Banyak perusahaan merasa aman hanya karena telah memasang firewall tercanggih dan rutin memperbarui antivirus. Namun di ruang rapat tim IT, sebuah pertanyaan membingungkan terus berulang: mengapa kebocoran data tetap saja terjadi ketika semua sistem monitoring tampak normal? Jawabannya bukan karena teknologinya yang kurang canggih, melainkan karena strategi “membangun benteng” tradisional sudah tidak relevan lagi di era kerja hybrid dan cloud saat ini.
Ironisnya, penyerang modern tidak lagi sibuk mendobrak pintu depan. Mereka kini masuk secara “legal” menggunakan identitas sah yang dicuri lewat phishing atau dibeli di dark web. Ketika batas jaringan perusahaan sudah melebur ke berbagai perangkat pribadi dan platform pihak ketiga, mempertahankan pola pikir keamanan lama justru akan menjadi bom waktu bagi data sensitif Anda.
Lalu, di mana letak celah yang kerap luput dari radar tim IT Anda, dan bagaimana strategi baru untuk mengatasinya? Simak ulasan lengkapnya di bawah ini.
Firewall Sebenarnya Masih Perlu, Tapi Sudah Tidak Cukup
Perlu digarisbawahi dari awal, artikel ini bukan bermaksud bilang firewall sudah usang atau tidak diperlukan lagi. Justru sebaliknya. Firewall tetap jadi salah satu lapisan penting dalam strategi keamanan siber mana pun.
Masalahnya bukan pada keberadaan firewall itu sendiri, tapi pada anggapan bahwa firewall saja sudah cukup untuk melindungi seluruh aset digital perusahaan. Cara berpikir seperti ini dikenal dengan istilah perimeter-based security, asumsinya, kalau seseorang berhasil melewati gerbang utama, maka dia otomatis bisa dipercaya berada di dalam jaringan.
Sayangnya, asumsi semacam itu makin sulit dipertahankan. Ancaman hari ini tidak selalu datang dari luar. Justru sering kali berasal dari hal-hal yang jauh lebih “domestik”: akun pengguna yang dicuri, perangkat yang sudah terinfeksi, aplikasi pihak ketiga yang tidak dipantau, vendor yang punya akses lebih dari yang seharusnya, kredensial yang bocor, sampai kesalahan pengguna sendiri yang sebetulnya sepele.
Dalam banyak kasus, penyerang bahkan tidak perlu “mendobrak tembok” sama sekali. Mereka cukup masuk pakai identitas pengguna yang sah, entah dicuri, dibeli di forum gelap, atau didapat lewat phishing yang meyakinkan. Inilah kenapa banyak organisasi dengan firewall paling canggih sekalipun tetap bisa jadi korban serangan siber.
Baca juga : Sinyal Bahaya Five Eyes: Ketika Perusahaan Kalah Cepat dari AI
Dunia Kerja Sudah Berubah, Strategi Keamanannya Belum
Coba bayangkan sebuah perusahaan dengan 2.000 karyawan. Lima tahun lalu, hampir seluruh aktivitas kerja dilakukan dari kantor pusat. Sekarang situasinya jauh berbeda, sebagian bekerja hybrid, sebagian pakai perangkat pribadi, tim marketing mengakses aplikasi cloud, tim keuangan pakai sistem SaaS, developer mengelola infrastruktur lewat platform cloud, dan vendor eksternal punya akses ke beberapa sistem perusahaan.
Nah, dari situ muncul pertanyaan yang sebenarnya cukup mendasar: di mana sebenarnya batas jaringan perusahaan ini? Jawabannya sudah tidak sesederhana “di balik firewall” lagi. Infrastruktur digital modern memang tidak lagi punya satu perimeter yang jelas. Setiap identitas, perangkat, aplikasi, dan koneksi berpotensi jadi titik masuk baru bagi penyerang.
Karena itulah strategi keamanan yang cuma fokus melindungi jaringan jadi makin kewalahan mengikuti kompleksitas lingkungan digital sekarang ini.
