• (021) 53660861
  • cyberark@ilogoindonesia.id
  • AKR Tower – 9th Floor Jl. Panjang no. 5
  • April 10, 2025

Bagaimana CISO Dapat Memanfaatkan Identitas untuk Mendorong Zero Trust

AI adalah hal terbaik yang pernah terjadi bagi para penjahat siber.

Teknologi ini memungkinkan mereka memanfaatkan kepercayaan sebagai senjata dan meluncurkan serangan berbasis identitas dengan skala dan kecanggihan yang mencengangkan. Yang dimaksud di sini adalah malware polimorfik yang terus bermutasi, serangan ransomware terselubung yang berlangsung lama hingga berujung pada pemerasan ganda, serta deepfake yang menipu korban setiap beberapa menit.

CISO (Chief Information Security Officer) harus beradaptasi dengan kenyataan ini dengan menerapkan strategi Zero Trust yang sangat berfokus pada identitas. Transisi ini tidak selalu mudah karena secara historis, para CISO sering mendelegasikan urusan identitas kepada tim Identity and Access Management (IAM), dengan menganggapnya sekadar sebagai kewajiban kepatuhan (compliance) semata. Namun kini, keamanan identitas telah menjadi sangat penting bagi keberhasilan — atau kegagalan — strategi keamanan siber sebuah organisasi secara keseluruhan. Oleh karena itu, para CISO harus memiliki pemahaman yang kuat di tingkat eksekutif tentang peran identitas dalam melindungi perusahaan.

Tulisan ini bertujuan untuk memberikan wawasan penting kepada para pemimpin keamanan agar mereka dapat terlibat secara aktif dalam pengambilan keputusan terkait arsitektur dan strategi identitas.

Identitas: Titik Keputusan

Model keamanan berbasis perimeter yang dirancang untuk mencegah penyerang dari luar tidak lagi efektif ketika 60% pelanggaran kini melibatkan kredensial yang sah. Seperti yang dikatakan oleh rekan saya Andy Thompson, “Jauh lebih mudah untuk login daripada meretas masuk.”

Setiap entitas (manusia atau non-manusia) yang mengakses sumber daya (aplikasi, data, atau entitas lainnya) memerlukan sebuah identitas. Itulah sebabnya identitas sangat berharga. Penyerang lebih memilih menargetkan identitas daripada mencari celah keamanan atau menyebarkan malware untuk mencuri data sensitif—yang jelas membutuhkan waktu dan usaha. Dengan kredensial sah yang terkait dengan identitas manusia atau mesin, penyerang dapat masuk secara diam-diam, melewati kontrol keamanan, dan beroperasi tanpa terdeteksi—bahkan untuk waktu yang lama—tanpa ada yang menyadari.

Lebih buruknya lagi, identitas kini ada di mana-mana. Rata-rata karyawan memiliki lebih dari 30 identitas digital, dan total identitas non-manusia (mesin) bahkan mencapai 45 kali lipat lebih banyak dibanding identitas manusia. Jumlah ini terus meningkat: organisasi rata-rata memperkirakan identitas akan meningkat hingga tiga kali lipat dalam 12 bulan ke depan. Tak heran bila 93% organisasi telah mengalami setidaknya dua pelanggaran yang terkait dengan identitas.

Data ini menjelaskan mengapa identitas kini menggantikan perimeter sebagai titik keputusan utama dalam mengevaluasi risiko dan menerapkan kontrol keamanan dinamis. Dan inilah alasan mengapa melindungi identitas kini menjadi prioritas utama dalam keamanan siber.

Keamanan Identitas: Pendukung Bisnis

Organisasi yang matang memahami bahwa proses yang terstruktur memungkinkan otomatisasi, yang menjadi kunci dalam mengamankan identitas. Sebagai contoh, departemen HR bisa secara otomatis membuat identitas digital untuk karyawan baru, memastikan mereka hanya mendapatkan izin minimum yang diperlukan untuk peran mereka melalui pengelolaan siklus hidup identitas dalam tata kelola identitas.

Siklus hidup identitas otomatis ini diatur oleh kendali keamanan identitas, yang memastikan bahwa permintaan akses, peningkatan hak istimewa, dan tata kelola dijalankan dengan aman.

