Gabung dengan sesi panel eksekutif RSAC pada 24 Maret “Agen AI telah hadir! Apakah Anda sudah siap?”.

Panduan Microsoft untuk Mengamankan Perusahaan yang Didukung AI: Keamanan dan Tata Kelola Data

Seorang laki-laki berjas berdiri di depan latar belakang biru.

Gambaran umum

Seiring organisasi berlomba-lomba mengadopsi AI dalam skala besar, tata kelola data dan keamanan data menjadi makin saling bergantung sebagai pilar ketahanan perusahaan. Bagi Perusahaan Frontier, yaitu perusahaan yang mendorong transformasi berbasis AI, kemampuan untuk memberdayakan sistem AI agar dapat menalarkan data dalam jumlah besar membutuhkan kemitraan baru antara Chief Information Officer (CIO), Chief Information Security Officer (CISO), dan tim data mereka. Tanpa kepemilikan bersama dan eksekusi yang terpadu, risiko seperti kebocoran data, berbagi data berlebihan, dan penggunaan AI yang tidak sesuai akan meningkat secara signifikan.

Panduan ini melanjutkan topik sebelumnya dalam seri Mengamankan Perusahaan yang Didukung AI untuk membantu Anda mengadopsi AI dengan aman dan memaksimalkan nilai investasi.

Kesenjangan tata kelola

Bagi beberapa organisasi, adopsi AI berlangsung lebih cepat daripada kemampuan struktur tata kelola tradisional untuk mengimbanginya. Menurut Indeks Keamanan DataMicrosoft, hanya 47% organisasi di berbagai industri yang melaporkan telah menerapkan kontrol keamanan GenAI khusus,¹ menunjukkan peluang besar bagi organisasi untuk memperoleh visibilitas yang jelas demi adopsi AI yang aman. Lebih penting lagi, survei multinasional terhadap lebih dari 1.700 profesional keamanan data yang dilakukan Microsoft melalui Hypothesis Group menunjukkan bahwa 29% karyawan sudah menggunakan agen AI yang tidak disetujui untuk tugas kerja.² Akibatnya, organisasi menghadapi tantangan baru dalam pengelolaan data, visibilitas keamanan, dan kepatuhan—terutama saat alat AI generatif berinteraksi dengan data sensitif atau tidak terstruktur.

Pada saat yang sama, pemimpin bisnis merespons dengan meningkatkan penerapan kontrol khusus untuk AI generatif dan mempercepat investasi dalam pengamanan teknis serta operasional. Pesan yang disampaikan cukup jelas, yaitu inovasi AI tidak dapat berkembang tanpa tata kelola yang mendukung dan mengamankannya.

Model terpadu untuk kepemilikan: Klasifikasi, pelabelan, perlindungan, pengelolaan

Tata kelola data yang efektif membutuhkan kejelasan tanggung jawab di seluruh peran CIO, CISO, Chief Data Officer (CDO), dan Chief Privacy Officer (CPO). Sayangnya, kepemilikan masih terfragmentasi di banyak organisasi. Untuk menjembatani kesenjangan ini, kami merekomendasikan model bersama: Klasifikasi, Pelabelan, Perlindungan, dan Pengelolaan.

1. Klasifikasi: Menetapkan kemampuan observabilitas dan kepemilikan

Perjalanan tata kelola dimulai dengan mengetahui apa yang Anda miliki. Organisasi harus membangun kemampuan observabilitas yang lengkap di seluruh data terstruktur, tidak terstruktur, dan data yang dihasilkan AI—termasuk kemampuan untuk melacak agen AI yang sedang berkembang. Klasifikasi membutuhkan:

Skema yang jelas dan intuitif yang dipetakan ke risiko bisnis
Penunjukan pemilik data dan pengelola di dalam unit bisnis
Inventarisasi berkelanjutan yang didukung oleh upaya penemuan yang dipimpin oleh CIO

Klasifikasi menjadi dasar bagi seluruh proses berikutnya.

2. Pelabelan: Membuat tata kelola dapat ditindaklanjuti

Jika klasifikasi adalah yang mendefinisikan niat, pelabelan adalah yang menerapkannya. Label sensitivitas menghubungkan kebijakan dengan penggunaan di dunia nyata, yang memberikan informasi ke sistem keamanan, kontrol akses, dan bahkan cara karyawan manusia berinteraksi dengan output agen AI.

Elemen utama kunci meliputi:

Menyebarkan teknologi yang membantu menerapkan pelabelan, yang memastikan bahwa label secara aktif memicu kebijakan keamanan dan pencegahan kehilangan data (DLP)
Strategi pelabelan berbasis risiko yang mencerminkan dampak bisnis
Pelatihan karyawan yang memperkuat pemahaman tentang kapan dan bagaimana menerapkan label

3. Perlindungan: Mengoperasionalkan keamanan

Perlindungan adalah ketika kebijakan menjadi pembatas. Hal ini meliputi:

Penerapan kebijakan melalui kontrol akses seperti Kontrol Akses Berbasis Peran (RBAC), akses Just-in-Time (JIT), dan DLP
Enkripsi untuk data tidak aktif dan saat dalam transit
Pemantauan otomatis untuk pelanggaran kebijakan dan berbagi berlebihan
Rencana respons insiden terstruktur yang selaras dengan peraturan privasi

Kontrol ini memastikan data sensitif terlindungi, bahkan saat alat AI mengakses dan memprosesnya dalam skala besar.