Ketika Kepercayaan Jadi Celah
Salah satu kelemahan pendekatan keamanan tradisional adalah adanya konsep implicit trust. Maksudnya, begitu seseorang berhasil masuk ke jaringan internal, sistem cenderung memberi tingkat kepercayaan yang lebih besar ke orang itu, tanpa banyak tanya lagi.
Padahal, identitas pengguna itu bisa saja sudah dicuri. Perangkatnya mungkin sudah terinfeksi malware tanpa disadari pemiliknya. Atau bisa jadi akun tersebut sebenarnya sedang dikendalikan pihak lain yang sama sekali bukan pemilik aslinya.
Di titik inilah banyak serangan modern berhasil berkembang, bukan karena firewallnya gagal bekerja, melainkan karena organisasi terlalu cepat memberi kepercayaan setelah proses autentikasi awal berhasil. Padahal proses login yang berhasil bukan jaminan bahwa orang di baliknya benar-benar pemilik sah akun tersebut.
Dari “Trust but Verify” ke “Never Trust, Always Verify”
Beberapa tahun terakhir, dunia keamanan siber mulai bergerak ke arah pendekatan yang cukup berbeda dari sebelumnya. Namanya Zero Trust. Prinsip dasarnya kelihatan sederhana, tapi dampaknya cukup revolusioner: jangan pernah kasih kepercayaan otomatis ke siapa pun, entah dari dalam atau luar jaringan, selalu lakukan verifikasi dulu sebelum akses diberikan.
Konsep ini mengubah cara organisasi memandang keamanan secara keseluruhan. Kalau dulu fokus utamanya melindungi perimeter jaringan, sekarang perhatiannya bergeser ke identitas pengguna, kondisi perangkat, konteks akses, sensitivitas data, sampai perilaku pengguna yang dipantau terus-menerus.
Dengan kata lain, orang yang berhasil login bukan berarti otomatis boleh mengakses seluruh sistem begitu saja. Setiap permintaan akses harus terus dievaluasi berdasarkan tingkat risikonya masing-masing, bukan sekali dicek lalu dianggap aman selamanya.
Kenapa Zero Trust Jadi Standar Baru?
Kalau diperhatikan pola dari berbagai laporan keamanan siber belakangan ini, ada kesamaan yang cukup mencolok. Serangan sekarang tidak lagi selalu dimulai dari eksploitasi firewall atau celah jaringan. Penyerang justru lebih sering memanfaatkan sesuatu yang jauh lebih sederhana: identitas yang sah.
Mereka mencuri kredensial, memanfaatkan sesi login yang masih aktif, mengeksploitasi konfigurasi cloud yang keliru, atau masuk lewat akses vendor pihak ketiga yang tidak terlalu diawasi. Penyerang tidak selalu “membobol pintu depan”, mereka masuk pakai kunci yang memang sudah diberikan organisasi sendiri, tanpa disadari.
Inilah kenapa pendekatan keamanan tradisional mulai kewalahan. Firewall memang masih bisa memblokir lalu lintas mencurigakan dari luar. Tapi firewall tidak selalu bisa membedakan apakah pengguna yang berhasil login itu benar pemilik akun, atau seseorang yang sudah mencuri identitasnya.
Perubahan pola serangan seperti ini yang mendorong makin banyak organisasi beralih ke Zero Trust. Ketimbang berasumsi bahwa setiap pengguna yang berhasil masuk bisa dipercaya begitu saja, Zero Trust menganggap setiap permintaan akses harus diverifikasi, tidak peduli di mana lokasi penggunanya, perangkat apa yang dipakai, atau jaringan mana yang digunakan.
Pendekatan ini juga jadi salah satu alasan kenapa banyak organisasi global meninjau ulang strategi keamanan mereka belakangan ini. Berbagai panduan keamanan modern menekankan bahwa keamanan tidak cukup lagi hanya mengandalkan perlindungan perimeter, fokusnya harus bergeser ke identitas, perangkat, dan validasi akses yang dilakukan secara berkelanjutan.
