Saat perusahaan mengadopsi AI, arsitektur cloud-native, dan otomasi dalam skala besar, identitas bukan lagi sekadar fungsi keamanan backend. Ini menjadi lapisan kontrol yang menentukan bagaimana sistem mempercayai, memberi otorisasi, dan mengamati baik manusia maupun mesin. Pergeseran ini didorong oleh dua perubahan besar. Pertama, sistem perusahaan telah menjadi sangat terdistribusi di seluruh platform cloud, API, dan layanan. Kedua, pengembangan berbantuan AI dan otomasi mempercepat seberapa cepat sistem dibangun dan diterapkan. Bersama-sama, perubahan ini mendefinisikan ulang bagaimana kepercayaan dan kontrol harus diimplementasikan dalam lingkungan modern. Ketika output yang dihasilkan AI berinteraksi dengan infrastruktur, API, dan alur kerja otomatis, tantangannya bukan lagi hanya apakah sistem berfungsi, tetapi apakah sistem dapat dipercaya, dikontrol, dan diaudit dengan andal. Rishav Bhandari telah bekerja di bidang autentikasi perusahaan, pengiriman cloud, dan sistem otomasi skala besar. Pengalamannya mencakup sistem IAM skala perusahaan, rekayasa cloud, dan pengiriman DevOps. Dari perspektifnya, identitas bukan lagi hanya tentang login dan akses. Ini menjadi fondasi untuk kepercayaan, kontrol, dan akuntabilitas dalam sistem perusahaan modern. Organisasi yang berhasil bukan yang mengadopsi AI paling cepat, tetapi yang membangun lapisan kontrol yang lebih kuat di sekitarnya.
Ceritakan tentang diri Anda dan perjalanan profesional Anda.
Saya telah menghabiskan lebih dari delapan tahun di Infosys bekerja pada sistem perusahaan di berbagai domain. Saya memulai dengan manajemen identitas dan akses di Vodafone, menangani jutaan autentikasi pengguna dalam skala besar. Dari sana, saya beralih ke pengiriman cloud dan transformasi digital dan, baru-baru ini, ke praktik otomasi dan pengembangan berbantuan AI. Apa yang saya sadari adalah bahwa identitas, keamanan cloud, dan tata kelola AI semuanya berkumpul. Anda tidak dapat membicarakan keamanan cloud tanpa membicarakan identitas. Anda tidak dapat membicarakan tata kelola AI tanpa memahami keduanya. Konvergensi itulah yang membuat momen ini menarik untuk teknologi perusahaan.
Anda telah bekerja di bidang identitas, pengiriman cloud, dan otomasi. Bagaimana kombinasi itu membentuk pemikiran Anda tentang arsitektur perusahaan?
Itu memaksa saya untuk melihat ketiga hal ini sebagai percakapan yang sama. Di awal karier saya, saya menganggap identitas sebagai infrastruktur yang Anda siapkan dan kelola. Cloud hanya tentang di mana server Anda berada. Otomasi adalah tentang melakukan sesuatu lebih cepat. Apa yang saya sadari adalah semuanya tentang kepercayaan dan kontrol. Bagaimana Anda mempercayai bahwa pengguna adalah siapa yang mereka klaim? Bagaimana Anda mempercayai bahwa sumber daya cloud itu sah? Bagaimana Anda mempercayai bahwa tindakan otomatis diberi otorisasi? Itu adalah pertanyaan identitas yang berpakaian berbeda. Ketika Anda melihatnya seperti itu, arsitektur Anda berubah secara fundamental.
Mengapa identitas menjadi lapisan kontrol pusat daripada hanya fungsi keamanan backend?
Dua hal terjadi. Pertama, sistem menjadi terdistribusi. Ketika semuanya berada di satu pusat data, keamanan jaringan adalah batas Anda. Sekarang dengan cloud, API, dan layanan di seluruh jaringan yang tidak Anda kontrol, batas jaringan tidak berfungsi. Identitas menjadi batas utama Anda. Kedua, cakupan identitas berkembang secara dramatis. Ini bukan lagi hanya pengguna. Ini adalah layanan yang berbicara satu sama lain, API, pekerjaan terjadwal, infrastructure-as-code, dan sistem AI. Semua membutuhkan autentikasi dan otorisasi. Karena perluasan itu, identitas berpindah dari kekhawatiran backend ke arsitektural yang membentuk bagaimana Anda merancang dan mengoperasikan sistem.
Bagaimana identitas berubah saat organisasi mengadopsi AI dan otomasi dalam skala besar?
Identitas mesin menjadi sama pentingnya dengan identitas manusia. Layanan, fungsi Lambda, dan sistem AI semuanya membutuhkan identitas. Tantangannya adalah skala. Anda mungkin memiliki ratusan karyawan tetapi ribuan layanan dan agen. Mengelola identitas pada skala itu memerlukan pendekatan yang sama sekali berbeda. Pencabutan juga berbeda. Ketika manusia pergi, Anda mencabut akses. Ketika layanan salah, Anda perlu mencabut akses dalam hitungan detik, bukan hari. Dan akuntabilitas rumit. Dengan sistem AI, Anda perlu memahami apakah sistem melakukan apa yang seharusnya atau jika seseorang salah mengkonfigurasi atau menyalahgunakannya. Itu memerlukan jejak audit dan tata kelola yang lebih baik.
Apa risiko terbesar saat menghubungkan AI, layanan cloud, dan kontrol akses tanpa tata kelola yang kuat?
