Dalam lanskap kerja modern, aturan keamanan menjadi pondasi penting untuk melindungi data dan sistem dari ancaman siber yang semakin kompleks. Meski teknologi keamanan terus berkembang, faktor manusia tetap menjadi titik terlemah sekaligus kunci keberhasilan, karena karyawan adalah garda terdepan dalam menjaga kerahasiaan, integritas, dan ketersediaan informasi perusahaan. Namun, tidak semua karyawan memiliki tingkat kepatuhan yang sama terhadap kebijakan keamanan yang ada. Hal ini menimbulkan pertanyaan penting: faktor apa sebenarnya yang menentukan niat karyawan untuk patuh pada aturan keamanan, dan bagaimana organisasi dapat mendorong perilaku yang konsisten dalam melindungi aset digital mereka?
Niat karyawan untuk berperilaku aman dapat dipahami sebagai dorongan psikologis yang memengaruhi kecenderungan individu untuk mematuhi aturan dan prosedur keamanan yang berlaku di perusahaan. Dalam konteks keamanan siber, niat ini mencakup kesadaran untuk tidak mengklik tautan mencurigakan, menjaga kerahasiaan kata sandi, hingga mengikuti protokol keamanan perusahaan. Menurut penelitian Determinants of Security Behavior Intention in State-Owned Enterprises oleh Pratama et al. (2025), niat terbentuk dari faktor-faktor seperti persepsi ancaman, kerentanan, serta keyakinan diri dalam menghadapi serangan siber.
Hubungan antara niat dan tindakan nyata bersifat erat, di mana niat yang kuat untuk patuh biasanya diwujudkan dalam perilaku konkret. Teori Protection Motivation Theory (PMT) menjelaskan bahwa persepsi seseorang terhadap tingkat keparahan ancaman dan kerentanannya akan memengaruhi sejauh mana ia berniat melindungi diri, yang pada akhirnya tercermin dalam tindakan nyata seperti menerapkan autentikasi ganda atau melaporkan email phishing (Rogers, 1975; Dodge et al., 2023). Dengan kata lain, niat bertindak sebagai jembatan antara kesadaran kognitif dan perilaku keamanan aktual di lingkungan kerja.
Relevansi konsep ini sangat penting dalam perusahaan, khususnya di sektor strategis seperti BUMN yang mengelola data sensitif dan infrastruktur vital negara. Penelitian Pratama et al. (2025) menunjukkan bahwa karyawan BUMN lebih rentan menjadi target serangan phishing karena posisi mereka yang strategis, sehingga memahami faktor pembentuk niat menjadi krusial. Hal ini sejalan dengan temuan Sulaiman et al. (2022), dalam Information Journal, yang menegaskan bahwa intensi perilaku keamanan di kalangan pegawai pemerintah berperan besar dalam mitigasi serangan siber. Dengan demikian, memperkuat niat karyawan untuk mematuhi aturan keamanan merupakan langkah fundamental dalam membangun budaya keamanan siber yang berkelanjutan.
Baca juga: Cybersecurity Policy Indonesia Dari Regulasi hingga Implementasi
Protection Motivation Theory (PMT) pertama kali diperkenalkan oleh Rogers (1975) untuk menjelaskan bagaimana individu termotivasi mengambil tindakan perlindungan ketika menghadapi ancaman. Awalnya digunakan dalam konteks kesehatan, PMT kemudian banyak diterapkan dalam bidang lain, termasuk keamanan siber. Teori ini menekankan bahwa niat untuk berperilaku aman muncul dari evaluasi kognitif terhadap ancaman (threat appraisal) dan kemampuan diri untuk menghadapinya (coping appraisal). Dengan kata lain, semakin seseorang merasa ancaman itu nyata dan serius, serta percaya dirinya mampu bertindak efektif, semakin tinggi niatnya untuk mematuhi aturan keamanan (Mou et al., 2022).