Baca juga : Apa Itu Zero Trust? Paradigma Baru Keamanan Siber untuk Sektor Finansial
Lima Kesalahan Strategi Keamanan Sering Terjadi
Banyak organisasi sebetulnya sudah berinvestasi besar dalam teknologi keamanan. Tapi begitu insiden terjadi, akar masalahnya sering kali bukan soal kurangnya teknologi, melainkan strategi yang dipakai belum menyesuaikan diri dengan cara kerja modern.
| Kesalahan | Penjelasan |
| Menganggap firewall sebagai garis pertahanan utama | Firewall dirancang untuk mengendalikan lalu lintas jaringan, bukan memahami konteks bisnis atau perilaku pengguna. Begitu autentikasi berhasil, firewall biasanya tidak punya cukup informasi untuk menilai apakah aktivitas tersebut benar-benar aman |
| Memberikan hak akses terlalu luas | Pengguna sering mendapat akses jauh lebih besar dari yang dibutuhkan, semakin luas akses, semakin besar dampaknya kalau akun tersebut disusupi |
| Menganggap semua perangkat punya risiko yang sama | Laptop kantor yang terenkripsi dan terpantau jelas beda risikonya dibanding komputer pribadi yang belum diperbarui berbulan-bulan, tapi keduanya sering diperlakukan sama |
| Tidak memantau aktivitas setelah login | Banyak serangan justru terjadi setelah pengguna berhasil masuk, unduhan data besar-besaran, akses ke aplikasi yang tidak biasa, aktivitas di jam yang aneh |
| Mengabaikan risiko dari vendor dan pihak ketiga | Setiap koneksi ke layanan cloud, SaaS, konsultan eksternal, atau managed service memperluas permukaan serangan, meski sistem internal sudah dilindungi dengan baik |
Kalau dilihat lebih dekat, kelima kesalahan ini punya benang merah yang sama: organisasi masih berpikir keamanan itu soal menjaga gerbang, padahal ancamannya sudah bergeser ke dalam.
Menariknya, kelima kesalahan ini jarang berdiri sendiri. Biasanya saling terkait satu sama lain. Organisasi yang masih menganggap firewall sebagai garis pertahanan utama, misalnya, cenderung juga tidak terlalu ketat soal hak akses, karena mereka merasa “toh sudah ada firewall yang menjaga”. Begitu juga dengan pemantauan aktivitas pasca-login; kalau dari awal saja hak aksesnya sudah kelewat luas, memantau seluruh aktivitas jadi jauh lebih rumit dan memakan sumber daya yang tidak sedikit.
Ini yang membuat penyelesaiannya juga tidak bisa parsial. Memperbaiki satu titik saja, misalnya cuma menambah MFA tanpa membenahi hak akses, biasanya tidak memberikan dampak yang signifikan terhadap postur keamanan secara keseluruhan.
Zero Trust Itu Strategi, Bukan Produk yang Bisa Dibeli
Ada kesalahpahaman yang cukup umum bahwa Zero Trust itu semacam produk tertentu yang tinggal dibeli lalu langsung diterapkan. Kenyataannya jauh dari itu.
Zero Trust adalah strategi keamanan yang menggabungkan berbagai teknologi, proses, dan kebijakan sekaligus. Implementasinya bisa melibatkan berbagai solusi, mulai dari Multi-Factor Authentication (MFA), Identity and Access Management (IAM), Privileged Access Management (PAM), Endpoint Detection and Response (EDR), Network Access Control (NAC), sampai Security Information and Event Management (SIEM).
Tapi semua teknologi ini cuma akan efektif kalau diterapkan dalam kerangka strategi yang konsisten. Membeli teknologi Zero Trust tanpa mengubah cara organisasi mengelola akses itu ibarat memasang pintu yang lebih kuat, tapi kuncinya masih beredar bebas tanpa kendali sama sekali.

Dari Keamanan Jaringan ke Keamanan Identitas
Kalau diperhatikan baik-baik, perubahan terbesar dalam dunia keamanan siber sekarang bukan soal munculnya teknologi baru. Perubahan yang lebih fundamental justru ada pada objek yang dilindungi.
