya pemantauan aktif dan penegakan kebijakan terhadap identitas non-manusia beroperasi dengan titik buta struktural yang semakin disadari oleh pihak regulator, pengacara litigasi, dan pihak lawan.

Perubahan paradigma

Active Defense Governance (ADG) menandai perubahan arah mendasar dalam cara tata kelola identitas dipahami dan diimplementasikan. Model tradisional bertanya: Siapa yang memiliki akses? Model ADG bertanya: Mengapa identitas ini memiliki akses tersebut saat ini, dan apakah akses tersebut sesuai dengan kebijakan dan posisi risiko saat ini?

Ini bukan sekadar perbedaan filosofis. Hal ini mencerminkan perubahan struktural dalam cara tata kelola beroperasi di lingkungan operasi keamanan. Dalam model tradisional, tata kelola adalah fungsi berkala, sebuah kampanye yang dijalankan, ditutup, dan kemudian menunggu untuk dilanjutkan. Dalam model ADG, tata kelola adalah aliran telemetri yang berkelanjutan: setiap peristiwa akses, tindakan penyediaan, dan perubahan hak akses dievaluasi berdasarkan kebijakan secara real-time, dengan kemampuan respons otomatis yang tidak memerlukan siklus tinjauan manusia untuk berlaku.

Kampanye sertifikasi akses formal tidak lenyap dalam model ini. Kampanye tersebut hanya disesuaikan. Alih-alih berfungsi sebagai mekanisme pengendalian utama, sertifikasi berkala berfungsi sebagai konfirmasi dan pembuktian atas apa yang telah terdeteksi, dikelola, dan didokumentasikan melalui pemantauan berkelanjutan. Kampanye ini memvalidasi sistem dan kebijakan. Kampanye tersebut tidak lagi menjadi sistem itu sendiri.

Kemampuan inti dari program ADG

Program Tata Kelola Pertahanan Aktif yang efektif dibangun di atas beberapa kemampuan yang saling terkait:

• Pemantauan akses berkelanjutan dengan evaluasi kebijakan secara real-time, yang menggantikan siklus peninjauan statis dengan pemicu tata kelola berbasis peristiwa
• Prioritas sertifikasi berdasarkan risiko, yang mengarahkan upaya peninjauan manual pada hak akses dan identitas berisiko tertinggi, alih-alih mendistribusikannya secara merata ke seluruh akses
• Pemberian akses Just-in-Time (JIT), di mana akses diberikan untuk jangka waktu tertentu jika risiko mengharuskannya, dan di mana pemberian akses tersebut didasarkan pada kebutuhan yang terverifikasi, bukan hak tetap
• Pengelolaan identitas non-manusia, yang menerapkan pemantauan berkelanjutan dan penegakan kebijakan yang sama terhadap akun layanan, kredensial API, AI, bot RPA, dan identitas mesin, sebagaimana yang diterapkan pada pengguna manusia
• Pengukuran Time-to-Revocation (TTR), yang melacak selang waktu antara terjadinya perubahan identitas dan pencabutan akses yang terpengaruh, sebagai metrik keamanan utama

Pencatatan otomatis berstandar audit yang menghasilkan catatan berkelanjutan dan tahan manipulasi mengenai keputusan akses, evaluasi kebijakan, serta tindakan tata kelola, yang dapat langsung diakses untuk keperluan tinjauan regulasi atau hukum

Tata kelola just-in-time dan keselarasan dengan model Zero Trust

Pengelolaan akses Just-in-Time mengatasi salah satu kelemahan struktural yang paling membandel dalam IGA tradisional: hak akses permanen. Di sebagian besar lingkungan perusahaan, akses diberikan dan kemudian tetap berlaku hingga secara eksplisit dicabut, yang dalam praktiknya sering kali berarti akses tersebut tetap berlaku tanpa batas waktu. Hak akses permanen merupakan faktor utama yang memfasilitasi pergerakan lateral dan eskalasi hak akses dalam serangan berbasis identitas.

