Model keamanan 'castle and moat' yang dominan selama dua dekade dibangun atas asumsi yang kini usang: bahwa semua yang ada di dalam jaringan korporat dapat dipercaya. Di era cloud, remote work, dan BYOD, asumsi ini sangat berbahaya.

Data Badan Siber dan Sandi Negara (BSSN) menunjukkan 1.6 miliar ancaman siber menghantam Indonesia pada 2023 — naik 56% dari tahun sebelumnya. Sebagian besar serangan berhasil bukan karena menembus perimeter, melainkan karena menyalahgunakan identitas terpercaya yang sudah ada di dalam jaringan.

Zero Trust bukan sebuah produk — ini adalah filosofi keamanan yang mencakup lima domain: Identitas (setiap pengguna harus diautentikasi dan diotorisasi secara kontekstual), Perangkat (setiap device harus memenuhi standar keamanan sebelum mendapat akses), Jaringan (segmentasi mikro untuk membatasi lateral movement), Aplikasi (kontrol akses pada level aplikasi, bukan hanya jaringan), dan Data (klasifikasi dan enkripsi data berdasarkan sensitivitas).

Implementasi tidak harus dilakukan sekaligus. Roadmap yang realistis biasanya dimulai dari Identity and Access Management (IAM) — fondasi yang paling penting dan memberikan nilai paling cepat.

Satu klien kami di sektor perbankan mengimplementasikan Zero Trust secara bertahap selama 18 bulan. Tiga bulan setelah implementasi IAM selesai, mereka mendeteksi dan memblokir percobaan lateral movement oleh malware yang berhasil masuk melalui phishing email ke satu workstation.

Dengan arsitektur perimeter tradisional, malware ini berpotensi mendapatkan akses ke seluruh jaringan internal. Dengan Zero Trust, pergerakannya terhenti di segmen pertama — kerusakan nol, data tidak terkompromikan. Total kerugian yang berhasil dihindari: lebih dari Rp 50 miliar.