4. Pengelolaan: Mengatur seluruh siklus hidup data

Tata kelola bersifat berkelanjutan. Organisasi harus menjaga:

Kebijakan penghapusan dan retensi data yang selaras dengan prinsip minimalisasi
Pemantauan berkelanjutan untuk pergeseran data, kesalahan pelabelan, dan anomali akses
Sertifikasi ulang kepemilikan data secara otomatis
Visibilitas dan tata kelola agen AI di seluruh tim TI, pengembangan, dan keamanan

Manajemen siklus hidup mengurangi permukaan serangan dan memastikan keselarasan jangka panjang antara penggunaan data dan nilai bisnis.

Cakrawala: Mengelola tenaga kerja yang terdiri dari manusia dan agen AI

Seiring makin kompleksnya alur kerja yang dijalankan oleh agen AI, tata kelola juga harus berevolusi. Perusahaan Frontier memperkenalkan konsep bos agen, yaitu peran baru yang memberikan tanggung jawab kepada tiap karyawan atas pekerja digital yang mereka sebarkan.

Perubahan ini menciptakan mandat baru bagi kepemimpinan teknologi:

Untuk CIO:

Membangun ekosistem AI gabungan tempat unit bisnis dapat dengan aman membuat dan menyebarkan agen menggunakan templat yang disetujui, yang diatur oleh AI Center of Excellence.

Untuk CISO:

Memperluas Zero Trust dari pengguna manusia hingga mencakup agen otonom. Ini artinya:

Membuat inventarisasi semua agen dan identitasnya
Menerapkan akses hak istimewa terendah yang selaras dengan hak akses pekerjaan tiap agen
Memantau perilaku agen dan mengasumsikan potensi pelanggaran saat agen berinteraksi dengan data sensitif

Kesiapan menuju perusahaan otonom bergantung pada penggabungan kontrol baru ini dengan akuntabilitas manusia.

180 hari pertama Anda: Playbook bersama untuk CIO dan CISO

Perjalanan dimulai dengan peta strategi terstruktur untuk membantu pemimpin TI dan keamanan mengoperasionalkan tata kelola AI kelas perusahaan:

Minggu pertama: Penyelarasan dasar

Tetapkan skema klasifikasi data bersama.
Petakan ase penting dan persyaratan keberlanjutan.
Selaraskan standar untuk pembuatan dan verifikasi agen AI.

90 hari pertama: Penemuan dan pemetaan kontrol

Catat kasus penggunaan AI dan sumber data terkait.
Lakukan analisis kesenjangan kontrol dan DLP.
Bangun daftar risiko bersama dan prioritaskan kasus penggunaan pilot.

180 hari pertama: Implementasi dan validasi

Sebarkan label dan kebijakan baru ke unit bisnis pilot.
Luncurkan DLP otomatis untuk skenario berisiko tinggi.
Bentuk dewan tata kelola bulanan untuk menyempurnakan kontrol.

Playbook ini membantu organisasi mentransformasi tata kelola data dari fungsi kepatuhan menjadi pendorong strategis inovasi AI.

Membangun perusahaan berkampuan AI

Perjalanan menuju masa depan yang didukung AI dimulai dengan fondasi tata kelola data dan keamanan data yang kokoh dan dimiliki bersama. Dengan menyelaraskan tanggung jawab CIO dan CISO, membangun model siklus hidup bersama, dan mempersiapkan tenaga kerja hibrid yang terdiri dari manusia dan agen, organisasi dapat membantu memperoleh potensi maksimal AI dengan lebih percaya diri dan aman.

Saatnya membangun fondasi ini.

Unduh panduan

Cyber Pulse: Laporan Keamanan AI

Wawasan tentang pertumbuhan agen AI, serta langkah-langkah menuju adopsi aman yang bertanggung jawab melalui observabilitas, tata kelola, dan keamanan.

Sampul buku yang berjudul Microsoft Security Strategies for Governing AI dengan ilustrasi seorang laki-laki berbaju hijau duduk di dekat meja dengan komputer.

Strategi Mengatur AI

Langkah yang dapat ditindaklanjuti untuk membangun kepercayaan, mengurangi risiko, menghemat biaya, dan mendorong inovasi

Gambar garis putih sebuah kertas di amplop dengan tulisan Baru di latar belakang biru.

Dapatkan CISO Digest

Ikuti informasi terbaru seputar wawasan ahli, tren industri, dan riset keamanan dalam seri email dua bulanan ini.

[1]
Microsoft Data Security Index 2026: Unifying Data Protection and AI Innovation, Microsoft Security, 2026
[2]
Survei multinasional resmi Microsoft yang diselenggarakan pada bulan Juli 2025 terhadap lebih dari 1.700 profesional keamanan data bekerja sama dengan Hypothesis Group.