IAM menjalankan beberapa tindakan keamanan utama berikut ini:

• Mengenali individu dalam sistem melalui manajemen identitas dan otentikasi.
• Mengidentifikasi peran dalam sistem dan bagaimana peran itu diberikan kepada individu.
• Menambah, menghapus, dan memperbarui pengguna serta peran mereka dalam sistem.
• Memberikan tingkat akses kepada individu atau grup.
• Melindungi data sensitif di dalam sistem dan mengamankan sistem itu sendiri.

Kemampuan perusahaan untuk mengetahui siapa yang mengakses data atau sistem tertentu dan dari mana mereka mengakses sangat penting untuk keamanan data. Karena karyawan bisa bekerja dari mana saja—entah dari kantor cabang atau dari rumah—pertahanan tradisional berbasis perimeter tidak lagi cukup. Inilah sebabnya mengapa sekarang banyak ahli keamanan menyebut identitas sebagai perimeter baru.

Panduan ini membahas berbagai aspek IAM, termasuk tantangan, teknologi, dan tren terbarunya. Tautan-tautan yang disediakan akan mengarahkan pembaca ke artikel terkait untuk memahami lebih dalam bagaimana cara menerapkan dan mengelola IAM dengan baik.

Kenapa IAM itu penting?

Pemimpin bisnis dan departemen TI dituntut untuk memberikan akses ke sumber daya perusahaan, tapi juga harus melindungi sumber daya itu dari ancaman. Ini bukan hal mudah. Tim keamanan harus memastikan pengguna mendapatkan akses ke data dan aplikasi yang mereka butuhkan untuk bekerja, tapi tetap menjaga agar sistem tidak rentan disusupi oleh pihak jahat.

Pertumbuhan layanan cloud dan meningkatnya tren kerja hybrid maupun remote bikin makin banyak pengguna yang mengakses aplikasi dari berbagai tempat. Maka dari itu, pengelolaan identitas jadi hal yang sangat penting.

Keamanan siber sangat bergantung pada IAM dan fitur-fitur canggih yang terus berkembang, termasuk biometrik, analitik perilaku, dan kecerdasan buatan (AI). Karena IAM mengontrol akses ke sumber daya secara ketat di lingkungan yang sangat dinamis, pendekatan ini cocok dengan pergeseran paradigma keamanan dari yang berbasis firewall dan kepercayaan bawaan ke arsitektur yang jauh lebih ketat.

Contoh paling terkenal dari kontrol ketat ini adalah zero-trust model. Dalam pendekatan ini, pengguna tidak hanya diverifikasi sekali di awal, tapi terus-menerus selama mereka berinteraksi dengan sistem. Jadi, tidak ada lagi asumsi bahwa pengguna yang sudah lolos verifikasi awal itu bisa dipercaya sepenuhnya. Ini mencegah pergerakan bebas antar aplikasi dan sistem, yang pada akhirnya membatasi potensi kerusakan dari penyusup.

Dengan IAM, organisasi bisa mengelola akses pengguna dengan lebih terstruktur. Fitur otomatisasi yang ada juga bisa mengurangi pekerjaan manual dan meminimalkan risiko kesalahan manusia.

Kalau perusahaan abai terhadap IAM, mereka bisa kena serangan, kehilangan data, bahkan terkena serangan ransomware. Penjahat siber sering kali memakai kredensial yang dicuri untuk menyamar sebagai pengguna sah. Karena terlihat seperti akses yang normal, mereka bisa bersembunyi di dalam jaringan cukup lama. Kalau kredensial yang dicuri bisa memberi akses level admin, kerugiannya bisa sangat besar. Teknik seperti phishing dan vishing sering digunakan buat mencuri kredensial ini.

Riset dari Verizon menunjukkan bahwa dalam satu dekade terakhir, kredensial yang dicuri terlibat dalam hampir sepertiga dari kasus pelanggaran data. Karena sangat efektif, pencurian kredensial jadi teknik favorit penjahat siber biasa maupun aktor negara.

Komponen dasar IAM

Produk IAM menyediakan kontrol akses yang memungkinkan admin sistem mengatur siapa yang bisa mengakses sistem atau jaringan, berdasarkan peran pengguna di perusahaan.