Dulu fokus utamanya jaringan. Sekarang bergeser ke identitas. Ini masuk akal, karena hampir seluruh aktivitas digital, baik di cloud, aplikasi SaaS, perangkat mobile, maupun sistem internal, pada akhirnya bergantung pada identitas pengguna.
Kalau identitas berhasil diamankan dengan baik, organisasi punya peluang jauh lebih besar mencegah penyalahgunaan akses. Sebaliknya, kalau identitas berhasil dikompromikan, firewall paling canggih sekalipun belum tentu mampu menghentikan serangannya.
Catatan dari sudut pandang praktisi: banyak perusahaan gagal bukan karena firewall mereka buruk. Mereka gagal karena masih pakai cara berpikir lama untuk menghadapi ancaman yang sudah berubah bentuk. Selama organisasi masih memandang keamanan sebagai upaya menjaga “tembok luar”, sementara data, pengguna, aplikasi, dan perangkat sudah tersebar ke mana-mana, akan selalu ada celah yang bisa dimanfaatkan penyerang.
Pertanyaan yang seharusnya diajukan hari ini bukan lagi “apakah firewall kita sudah cukup kuat?”, tapi “bagaimana organisasi memastikan setiap akses benar-benar bisa dipercaya sebelum izin diberikan?” Perubahan cara berpikir semacam inilah yang jadi inti dari strategi Zero Trust.
Baca juga : Teknologi Lebih Cepat dari Regulasi, Pastikan Perusahaan Anda Punya Ini
Roadmap Membangun Strategi Zero Trust
Mengadopsi Zero Trust bukan berarti organisasi harus mengganti seluruh infrastruktur keamanan yang sudah ada. Ini salah satu kesalahpahaman yang paling sering bikin perusahaan menunda implementasinya, mereka pikir Zero Trust identik dengan proyek transformasi besar yang butuh investasi miliaran rupiah.
Padahal dalam praktiknya, sebagian besar organisasi justru menerapkannya secara bertahap. Zero Trust bukan proyek sekali jadi. Ia lebih tepat disebut cara berpikir baru dalam membangun keamanan digital, dan bisa dimulai dari area yang paling kritis dulu, baru diperluas sesuai tingkat kematangan organisasi.
| Tahap | Fokus |
| 1. Ketahui apa yang sedang dilindungi | Sebelum beli solusi baru, pahami dulu aset digital yang dimiliki, data apa yang paling kritis, sistem mana yang paling penting, siapa yang punya akses, dan di mana data itu berada |
| 2. Jadikan identitas sebagai garis pertahanan utama | Perkuat pengelolaan identitas lewat MFA, IAM, Single Sign-On, dan PAM, semakin kuat kontrol identitas, semakin kecil peluang akun yang dicuri disalahgunakan |
| 3. Terapkan prinsip least privilege | Berikan akses hanya sesuai kebutuhan pekerjaan aktual, bukan berdasarkan jabatan atau divisi |
| 4. Pantau aktivitas secara berkelanjutan | Amati apakah ada akses ke sistem yang tidak biasa, perpindahan lokasi mendadak, unduhan data besar, atau perangkat yang tidak lagi memenuhi standar keamanan |
| 5. Evaluasi dan tingkatkan secara berkala | Tinjau ulang kebijakan akses, identitas, perangkat, aplikasi, vendor, dan efektivitas kontrol yang sudah diterapkan secara rutin |
Tanpa pemetaan aset di langkah pertama, organisasi biasanya kesulitan menentukan prioritas perlindungan mana yang perlu didahulukan. Dan tanpa evaluasi berkala di langkah terakhir, kebijakan yang tadinya relevan bisa cepat basi begitu ancaman dan cara kerja organisasi ikut berubah.
Yang sering luput dari perhatian, kelima tahap ini sebetulnya tidak harus dijalankan berurutan secara kaku. Ada organisasi yang memilih mulai dari penguatan identitas lebih dulu karena itu yang paling mendesak, baru kemudian melakukan pemetaan aset secara lebih menyeluruh sambil berjalan. Yang penting bukan urutannya persis seperti apa, melainkan konsistensi untuk terus bergerak maju, bukan berhenti di satu tahap saja lalu menganggap pekerjaan sudah selesai.