Risiko terbesar adalah titik buta. Seseorang menerapkan sistem AI untuk membuat keputusan, tetapi tidak ada yang memahami implikasi keamanannya. Sistem mendapatkan izin luas karena mempersempitnya tampak rumit. Kemudian sesuatu salah. Saya telah melihat sistem otomasi dengan akses ke database produksi yang dapat menyebabkan kerusakan katastropik jika dikompromikan. Kegagalan kepatuhan adalah risiko lain. Jika Anda tidak dapat mengaudit apa yang dilakukan sistem AI atau melacak keputusan, Anda tidak patuh. Ada juga vendor lock-in dan kepercayaan diri yang salah, di mana Anda pikir Anda aman, tetapi sistem Anda tidak dirancang untuk AI dalam skala besar.
Apa yang dimaksud dengan Zero Trust dalam praktik dengan sistem AI dan alur kerja otomatis?
Zero Trust berarti tidak mempercayai apa pun secara default, terlepas dari dari mana asalnya. Untuk manusia, itu berarti memverifikasi identitas setiap saat. Untuk mesin, itu berarti kredensial berumur pendek yang kedaluwarsa dengan cepat, sehingga kompromi dibatasi waktu. Untuk sistem AI, itu berarti bersikap sengaja tentang izin. Akses spesifik ke sumber daya spesifik untuk tindakan spesifik, dengan kemampuan untuk mencabut jika sistem melakukan sesuatu yang tidak terduga. Zero Trust juga berarti observabilitas. Anda tidak dapat menerapkannya jika Anda tidak dapat melihat apa yang terjadi. Tantangan dengan AI adalah mendefinisikan seperti apa perilaku tidak terduga itu.
Di mana perusahaan biasanya salah dalam identitas, keamanan cloud, dan tata kelola?
Mereka memprioritaskan kecepatan daripada kontrol. Mereka memberikan izin luas untuk bergerak cepat. Mereka menerapkan AI dengan akses ke semuanya karena mempersempit tampak rumit. Mereka memperlakukan identitas sebagai renungan, merancang arsitektur cloud tanpa memikirkannya, kemudian mencoba memasangnya. Kesalahan lain adalah mengasumsikan penyedia cloud menangani keamanan. Penyedia memberi Anda alat, tetapi Anda harus menggunakannya dengan benar. Organisasi juga tidak berinvestasi dalam observabilitas sampai masalah terjadi. Mereka memahami retensi log, manajemen rahasia, dan jejak audit hanya setelah sesuatu gagal. Sisi manusia juga penting. Tata kelola bukan hanya teknis. Ini tentang proses dan alur kerja.
Bagaimana organisasi harus menyeimbangkan keamanan, kecepatan operasional, dan pengalaman pengguna?
Wawasan kuncinya adalah bahwa gesekan berasal dari desain yang buruk, bukan keamanan. Sistem aman yang dirancang dengan baik membuat melakukan hal yang benar menjadi jalur dengan resistensi paling sedikit. Jika log audit menyakitkan, tim menghindarinya. Jika izin memakan waktu berhari-hari, tim meminta akses luas. Jika pencabutan rumit, tim melewatinya. Berinvestasilah dalam otomasi. Otomatiskan penyediaan, permintaan izin, dan pencatatan audit. Libatkan tim lebih awal dalam merancang strategi Anda. Pahami kendala dan kebutuhan mereka. Bersikap transparan tentang mengapa Anda meminta kontrol tertentu. Tim lebih bersedia untuk mematuhi ketika mereka memahami alasannya.
Langkah praktis apa yang dapat diambil pemimpin saat ini untuk meningkatkan kontrol di seluruh lingkungan cloud yang didukung AI?
Pertama, inventarisasi apa yang Anda miliki. Ketahui sistem AI apa yang ada, akses apa yang mereka miliki, dan apa yang mereka lakukan. Mulailah dengan zero trust secara pragmatis. Jangan menerapkan zero trust sempurna di mana-mana sekaligus. Mulailah dengan sistem kritis. Berinvestasilah dalam observabilitas melalui logging, metrik, dan peringatan. Terapkan jejak audit yang kuat sehingga Anda dapat melacak apa yang terjadi dan mengapa. Kelola rahasia dengan aman dan putar secara teratur. Libatkan tim keamanan dan kepatuhan lebih awal dalam inisiatif AI. Jangan tanyakan apakah sesuatu aman setelah penerapan. Akhirnya, edukasi tim Anda secara terus-menerus. Keamanan dan tata kelola bukan set-and-forget.
Bagaimana Anda melihat identitas, keamanan cloud, dan tata kelola AI berkembang?
Identitas dan tata kelola akan menjadi lebih otomatis dan cerdas. Machine learning akan mendeteksi perilaku anomali dan memahami seperti apa yang normal. Akan ada lebih banyak fokus pada observabilitas dan pemahaman perilaku sistem AI, yang saat ini masih merupakan kotak hitam. Regulasi seputar AI akan meningkat. Saat AI membuat keputusan penting, regulator akan memerlukan tata kelola dan akuntabilitas yang lebih baik. Organisasi dengan tata kelola yang baik sekarang akan unggul. Akan ada juga lebih banyak fokus pada identitas portabel, tidak terkunci pada satu penyedia cloud. Apa yang harus disiapkan organisasi sekarang adalah mengenali bahwa identitas dan tata kelola bukan hanya masalah keamanan. Mereka adalah masalah bisnis. Mereka mempengaruhi kecepatan, keandalan, dan kepatuhan. Organisasi yang menang akan membangun lapisan kontrol yang kuat di sekitar AI dan otomasi, bukan yang bergerak paling cepat tanpa kontrol tersebut.