Dalam konteks ini, akses berarti kemampuan seorang pengguna untuk melakukan tugas tertentu, misalnya melihat, membuat, atau mengedit file. Peran ditentukan berdasarkan pekerjaan, otoritas, dan tanggung jawab. Jenis kontrol akses utama mencakup:

• Role-based access control.
• Discretionary access control.
• Attribute-based access control.
• Mandatory access control.

Untuk bisa mendapatkan akses ke sumber daya yang berwenang, pengguna harus membuktikan identitas mereka. Ini adalah bagian penting dari IAM dan biasanya melibatkan penggunaan password, challenge-response authentication, dan metode lain yang relevan.

Sistem IAM sebaiknya mencatat informasi login pengguna, mengelola basis data identitas pengguna di perusahaan, serta mengatur pemberian dan penghapusan hak akses. Alat IAM juga idealnya menyediakan layanan direktori terpusat yang memberi pengawasan dan visibilitas atas seluruh basis pengguna perusahaan.

Untuk memastikan upaya IAM mereka efektif, tim keamanan bisa merujuk pada berbagai standar dan protokol identitas. Standar ini terbukti membantu meningkatkan postur keamanan perusahaan, mendukung kepatuhan, dan bahkan memperbaiki pengalaman pengguna. Misalnya, kerangka kerja authentication, authorization and accounting bisa membantu tim keamanan mengorganisir pekerjaan mereka dalam IAM. Ini mencakup kontrol akses, penerapan kebijakan, dan pelacakan penggunaan.

Cara lain untuk mengelola IAM adalah dengan menggunakan identity governance and administration, yaitu serangkaian proses yang memastikan kebijakan IAM diterapkan, diawasi, ditegakkan, dan diaudit dengan baik.

Perlu diingat bahwa identitas digital bukan hanya milik manusia. IAM juga bisa dan seharusnya mengelola identitas digital dari perangkat dan aplikasi—hal yang dikenal sebagai machine identity management atau nonhuman identity management. Contohnya seperti API, server, dan perangkat lain yang mengakses informasi dan perlu dikelola. Para ahli keamanan mengatakan, organisasi sekarang mulai menyadari seberapa banyak identitas non-manusia ini ada di lingkungan mereka. Menjaga keamanannya menjadi salah satu tren baru dalam IAM.

Keuntungan dari IAM

Teknologi IAM bisa digunakan untuk memulai, menangkap, mencatat, dan mengelola identitas pengguna serta izin akses mereka secara otomatis. Di era di mana tenaga kerja tersebar secara geografis lebih luas dari sebelumnya, IAM yang dikelola dengan baik jadi makin penting.

Organisasi dengan program IAM yang efektif seharusnya bisa mendapatkan manfaat berikut ini (dan masih banyak lainnya):

• Hak akses diberikan sesuai kebijakan, di mana setiap individu dan layanan sudah diautentikasi, diotorisasi, dan diaudit dengan benar.
• Kontrol akses pengguna, yang membantu mengurangi risiko pelanggaran data dari dalam maupun luar.
• Penerapan kebijakan terkait autentikasi, validasi, dan pemberian hak istimewa kepada pengguna.
• Kepatuhan yang lebih baik terhadap regulasi pemerintah.

Implementasi IAM memang penting untuk operasi yang aman, tapi perusahaan juga bisa dapat keuntungan kompetitif. Contohnya, teknologi IAM memungkinkan bisnis memberikan akses ke aplikasi dan data kepada pengguna di luar organisasi—seperti pelanggan, mitra, kontraktor, dan pemasok—tanpa mengorbankan keamanan.

Teknologi dan alat IAM

Teknologi IAM dirancang untuk menyederhanakan proses pembuatan akun dan pemberian akses pengguna. Sistem ini seharusnya bisa mempercepat proses tersebut melalui alur kerja yang terkontrol, mengurangi kesalahan dan potensi penyalahgunaan, serta memungkinkan pemenuhan akun secara otomatis. Admin juga harus bisa dengan mudah melihat dan mengubah hak akses yang berkembang.

Sistem IAM harus menyeimbangkan antara kecepatan dan otomatisasi proses dengan kontrol yang dibutuhkan admin untuk memantau dan mengubah hak akses. Oleh karena itu, direktori pusat perlu memiliki sistem yang secara otomatis mencocokkan jabatan, unit bisnis, dan lokasi karyawan dengan tingkat hak akses yang sesuai.