Ada juga kekhawatiran yang cukup umum di kalangan IT Manager: kalau setiap akses harus diverifikasi terus-menerus, apakah ini akan memperlambat pekerjaan karyawan?
Pertanyaan ini wajar, tapi implementasi Zero Trust yang matang justru dirancang supaya proses verifikasi berjalan di latar belakang, tidak selalu terlihat oleh pengguna akhir.
Risiko yang rendah bisa diverifikasi secara otomatis dan cepat, sementara aktivitas dengan risiko lebih tinggi baru memerlukan langkah verifikasi tambahan. Dengan kata lain, pengalaman pengguna dan keamanan sebenarnya bisa berjalan beriringan, asal desainnya dipikirkan dengan matang sejak awal.
Baca juga : Cyber Security Awareness untuk Karyawan: Strategi Mengurangi Human Error
Tantangan Implementasi di Indonesia
Meski konsep Zero Trust makin sering dibahas, penerapannya di Indonesia masih menemui beberapa hambatan. Salah satu yang paling umum adalah persepsi bahwa keamanan siber itu tanggung jawab penuh divisi TI saja.
Padahal keberhasilan Zero Trust sangat bergantung pada kolaborasi lintas fungsi, mulai dari Direksi, CIO, CISO, tim infrastruktur, tim keamanan siber, Legal, Compliance, Internal Audit, HR, sampai seluruh pengguna di organisasi. Tanpa perubahan budaya kerja semacam ini, investasi teknologi sebesar apa pun cenderung tidak memberi hasil yang optimal.
Tantangan lain yang tidak kalah nyata adalah soal kesenjangan kompetensi. Tidak sedikit organisasi yang sebenarnya punya anggaran untuk membeli teknologi keamanan terbaru, tapi kesulitan mencari SDM yang benar-benar memahami cara merancang arsitektur Zero Trust secara menyeluruh, bukan sekadar mengoperasikan tool-nya saja.
Akibatnya, banyak implementasi berhenti di tahap “membeli lisensi”, tanpa pernah benar-benar mengubah cara kerja atau kebijakan akses di lapangan.
Faktor lain yang sering diremehkan adalah soal legacy system. Sebagian perusahaan di Indonesia masih mengandalkan sistem lama yang dibangun bertahun-tahun sebelum konsep Zero Trust dikenal luas. Mengintegrasikan sistem semacam ini ke dalam kerangka Zero Trust memang tidak selalu mulus, dan butuh pendekatan bertahap yang realistis, bukan pendekatan yang memaksakan semuanya berubah sekaligus dalam waktu singkat.
Zero Trust Bukan Soal Tidak Percaya pada Karyawan
Istilah “Zero Trust” ini sebenarnya cukup sering disalahpahami. Sebagian orang mengira konsepnya berarti perusahaan tidak percaya pada karyawannya sendiri. Padahal maknanya berbeda jauh.
Zero Trust dibangun bukan atas dasar ketidakpercayaan kepada manusia, melainkan atas kenyataan bahwa identitas digital bisa disalahgunakan siapa saja, termasuk oleh pihak yang tidak berhak. Dengan melakukan verifikasi secara berkelanjutan, organisasi justru melindungi pengguna yang sah dari penyalahgunaan akun atau akses yang tidak semestinya terjadi.
Penutup
Selama bertahun-tahun, organisasi membangun strategi keamanan dengan asumsi bahwa ancaman datang dari luar jaringan. Tapi transformasi digital sudah mengubah cara perusahaan bekerja secara menyeluruh. Aplikasi pindah ke cloud. Karyawan bekerja dari berbagai lokasi. Vendor mendapat akses ke sistem internal. Data tersebar di banyak platform sekaligus.
Dalam lingkungan seperti ini, batas jaringan bukan lagi garis pertahanan utama. Yang jadi pusat perlindungan sekarang adalah identitas, akses, dan kemampuan organisasi memverifikasi setiap aktivitas secara terus-menerus.