Tata kelola JIT membalikkan model ini untuk permintaan akses berisiko tinggi, bukan untuk sumber daya sehari-hari seperti email. Alih-alih memperlakukan semua hak akses sebagai permanen hingga dicabut, sistem ini menerapkan pemberian akses yang dibatasi waktu dan dievaluasi berdasarkan kebijakan di mana akses permanen menimbulkan risiko terbesar. Setiap peristiwa akses yang ditingkatkan atau sensitif menjadi keputusan tata kelola, bukan sekadar warisan sistem lama. Tujuannya bukanlah untuk menciptakan hambatan pada setiap permintaan akses, melainkan untuk memastikan bahwa di mana risiko mengharuskannya, akses dilakukan secara sengaja, terbatas waktu, dan terikat pada kebutuhan yang terverifikasi, bukan akses permanen yang tetap ada hanya karena pernah diberikan di masa lalu.

Pendekatan ini sejalan secara langsung dengan prinsip-prinsip arsitektur Zero Trust, khususnya persyaratan verifikasi berkelanjutan dan penerapan prinsip hak akses minimal. Pendekatan ini juga menghasilkan artefak tata kelola yang paling dapat dipertanggungjawabkan dalam konteks regulasi atau litigasi: artefak ini dilengkapi cap waktu, terhubung dengan kebijakan, otomatis, dan menunjukkan apa yang dilakukan fungsi tata kelola suatu organisasi dalam praktiknya, bukan sekadar apa yang diimpikan secara teoritis. Ketika penyelidik menanyakan mengapa identitas tertentu memiliki akses ke sumber daya tertentu pada saat tertentu, model tata kelola JIT menghasilkan jawaban yang tepat dan terdokumentasi.

Metrik yang mencerminkan kondisi keamanan yang sebenarnya

Program tata kelola secara historis diukur berdasarkan tingkat penyelesaian kampanye: persentase tinjauan yang disertifikasi dalam jangka waktu tertentu. Metrik ini hampir sama sekali tidak berkaitan dengan hasil keamanan. Tingkat penyelesaian kampanye sebesar seratus persen yang dicapai melalui persetujuan sekadar formalitas hanyalah bukti kepatuhan administratif, bukan manajemen risiko.

Program ADG memerlukan serangkaian metrik yang berbeda, yaitu metrik yang berfokus pada kondisi keamanan aktual dan kelayakan hukum. Metrik utama yang perlu dipertimbangkan antara lain:

• Tingkat penerapan kebijakan (berkelanjutan), yang menggantikan tingkat penyelesaian kampanye sebagai indikator pengendalian utama
• Tingkat deteksi anomali secara real-time, yang mengukur persentase anomali akses yang terdeteksi dalam jendela SLA yang telah ditentukan
• Waktu hingga Pencabutan (TTR), yaitu pengukuran waktu yang telah berlalu sejak terjadinya peristiwa identitas hingga pencabutan akses
• Cakupan identitas non-manusia, yang mengukur persentase identitas non-manusia yang berada di bawah tata kelola aktif
• Tingkat adopsi akses JIT, yang memantau persentase akses berhak istimewa yang diberikan melalui mekanisme JIT dibandingkan dengan hak istimewa permanen
• Kelengkapan bukti audit, yang mengukur ketersediaan dan integritas catatan tata kelola berkelanjutan untuk periode tertentu

Waktu hingga Pencabutan sebagai metrik tingkat dewan direksi

Waktu hingga Pencabutan (TTR) patut mendapat perhatian khusus karena metrik ini secara langsung mengukur rentang waktu yang tersedia bagi penyerang setelah terjadinya peristiwa identitas pemicu, baik itu pemutusan hubungan kerja, perubahan peran, deteksi anomali, maupun pelanggaran kebijakan.

Organisasi yang memiliki kemampuan tata kelola berkelanjutan yang matang mengukur TTR dalam hitungan menit. Organisasi yang mengandalkan siklus peninjauan berkala mengukurnya dalam hitungan hari, minggu, atau—untuk jenis akses yang tidak tercakup dalam kampanye standar—bahkan mungkin tanpa batas waktu (jika mereka memang mengukurnya). Perbedaan ini bukanlah hal yang sepele. Ini adalah perbedaan antara serangan identitas yang dapat dikendalikan dan serangan yang menjadi pelanggaran material. Bagi lembaga keuangan dan instansi pemerintah, perbedaan tersebut sangat penting, tidak hanya di pusat operasi keamanan. Para pemeriksa semakin mengharapkan jawaban yang tepat dan terdokumentasi mengenai seberapa cepat akses dicabut setelah terjadinya peristiwa pemicu, bukan hanya merujuk pada siklus sertifikasi berikutnya.