Level tinjauan berlapis bisa dimasukkan ke dalam alur kerja agar setiap permintaan akses bisa dicek dengan tepat. Ini mempermudah pembuatan proses review untuk akses tingkat tinggi dan membantu meninjau hak akses yang ada guna mencegah privilege creep (akumulasi hak akses yang tidak perlu).

Alat IAM yang bagus akan mengotomatisasi pemberian akses minimum (least privilege), mendukung SSO lintas banyak aplikasi dan penyedia, memberikan visibilitas akses menyeluruh ke sistem organisasi, dan menawarkan pengalaman pengguna yang mulus.

Sistem IAM sebaiknya memungkinkan pembentukan grup dengan hak akses spesifik berdasarkan peran pekerjaan, agar hak akses bisa diberikan secara seragam. Harus ada juga proses permintaan dan persetujuan jika perlu modifikasi hak akses, karena karyawan dengan jabatan dan lokasi yang sama bisa saja butuh akses yang sedikit berbeda.

Dengan IAM, perusahaan bisa menerapkan berbagai metode autentikasi digital untuk membuktikan identitas pengguna dan memberikan izin akses ke sumber daya perusahaan.

Password unik.

Jenis autentikasi digital paling umum masih berupa password unik. Meski tidak terlalu aman atau praktis, password tetap jadi cara utama pengguna mengakses akun mereka—mulai dari belanja online, perbankan, hiburan, email, hingga pekerjaan.

Agar password lebih aman, beberapa organisasi mengharuskan pengguna membuat password yang lebih panjang atau kompleks—kombinasi huruf, angka, dan simbol. Tapi mengingat banyaknya akun, ini bikin repot. Untuk mengatasinya, SSO dan password manager bisa membantu.

Multifactor authentication (MFA).

MFA makin umum digunakan. Sistem IAM yang meminta pengguna memasukkan kode yang dikirim ke HP, misalnya, meningkatkan kemungkinan bahwa akses tersebut sah. Kalau peretas cuma punya password tapi gak punya HP pengguna, ya gagal deh.

Gerakan MFA makin populer. Sekarang, karyawan remote sering diminta menggunakan faktor kedua atau ketiga untuk verifikasi. Institusi keuangan dan organisasi yang sangat menjaga keamanan pun melakukannya. Bahkan, di tahun 2024, Google Cloud, AWS, dan Microsoft Azure sudah mewajibkan MFA untuk mengakses layanan cloud mereka.

Adaptive authentication.

Kalau menyangkut data dan sistem yang sangat sensitif, organisasi bisa menggunakan metode autentikasi perilaku atau adaptif. Misalnya, alat IAM kini bisa mendeteksi ketika seseorang yang biasanya login dari satu lokasi dan waktu tertentu tiba-tiba mencoba login dari tempat dan waktu yang tak biasa—ini bisa jadi tanda bahwa kredensial mereka sudah dicuri.

Dengan bantuan AI, perilaku mencurigakan bisa lebih mudah dikenali, dan sistem bisa langsung mengambil tindakan, misalnya memblokir akses otomatis.

Biometrik.

Beberapa sistem IAM menggunakan biometrik sebagai metode autentikasi. Karakteristik biometrik seperti sidik jari, iris mata, wajah, telapak tangan, cara berjalan, suara, dan bahkan DNA bisa digunakan untuk memastikan siapa yang sedang mengakses sistem.

Teknologi ini memang nyaman dan akurat, tapi juga punya risiko tersendiri. Misalnya, kalau data sidik jari bocor, kita gak bisa “ganti” sidik jari seperti ganti password. Makanya, perusahaan yang mengadopsi biometrik harus benar-benar paham risiko privasi dan hukum yang menyertainya.

Menerapkan IAM di perusahaan

Salah satu fokus penting dalam IAM adalah bagaimana akun dibuat (provisioning) dan dihapus (deprovisioning).

Tim TI kadang memberikan akses lebih dari yang dibutuhkan ke pengguna. Bagi peretas, akun yang punya banyak akses adalah target emas karena membuka jalan ke berbagai sistem. Risiko lain datang dari praktik deprovisioning yang buruk, misalnya lupa mencabut akses saat karyawan pindah jabatan atau keluar. Provisioning yang ketat bisa mengurangi ancaman dari dalam (insider threat).