Berbeda dengan sistem IAM lama yang penuh proses rumit, keamanan identitas kini menjadi pendukung bisnis dengan mengoptimalkan alur kerja, mengurangi hambatan, dan meminimalisir gangguan. CISO dapat mengkomunikasikan nilai keamanan identitas ini kepada para pemangku kepentingan dan menyelaraskan upaya keamanan dengan tujuan bisnis melalui pemahaman atas tiga pilar utama berikut.

Tiga Pilar Utama Keamanan Identitas

  1. Kontrol Privilege (Hak Istimewa)

Hak akses berlebihan menjadi target utama serangan siber dan penyebab utama pelanggaran keamanan. Pendekatan Zero Trust yang efektif mencakup empat kontrol utama terhadap hak istimewa untuk mengurangi risiko:

  • Least privilege access – akun hanya memiliki izin yang benar-benar diperlukan.
  • Secrets management – mengamankan kredensial dan API key.
  • Just-in-time (JIT) access – memberikan akses tinggi hanya saat dibutuhkan.
  • Zero standing privileges (ZSP) – menghapus hak admin permanen.
  1. Manajemen Akses

Mengelola akses dalam lingkungan TI yang terdesentralisasi memerlukan kontrol pelengkap, termasuk:

  • Adaptive authentication – menyesuaikan kontrol akses secara dinamis berdasarkan risiko.
  • Single sign-on (SSO) – meningkatkan pengalaman pengguna dan mengurangi permukaan serangan.
  • Multi-factor authentication (MFA) – menambahkan lapisan keamanan tambahan selain kata sandi.
  1. Tata Kelola Identitas

Tata kelola identitas memastikan visibilitas, kepatuhan, dan pengurangan risiko dengan cara:

  • Menentukan siapa yang memiliki akses ke apa, kapan, dan mengapa.
  • Mengotomatisasi proses tinjauan dan sertifikasi akses.
  • Menerapkan kontrol berbasis peran dan atribut (RBAC dan ABAC).

Ketiga pilar ini membentuk arsitektur keamanan identitas yang menyeluruh. Pendekatan ini menggeser fokus dari kontrol perimeter yang usang ke kontrol akses yang dinamis, skalabel, dan adaptif terhadap risiko. Dengan fondasi ini, organisasi dapat:

  • Konsisten dalam menerapkan keamanan untuk semua entitas (pengguna, perangkat, aplikasi, layanan).
  • Melakukan penilaian risiko secara real-time.
  • Mendeteksi dan merespons ancaman dengan cepat.
  • Memverifikasi identitas dan hak akses secara berkelanjutan demi menegakkan Zero Trust.

Memprioritaskan Keamanan Identitas: Roadmap untuk CISO

Tentu saja, penerapan semua kontrol identitas ini tidak bisa dilakukan dalam semalam. Ini adalah sebuah perjalanan. Cara terbaik untuk memaksimalkan ketahanan bisnis adalah dengan membuat dan mengikuti roadmap tingkat tinggi untuk mengatur kendali keamanan identitas.

Roadmap ini penting bukan hanya untuk penetapan tujuan dan pembenaran bisnis, tapi juga untuk mengidentifikasi ketergantungan agar semua kontrol bisa berjalan selaras. Strategi identitas yang terstruktur menjaga fokus pada gambaran besar. Alih-alih terus-menerus “memadamkan api” dan melakukan perbaikan taktis, tim bisa fokus membangun program keamanan yang berkelanjutan dan berbasis hasil.

Ancaman berbasis AI berkembang lebih cepat dari sebelumnya. Mayoritas besar CISO telah mengadopsi Zero Trust sebagai filosofi, dan sebagai bagian dari itu, mereka memperlakukan keamanan seolah-olah organisasi mereka sudah disusupi. Dengan keamanan identitas yang adaptif dan berkelanjutan, tidak masalah apakah penyerang berasal dari dalam atau luar. Yang penting adalah penyerang akan dihentikan tepat waktu sebelum semuanya terlambat.

Ini adalah keuntungan yang layak mendapat perhatian penuh dari setiap CISO.

Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. CyberArk menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.

Pelajari lebih lanjut di cyberark.ilogoindonesia.com dan konsultasikan kebutuhan IT Anda dengan kami!

Cyberark Indonesia adalah bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Cyberark. Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.

PT iLogo Indonesia

  • (021) 53660861
  • AKR Tower – 9th Floor Jl. Panjang no. 5, Kebon Jeruk
  • cyberark@ilogoindonesia.id