Karena itu, pertanyaan yang perlu diajukan para pemimpin organisasi bukan lagi “apakah firewall kita sudah cukup canggih?”, tapi “apakah strategi keamanan kita masih sesuai dengan cara bisnis beroperasi saat ini?” Kedua pertanyaan ini kelihatannya mirip, tapi bedanya cukup jauh, dan justru di situlah letak perubahan terbesar dalam dunia keamanan siber modern.
Teknologi akan terus berkembang. Metode serangan juga akan terus berubah bentuk. Tapi organisasi yang mampu membangun tata kelola keamanan yang adaptif akan selalu punya peluang lebih besar menghadapi perubahan itu dengan lebih percaya diri.
Yang perlu diingat: banyak perusahaan gagal bukan karena tidak punya firewall. Mereka gagal karena masih mengandalkan strategi keamanan yang dirancang untuk dunia kerja sepuluh tahun lalu, sementara bisnis mereka sendiri sudah berubah jadi cloud-first, mobile-first, dan AI-enabled. Firewall tetap penting, antivirus tetap dibutuhkan, endpoint protection tetap relevan, tapi semuanya harus jadi bagian dari strategi yang lebih menyeluruh.
Zero Trust bukan berarti menambah lapisan keamanan baru semata. Zero Trust berarti mengubah cara organisasi membangun kepercayaan di dunia digital.
Perubahan ancaman siber menuntut organisasi untuk tidak cuma berinvestasi di teknologi, tapi juga membangun tata kelola dan kompetensi yang tepat. Memahami prinsip Zero Trust, IT Governance, Cyber Security, hingga IT Risk Management akan membantu perusahaan merancang strategi keamanan yang lebih adaptif terhadap perubahan lanskap digital yang terus bergerak.
Melalui berbagai program pelatihan di ITGID, para profesional TI, auditor, risk manager, dan pemimpin organisasi bisa mempelajari bagaimana praktik terbaik keamanan siber diterapkan dalam konteks bisnis modern, mulai dari penguatan tata kelola, pengelolaan risiko, sampai implementasi strategi keamanan yang selaras dengan kebutuhan organisasi masing-masing.
Karena pada akhirnya, keamanan siber bukan cuma soal menghentikan serangan. Ini soal memastikan bisnis tetap bisa berjalan dengan aman, tepercaya, dan berkelanjutan.

Pertanyaan Sering Diajukan
Apakah firewall masih diperlukan kalau perusahaan sudah menerapkan Zero Trust?
Ya, tetap diperlukan. Firewall masih jadi salah satu komponen penting dalam strategi keamanan siber. Hanya saja, sebaiknya firewall dipandang sebagai satu lapisan perlindungan di antara banyak lapisan lain, bukan satu-satunya mekanisme keamanan yang diandalkan.
Apakah Zero Trust cuma cocok untuk perusahaan besar?
Tidak. Prinsip Zero Trust bisa diterapkan oleh organisasi dari berbagai skala. Yang membedakan hanya ruang lingkup implementasinya saja, bukan apakah pendekatan ini bisa dipakai atau tidak.
Apakah Zero Trust berarti harus mengganti seluruh infrastruktur yang sudah ada?
Tidak juga. Sebagian besar organisasi menerapkan Zero Trust secara bertahap dengan tetap memanfaatkan infrastruktur yang sudah mereka miliki sebelumnya.
Apa hubungan Zero Trust dengan keamanan cloud?
Karena aplikasi dan data makin banyak berpindah ke cloud, pendekatan Zero Trust membantu memastikan setiap akses tetap diverifikasi, tidak peduli dari lokasi jaringan mana permintaan itu datang.
Bagaimana cara organisasi memulai implementasi Zero Trust?
Langkah paling realistis biasanya dimulai dari memetakan aset digital, memperkuat identitas pengguna, menerapkan Multi-Factor Authentication, membatasi hak akses sesuai kebutuhan, dan melakukan pemantauan aktivitas secara berkelanjutan setelahnya.