TTR juga merupakan salah satu metrik paling efektif untuk pelaporan tingkat dewan direksi karena metrik ini menerjemahkan kemampuan tata kelola teknis menjadi hasil pengurangan risiko yang nyata. Sebuah organisasi yang mampu menunjukkan nilai TTR rata-rata di bawah lima belas menit setelah terjadinya insiden penghentian telah menyampaikan informasi yang bermakna mengenai postur keamanannya, sesuatu yang tidak dapat disampaikan oleh tingkat penyelesaian kampanye.

Kontinum kematangan

Transisi dari IGA yang berorientasi pada kepatuhan ke ADG bukanlah perubahan yang terjadi dalam satu langkah. Ini merupakan proses pematangan yang akan ditempuh oleh sebagian besar organisasi secara bertahap, dimulai dari kategori identitas dengan risiko tertinggi dan secara bertahap memperluas cakupannya seiring berjalannya waktu.

Model kematangan praktis untuk penerapan ADG melewati empat tahap:

• Tahap 1 | Dasar: Inventarisasi identitas terpusat, alur kerja penyediaan dan pencabutan akses yang konsisten, serta kampanye sertifikasi akses dasar. Tahap ini merupakan prasyarat bagi semua tahap selanjutnya.
• Tahap 2 | Sadar Risiko: Pengenalan penilaian risiko untuk identitas dan hak akses, penetapan prioritas upaya peninjauan berdasarkan bobot risiko, serta penerapan awal kemampuan deteksi anomali.
• Tahap 3 | Berkelanjutan: Evaluasi kebijakan secara real-time, pemicu tata kelola berbasis peristiwa, pengukuran TTR, dan integrasi dengan perangkat operasi keamanan. Inilah ambang batas ADG.
• Tahap 4 | Tingkat Keamanan Tinggi: Penerapan tata kelola akses JIT (Just-in-Time) pada area di mana akses permanen menimbulkan risiko terbesar, cakupan identitas non-manusia yang menyeluruh, pencatatan log berkelanjutan yang memenuhi standar audit, serta otomatisasi pelaporan kepatuhan regulasi. Tahap ini mencerminkan kesiapan untuk menghadapi proses hukum.

AI sebagai penguat daya guna dalam tata kelola berkelanjutan

Jumlah peristiwa akses, perubahan hak akses, dan interaksi identitas di sebuah perusahaan modern membuat penerapan tata kelola berkelanjutan secara manual menjadi tidak praktis dari segi operasional. Analisis berbasis kecerdasan buatan (AI) bukanlah sekadar peningkatan opsional dalam program ADG. Analisis tersebut merupakan persyaratan arsitektural.

Jika diterapkan secara efektif, kemampuan AI dalam platform IGA dapat menjalankan beberapa fungsi yang berada di luar jangkauan praktis proses peninjauan yang dilakukan oleh manusia. Analisis perilaku dapat menetapkan pola akses dasar untuk setiap identitas dan menandai penyimpangan yang memerlukan evaluasi kebijakan. Model pembelajaran mesin dapat menilai bobot risiko dari setiap hak akses dan kombinasi akses, serta mengidentifikasi kombinasi hak akses yang berisiko tinggi yang terlewatkan dalam peninjauan peran standar. Pemrosesan bahasa alami dapat menafsirkan dokumen kebijakan dan memetakan hak akses sesuai dengan maksud kebijakan, sehingga memungkinkan penilaian kepatuhan secara otomatis daripada penafsiran manual.

Yang terpenting, keputusan akses yang didasarkan pada AI harus didukung oleh skor risiko yang dapat diverifikasi dan keterkaitan kebijakan yang terdokumentasi, bukan sekadar hasil keluaran model. Elemen tata kelola yang penting dalam konteks hukum atau regulasi bukanlah bahwa AI telah membuat keputusan. Yang penting adalah bahwa keputusan tersebut dibuat sesuai dengan proses evaluasi kebijakan yang terdokumentasi dan dapat diaudit, dengan dasar risiko yang dicatat pada saat keputusan dibuat.

