Agen AI kini makin banyak digunakan di lingkungan perusahaan — bersifat otonom, non-deterministik, dan kian kompleks. Berbeda dengan perangkat lunak tradisional, agen ini menentukan langkah melalui proses penalaran yang membuat perilakunya sulit diprediksi sepenuhnya pada saat implementasi.
Di kawasan Asia Pasifik, investasi pada AI dan GenAI diperkirakan akan meningkat pesat pada beberapa tahun mendatang, dengan sistem agentic berperan signifikan. Namun perkembangan tata kelola untuk mengendalikan risiko belum secepat laju adopsi teknologi tersebut.
Identitas Mesin Dan Kekurangan Tata Kelola
Agen AI beroperasi melalui identitas mesin — seperti service accounts, API tokens, dan kredensial — yang memberi akses ke sistem dan data. Gartner menggarisbawahi bahwa manajemen identitas mesin masih menjadi area yang belum matang dalam kebanyakan program IAM, walaupun skalanya tumbuh cepat dan membawa eksposur risiko tinggi.
Data menunjukkan jumlah identitas mesin sekarang melampaui jumlah pengguna manusia, namun sebagian besar organisasi masih mengkategorikan hanya identitas manusia sebagai privileged users. Bentuk kegagalan yang sering terjadi adalah over-permissioning, ketika agen AI diberikan hak akses lebih luas dari kebutuhan operasionalnya.
Dalam studi global terhadap implementasi di perusahaan, 77% organisasi mengandalkan platform IAM yang ada untuk memantau identitas mesin, tetapi hanya 2% yang sudah menerapkan solusi keamanan khusus untuk identitas non-human. Kesenjangan antara eksposur dan cakupan pengelolaan masih signifikan.
Konsekuensi Dan Perubahan Profil Risiko
Konsekuensi nyata dari kondisi ini mulai terlihat: 80% organisasi melaporkan agen AI mereka pernah melakukan tindakan tidak diinginkan, termasuk mengakses atau membagikan data sensitif. Kesenjangan struktural dalam pengelolaan identitas AI menjadi salah satu pemicu kejadian semacam ini.
Profil risiko berubah seiring sistem agentic makin otonom, penggunaan arsitektur multi-agent meluas, dan interaksi agen dengan sistem di luar kendali organisasi meningkat. Kesenjangan antara persepsi kapabilitas tata kelola dan kapabilitas nyata kerap menjadi titik di mana insiden berkembang menjadi pelanggaran keamanan.
Rekomendasi Tata Kelola
Organisasi yang mampu mengelola risiko ini adalah yang memasukkan tata kelola sebagai fondasi sejak awal pembangunan sistem, bukan yang menambahkannya setelah implementasi. Praktik yang disarankan meliputi memperlakukan setiap agen AI sebagai identitas terpisah dengan penanggung jawab jelas, hak akses terbatas sesuai kewenangan, dan siklus hidup yang terdokumentasi.
Pengelolaan ini juga mesti mencakup peninjauan akses agen AI seteliti penanganan akun manusia dengan hak istimewa, serta memastikan visibilitas berkelanjutan alih-alih audit satu kali.
Di Indonesia, perkembangan regulasi menambah urgensi penguatan tata kelola. Undang-Undang Perlindungan Data Pribadi mewajibkan lokalisasi data dan memperketat perlindungan terhadap transfer data lintas negara, sehingga organisasi perlu mempertimbangkan aspek kepatuhan dalam desain tata kelola identitas mesin.
Prinsip Identity-First Governance
Beberapa pelaku industri mendorong konsep identity-first governance untuk agen AI: tidak ada agen yang beroperasi tanpa pemilik yang diketahui, izin akses yang terdefinisi, serta kemampuan untuk diaudit atau dicabut. Pendekatan ini diformulasikan untuk menemukan, mengelola, dan memantau identitas agen AI secara berkelanjutan di berbagai lingkungan implementasi.
Seiring organisasi dan pihak pengadaan semakin menilai kematangan tata kelola sebagai kriteria, perusahaan yang dapat menunjukkan akuntabilitas atas sistem AI-nya akan memperoleh keunggulan struktural.
Manfaat produktivitas agen AI nyata, demikian pula risikonya. Faktor penentu dominasi salah satu sisi bukanlah kecanggihan agen, melainkan kualitas tata kelola yang membingkai penggunaannya.
GVP ASEAN, SailPoint.
Tinggalkan Balasan