Organisasi harus punya tim khusus untuk menegakkan kebijakan identitas dan akses. IAM menyentuh semua departemen dan semua jenis pengguna—karyawan, kontraktor, mitra, pemasok, pelanggan, dan lainnya. Jadi penting banget punya tim lintas fungsi yang kompak dan punya tujuan bersama demi suksesnya program keamanan identitas.

Apa saja yang perlu dievaluasi untuk membangun infrastruktur IAM yang efektif? Salah satunya adalah cara mengelola autentikasi dan federated identity management. Ini bisa melibatkan penggunaan protokol OpenID Connect atau standar SAML—keduanya mirip tapi tidak sama.

Penerapan IAM sebaiknya mengikuti praktik terbaik, antara lain:

• Adopsi arsitektur zero-trust.
• Penggunaan MFA.
• Kebijakan password yang kuat.
• Pelatihan kesadaran keamanan bagi pengguna.

Perusahaan juga sebaiknya memusatkan sistem keamanan dan sistem penting lainnya di sekitar identitas. Dan yang paling penting, mereka harus punya proses evaluasi untuk menilai seberapa efektif kontrol IAM yang sedang diterapkan.

Meski IAM sangat bergantung pada teknologi, bukan berarti cuma soal framework dan alat. Tim keamanan TI juga harus punya orang-orang yang paham dan punya keahlian di bidang IAM. Bagi yang ingin kerja di bidang ini, pastikan kamu bisa nunjukkin pengetahuanmu waktu wawancara kerja nanti.

Risiko IAM

Meski penting buat upaya keamanan, IAM juga nggak lepas dari risiko. Organisasi bisa — dan sering kali memang — bikin kesalahan saat mencoba mengelola identitas dan mengontrol akses.

Manajemen akses bisa jadi masalah kalau proses pemberian dan pencabutan akun pengguna nggak ditangani dengan benar. Tim keamanan harus waspada terhadap akun pengguna yang nggak aktif tapi masih bisa diakses. Kalau akun admin makin banyak tanpa kontrol, harus ada yang sadar dan mulai bertanya kenapa bisa begitu. Organisasi perlu memastikan kontrol sepanjang siklus hidup IAM buat mencegah aktor jahat dapetin identitas dan kata sandi pengguna.

Risiko IAM spesifik yang perlu diawasi antara lain:

• Review akses yang jarang atau nggak teratur.
• Kata sandi yang lemah dan nggak ada MFA.
• Akun yang punya hak akses berlebihan.
• IAM yang integrasinya buruk antar sistem dan cloud.

Kemampuan audit itu penting buat ngecek apakah hak akses pengguna berubah sesuai saat mereka pindah peran atau keluar dari organisasi.

Buat memperkirakan risiko keamanan secara lebih baik, para profesional IT bisa ngejar sertifikasi keamanan. Beberapa sertifikasi bahkan fokus khusus ke manajemen identitas.

Vendor dan produk IAM

Vendor IAM datang dari berbagai skala, mulai dari perusahaan besar seperti IBM, Microsoft, Oracle, dan RSA, sampai penyedia khusus seperti Okta, Ping Identity, SailPoint, dan OneLogin.

Pasar alat IAM yang dinamis bikin organisasi punya banyak pilihan. Tapi ini juga berarti tim keamanan harus kerja ekstra buat milih kombinasi produk yang pas, kayak manajemen terpusat, SSO, tata kelola, kepatuhan, dan alat analitik risiko.

Beberapa vendor mulai menggabungkan berbagai alat menjadi satu platform IAM. Dengan satu platform lengkap, masalah integrasi yang sering muncul karena banyaknya produk IAM yang terpisah bisa diminimalisir.

IAM dan kepatuhan

Hal yang jadi inti dari IAM adalah patuh pada prinsip hak istimewa minimum alias *principle of least privilege*, di mana pengguna hanya dikasih akses sesuai yang mereka butuhkan buat kerja. Kontrol akses yang sudah ditentukan dan berjalan real-time ini penting banget, baik buat keamanan maupun kepatuhan.

Dengan kontrol IAM yang tepat, bisnis bisa buktiin ke pihak luar kalau mereka serius soal keamanan dan data dilindungi. Organisasi yang punya IAM yang efektif bisa nunjukkin kepatuhan dan patuh sama regulasi seperti GDPR, HIPAA, dan Sarbanes-Oxley Act.

