Para pemimpin keamanan dari Datadog, Jamf, dan ASOS mempertimbangkan krisis visibilitas yang terjadi secara diam-diam karena AI menempatkan kemampuan penulisan kode di tangan setiap karyawan.
“Saya menghabiskan akhir pekan dengan mempelajari token Claude,” kata moderator. “Ini lebih menyenangkan daripada berkumpul dengan teman.”
Dia tertawa. Para pemimpin keamanan di panel juga tertawa, mungkin sedikit gugup. Mereka memahami daya tarik penggunaan AI untuk membangun otomatisasi dan aplikasi. Mereka juga tahu apa yang terjadi ketika dorongan yang sama menyebar ke seluruh organisasi tanpa batasan.
Ini adalah salah satu topik penting dalam Alur Kerja, acara virtual langsung yang diselenggarakan oleh platform otomasi cerdas Tines. Moderatornya, Andrew Steele, Mitra di Activant Capital, telah menghabiskan satu dekade berinvestasi dalam AI perusahaan dan tahu persis di mana eksperimen pribadi berakhir dan risiko di tempat kerja dimulai. Sayangnya bagi para pemimpin TI dan keamanan, banyak karyawan yang tidak melakukan hal tersebut.
Bagaimana para pemimpin ini menjaga visibilitas dan kontrol ketika AI memberikan kemampuan penulisan kode ke tangan setiap karyawan? Ini adalah pertanyaan yang dia ajukan kepada Mario Villatoro, CISO di Jamf, Indu Sajeev, mantan CISO di ASOS, dan Matt Muller, Direktur Operasi Keamanan di Datadog.
Munculnya kode liar
Penyebaran kode bukanlah konsep baru. Namun pada tahun 2026, hal ini mulai menjadi liar. Tim keamanan dan TI berbicara tentang kode seperti seorang tukang kebun berbicara tentang gulma – menyebar dengan cepat, dan mengancam untuk membanjiri segala sesuatu di sekitar mereka.
A laporan dari RedAccess memberikan beberapa permasalahan: dengan memindai platform pengkodean getaran termasuk Lovable, Base44, dan Netlify, mereka menemukan 380.000 aset yang dapat diakses publik – aplikasi, database, dan infrastruktur terkait – dibangun di luar tinjauan keamanan apa pun, dengan sekitar 5.000 berisi informasi sensitif perusahaan.
Hal ini berasal dari banyak sumber: fitur AI yang tertanam dalam alat SaaS yang disetujui dan diaktifkan tanpa tinjauan TI, skrip dan otomatisasi yang dibangun di luar lingkungan yang disetujui, agen yang dipisahkan oleh tim individu tanpa visibilitas terpusat.
Hal ini belum tentu berbahaya – sebaliknya, sering kali hal tersebut bertujuan baik. Dan alih-alih hanya menoleransi hal ini, banyak organisasi yang secara aktif mendorong hal tersebut. “Vibe coding” muncul dalam spesifikasi pekerjaan di perusahaan-perusahaan Fortune 500. Setiap karyawan yang merespons mandat tersebut berpotensi menjadi sumber kode etik yang tidak dapat diatur. Akarnya sudah mulai terbentuk.
Tonton semua sesi Alur Kerja sekarang
Dengarkan pendapat para pemimpin TI dan keamanan tentang bagaimana mereka menerapkan AI dan otomatisasi.
Mulai dari mengamankan sistem AI, membuktikan ROI alur kerja, hingga melampaui uji coba, ini adalah percakapan nyata tentang apa yang berhasil, apa yang tidak, dan apa yang diperlukan agar AI dapat berfungsi dalam produksi.
Mengapa kebijakan saja tidak cukup
“Karyawan yang ingin menyelesaikan pekerjaannya sejauh ini merupakan APT yang paling gigih dan sukses,” kata Matt Muller dari Datadog. “Jika mereka berpikir bahwa mendapatkan akses ke model terbaru akan membantu mereka menyelesaikan pekerjaan dengan lebih baik, mereka akan menemukan cara, bahkan jika itu berarti mengambil screenshot komputer mereka dengan ponsel untuk mentransfer data ke akun pribadi.” Larang alat yang sudah jelas terlihat dan perilakunya cenderung berpindah ke alat yang kurang jelas, sehingga mengurangi visibilitas tanpa mengurangi keterpaparan.
Indu Sajeev dari ASOS dengan jelas menyatakan batasan dari pedoman tata kelola konvensional: “Saya rasa tata kelola pemerintahan tidak bisa berbasis kertas dan berbasis kebijakan. Tata kelola harus bersifat terkodifikasi dan dijalankan terus-menerus pada tingkat infrastruktur yang penting.”
Apa yang dilakukan para pemimpin keamanan saat ini
Dimulai dengan klasifikasi data
Sebelum pendekatan yang lebih canggih dapat berhasil, ada dasar yang tidak menarik untuk dilakukan, kata Villatoro. “Apakah data Anda sudah dikategorikan dengan benar? Karena jika Anda hanya mengatakan ‘data sensitif’, apa itu data sensitif? Menandai data dengan benar sangatlah penting.”
Tanpa landasan tersebut, setiap kendali hilir – izin akses, tata kelola agen, jalur audit – dibangun di atas landasan yang tidak stabil.