Menempatkan kembali tata kelola sebagai fungsi keamanan

Mungkin tantangan implementasi yang paling signifikan dalam transisi ke ADG lebih bersifat organisasional daripada teknis. Program IGA tradisional sering kali berada di bawah naungan fungsi kepatuhan, teknologi SDM, atau operasi TI. ADG mensyaratkan agar tata kelola identitas diperlakukan sebagai kemampuan keamanan inti, yang terintegrasi dengan operasi keamanan, penanggulangan insiden, dan intelijen ancaman.

Penyesuaian peran ADG dalam konteks ini memiliki implikasi praktis. Metrik tata kelola perlu dimasukkan dalam pelaporan operasi keamanan, bukan hanya dalam dasbor kepatuhan. Ketidaksesuaian tata kelola perlu diintegrasikan ke dalam alur kerja SIEM dan SOAR. Selain itu, pimpinan bidang tata kelola perlu memiliki jalur komunikasi langsung dengan pimpinan bidang keamanan, bukan hubungan pelaporan yang dimediasi melalui fungsi kepatuhan atau audit.

Perubahan ini juga menuntut adanya penyesuaian dalam cara mengevaluasi investasi di bidang tata kelola. Pengeluaran untuk infrastruktur tata kelola berkelanjutan bukanlah biaya kepatuhan. Ini merupakan investasi keamanan yang menghasilkan pengurangan risiko yang dapat diukur, serta memiliki dampak langsung terhadap premi asuransi siber, posisi kepatuhan regulasi, dan posisi dalam sengketa hukum.

Argumen utama makalah ini bukanlah bahwa kepatuhan tidak relevan. Kerangka kerja seperti SOC 2, DORA, dan kebijakan keamanan CJIS memiliki fungsi penting: mereka menetapkan ekspektasi dasar, menyediakan struktur audit, dan menciptakan mekanisme pertanggungjawaban. Argumennya adalah bahwa kepatuhan, sebagaimana saat ini diterapkan oleh sebagian besar organisasi, tidaklah memadai, dan ketidakcukupan tersebut bukan lagi sekadar risiko keamanan. Hal ini juga merupakan risiko hukum dan reputasi.

Lanskap ancaman identitas telah berkembang hingga pada titik di mana setiap program tata kelola yang tidak dapat menunjukkan adanya kontrol akses secara berkelanjutan, yang ditegakkan melalui kebijakan, dan real-time, beroperasi dengan risiko struktural. Tinjauan berkala masih dapat berperan, baik sebagai bentuk verifikasi dan konfirmasi atas kontrol berkelanjutan, sebagai mekanisme untuk penyempurnaan kebijakan, maupun sebagai hasil yang diwajibkan oleh regulasi. Namun, tinjauan tersebut tidak boleh menjadi kontrol utama. Risiko tidak menunggu siklus tinjauan.

Organisasi yang beralih ke ADG sedang membangun sesuatu yang melampaui sekadar program keamanan yang lebih efektif. Mereka sedang membangun kerangka tata kelola yang dapat dipertanggungjawabkan dalam situasi-situasi yang paling krusial: penyelidikan regulator, pembahasan di dewan direksi, penyelidikan pasca-pelanggaran, dan jika memang diperlukan, di ruang sidang.

Pertanyaannya bukanlah apakah organisasi Anda memiliki kebijakan tata kelola. Pertanyaannya adalah apakah Anda dapat membuktikan bahwa kebijakan tersebut berfungsi saat dibutuhkan dan bahwa kebijakan tersebut tetap berfungsi hingga saat ini.

Tentang Makalah Ini

Dokumen posisi ini disusun oleh para ahli Tata Kelola dan Administrasi Identitas di RSA. Dokumen ini bertujuan untuk memberikan kerangka kerja bagi para praktisi, pemimpin program, dan pemangku kepentingan eksekutif dalam mengevaluasi dan mengembangkan strategi tata kelola identitas mereka, melampaui kegiatan kepatuhan berkala menuju model Tata Kelola Pertahanan Aktif yang berkelanjutan dan dapat dipertanggungjawabkan.