Roadmap IAM

Inovasi di bidang IAM makin banyak, dan perusahaan pun diuntungkan lewat strategi baru yang didukung fitur-fitur canggih. Tapi kayak biasanya, profesional keamanan harus tetap ngadepin ancaman yang udah dikenal — dan bertahan karena memang efektif — maupun yang baru muncul dan belum sepenuhnya dipahami.

Salah satu pendekatan baru dalam pertahanan IAM adalah identity threat detection and response (ITDR). Gabungan dari alat dan praktik terbaik ini ditujukan buat mencegah penjahat siber eksploitasi identitas rentan, misalnya dari aplikasi lama yang nggak kompatibel dengan alat manajemen akses modern. ITDR bisa mendeteksi titik lemah ini dan kasih sinyal ke tim IT buat langsung bertindak sebelum dieksploitasi.

Kemajuan AI juga bikin isu identitas makin krusial. Banyak ahli khawatir AI bisa bikin taktik phishing makin canggih dan meyakinkan. Biasanya phishing yang berhasil tuh butuh sedikit informasi yang bikin pesannya terasa nyata. Nah, AI bisa cepet banget kumpulin info-info kecil itu buat bikin jebakan yang lebih susah dibedain dari yang asli.

Kalau penjahat siber berhasil bikin korban klik link atau ngasih kata sandi, sistem pertahanan organisasi yang canggih sekalipun bisa jebol.

Tanpa bantuan AI pun, kata sandi itu memang udah lama jadi titik lemah. Teknik cracking bikin banyak sandi bisa ditebak. Dan nyusun serta nginget satu lagi sandi baru itu emang ngeselin. Bisa dibilang, kata sandi tuh sesayang-sayangnya hacker, setidakpopuler itu juga di mata pengguna.

Meski berisiko dan nggak disukai, kata sandi masih aja bertahan. Pergeseran ke otentikasi tanpa kata sandi alias passwordless masih jadi impian, tapi kenyataannya belum sepenuhnya terwujud.

Pada panggilan pendapatan bulan September 2024, chairman sekaligus co-founder Oracle, Larry Ellison, sempat mengeluh soal teknologi yang masih tergantung sama kata sandi. Katanya, “Liat aja wajah saya dan kenali saya. Jangan suruh saya ngetik sandi konyol 17 huruf.” 🤷‍♂️

Komentarnya itu muncul di saat yang sama ketika NIST — lembaga yang nyusun standar keamanan siber yang paling banyak diikuti — ngusulin revisi besar terhadap panduan kata sandi. Karena kenyataannya kata sandi masih dipakai di mana-mana dan mungkin bakal tetap begitu, NIST mendorong penggunaan sandi yang lebih baik. Draf panduan 2024 itu nyaranin supaya organisasi nggak lagi mewajibkan ganti sandi tiap 90 hari. Ganti sandi cukup dilakukan kalau ada bukti atau kekhawatiran sandi pengguna udah bocor. NIST juga ngusulin panjang sandi ditingkatkan jadi antara 15 sampai 64 karakter.

Sandi yang lebih panjang dan kuat mungkin bisa bantu perbaiki manajemen identitas, tapi tetap nggak bakal bikin puas mereka yang pengin sandi ditinggalin selamanya. Para pendukung *passkey*, misalnya, percaya kalau pengguna seharusnya bisa akses aplikasi dan situs web pakai cara yang aman dan simpel — sama kayak mereka buka perangkat pribadi.

Begitu passkey dibuat, teknologi pengelola sandi akan mencocokkan kunci publik hanya diketahui oleh layanan yang diakses dengan kunci private. Pasangan kunci kriptografi ini memungkinkan pengguna otentikasi tanpa perlu mengingat kata sandi — asal mereka berhasil membuka perangkat dengan PIN atau metode biometrik.

FIDO Alliance, organisasi nonprofit yang didukung Google dan lainnya, mendorong standar supaya passkey bisa dipakai lebih luas. Tujuannya? menggantikan kata sandi sepenuhnya. Tapi apakah dunia bisnis dan para pengguna siap dan mau pindah ke passkey dan password manager, itu masih jadi tanda tanya. Dan ingat aja: kata sandi udah lama diprediksi bakal punah… tapi tetap aja belum mati. Jadi, mikir dua kali deh pas kamu lupa gimana cara masuk ke akunmu.