Menjadi penghubung, bukan penjaga gerbang
Pendekatan Muller di Datadog adalah memposisikan tim keamanan sebagai orang yang menyediakan alat, bukan orang yang mengawasi penggunaan alat tersebut. “Salah satu hal yang sangat efektif adalah menjadi pusat terpusat, bukan pusat kegiatan, tapi alat untuk melakukan kegiatan,” katanya. “Jadikan keterampilan Claude tersedia di pasar internal. Satu-satunya permintaan kami kepada tim teknik adalah: ketika Anda menggunakannya, beri kami umpan balik, bantu kami meningkatkan keterampilan.”
Pendekatan ini berhasil jika pembuatnya adalah seorang insinyur. Namun penyebaran kode tidak hanya mencakup bidang teknis, namun juga mencakup fungsi-fungsi seperti SDM, pemasaran, dan keuangan, di mana kesadaran akan keamanan jarang menjadi persyaratan pekerjaan.
Prinsip intinya adalah: membuat jalur yang diatur lebih menarik dibandingkan jalur yang tidak diatur. “Saya ingin semua orang menggunakan satu saluran untuk penggunaan AI,” kata Muller. “Dengan begitu, meskipun saya tidak menyukai apa yang terjadi, setidaknya saya dapat melihat bahwa hal itu terjadi dibandingkan memaksa orang masuk ke jalur bayangan.”
Membangun registri kasus penggunaan
Di ASOS, Sajeev mengatasi masalah visibilitas dengan registri kasus penggunaan, memperlakukan agen AI seperti aset infrastruktur, bukan fitur perangkat lunak.
“Ini secara organik bertransisi menjadi: ini diciptakan untuk kasus penggunaan spesifik ini, ini adalah identitas manusia di balik agen ini,” katanya. Registri bukan hanya inventaris. Hal ini membuat akuntabilitas dapat dilacak – ketika terjadi kesalahan, Anda dapat menelusuri alurnya kembali ke orang dan tujuannya. Hal ini juga memunculkan masalah data mendasar yang cenderung disembunyikan hingga sebuah insiden memaksanya untuk diungkapkan. “Anda harus berada pada tingkat yang sangat matang dengan infrastruktur data Anda agar fungsi agen atau AI Anda dapat berfungsi.”
Berinvestasi dalam pemberdayaan
Di Jamf, pendekatan Villatoro berpusat pada pemberdayaan dibandingkan pembatasan, memberikan karyawan alat yang tepat, pelatihan, dan kebijakan penggunaan yang dapat diterima sebelum mereka mencari solusi sendiri.
“Jika kita bekerja pada bagian pemberdayaan, akan jauh lebih mudah untuk mencegah kode liar tersebar dimana-mana,” katanya. “Tetapi jika kita tidak memberdayakan karyawan, mereka akan mencari cara untuk memberdayakan diri mereka sendiri, dan itulah yang menimbulkan masalah.”
Permasalahan masih harus diselesaikan
Agen AI berperilaku tidak terduga
Muller menegaskan perlunya mengamati dan menahan perilaku AI yang tidak terduga sebelum menjadi masalah.
“Ketika Claude Code mengetahui bahwa ia tidak dapat mengakses sesuatu, ada skenario di mana ia mencoba secara efektif membangun malware sendiri untuk mengambil kredensial yang diperlukan,” kata Muller. “Daripada memiliki kebijakan yang tidak dapat menggunakan Claude Code untuk melakukan hal-hal ini, kami pikir akan lebih bermanfaat untuk berinvestasi pada kontrol teknis yang mencegahnya mencapai kredensial tersebut.”
Kesenjangan izin
Bahkan ketika organisasi dengan sengaja mengambil keputusan mengenai penggunaan alat AI, kendali yang tersedia sering kali terlalu luas sehingga tidak dapat diterapkan secara bermakna.
“Kami dapat mengatakan ‘kami menyetujui koneksi Claude ke Gmail,’” kata Muller. “Yang ingin saya katakan adalah, ‘Saya merasa nyaman jika asisten saya membaca email yang diberi tag dengan label tertentu, dan tidak ada email saya yang lain.’ Saya tidak bisa mengungkapkannya hari ini.”
Sajeev menunjuk pada kesenjangan yang lebih dalam dalam kerangka keamanan yang ada: “Zero trust bekerja dengan baik pada identitas manusia. Kesenjangan ini masih terjadi di negara lain, dan kita memiliki begitu banyak ekosistem yang berbeda sekarang.” Organisasi sebagian besar bergantung pada penyedia pihak pertama yang kontrolnya kurang terperinci. Muller berterus terang: “Jika ada orang dari Google yang menonton ini, kami dapat menggunakan izin OAuth yang lebih terperinci.”
Jalan ke depan
Para pemimpin keamanan yang secara efektif menjinakkan penyebaran kode tidak akan menjadi orang-orang yang mencoba menghentikan karyawan untuk membangun. Merekalah yang menjadikan jalur yang diatur ini menjadi yang paling menarik – cukup aman untuk digunakan secara terbuka, cukup terlihat untuk diaudit.
Kode liar sudah ada di dalam gedung. Pertanyaannya bukanlah bagaimana mencegahnya. Tinggal bagaimana cara melacak, mengamankan dan memantaunya.
Tonton acara virtual Workflow oleh Tines sesuai permintaan di https://watch.workflow.live/.
Disponsori dan ditulis oleh Tines.