Dalam konteks keamanan informasi, PMT telah terbukti menjadi kerangka teoritis yang relevan untuk memahami niat karyawan dalam menghindari risiko seperti phishing. Studi Determinants of Security Behavior Intention in State-Owned Enterprises oleh Okta Pratama, Riadi Arief Aladin, Budiarto Lim, dan Arta Moro Sundjaja (2025) menemukan bahwa faktor seperti self-efficacy, perceived vulnerability, dan perceived severity berpengaruh signifikan terhadap niat karyawan untuk tidak mengklik tautan phishing. Hal ini menunjukkan bahwa penerapan PMT dalam organisasi membantu manajemen mengidentifikasi variabel psikologis yang perlu diperkuat melalui pelatihan, simulasi, maupun kampanye kesadaran keamanan.
Dua komponen utama dalam PMT yang sangat menentukan niat adalah perceived severity (tingkat keparahan yang dipersepsikan) dan perceived vulnerability (tingkat kerentanan yang dipersepsikan). Ketika karyawan meyakini bahwa konsekuensi dari pelanggaran aturan keamanan bisa sangat merugikan—misalnya kebocoran data, kerugian finansial, atau reputasi perusahaan—maka mereka akan lebih termotivasi untuk patuh. Demikian juga, jika karyawan merasa dirinya rentan terhadap serangan siber, mereka lebih cenderung berhati-hati. Temuan ini konsisten dengan penelitian Hanus & Wu (2016) yang menegaskan bahwa kombinasi persepsi ancaman tinggi dan kerentanan tinggi akan mendorong perilaku perlindungan. Oleh karena itu, perusahaan perlu menumbuhkan persepsi risiko yang realistis agar niat karyawan untuk mematuhi aturan keamanan semakin kuat.
Menurut penelitian Determinants of Security Behavior Intention in State-Owned Enterprises oleh Pratama et al. (2025), ada beberapa faktor utama yang mendorong niat karyawan untuk mematuhi aturan keamanan. Faktor-faktor ini berkaitan dengan bagaimana karyawan menilai ancaman, menilai diri sendiri, dan mempercayai efektivitas tindakan yang diambil.
Self-efficacy menggambarkan keyakinan karyawan terhadap kemampuan dirinya dalam menghadapi ancaman siber. Karyawan yang percaya diri bahwa ia mampu mengenali email phishing, mengevaluasi risiko, atau melaporkan insiden biasanya akan lebih disiplin mengikuti aturan keamanan. Rasa percaya diri ini membuat pengetahuan yang dimiliki tidak hanya berhenti di kepala, tetapi benar-benar diwujudkan dalam perilaku sehari-hari seperti rajin mengganti password, menggunakan autentikasi ganda, atau berhati-hati saat membuka lampiran email.
Persepsi kerentanan adalah rasa “saya juga bisa terkena” jika tidak hati-hati. Karyawan yang merasa dirinya bisa saja jadi korban serangan akan lebih berhati-hati dan patuh pada kebijakan. Cara yang umum digunakan perusahaan untuk menumbuhkan rasa ini adalah melalui pelatihan dan simulasi phishing. Dengan merasakan langsung bagaimana mudahnya seseorang bisa tertipu, karyawan akan lebih sadar bahwa mereka tidak kebal dari risiko dan akhirnya lebih disiplin menjalankan aturan.
Selain kerentanan, seberapa parah dampak yang dirasakan juga memengaruhi niat untuk patuh. Jika karyawan memahami bahwa pelanggaran keamanan dapat berujung pada kerugian finansial besar, merusak reputasi perusahaan, atau mengganggu operasional sehari-hari, mereka akan lebih serius dalam menjalankan aturan. Kesadaran bahwa kesalahan kecil bisa berujung pada konsekuensi besar mendorong karyawan untuk lebih berhati-hati, misalnya dengan menunda klik ketika ragu atau selalu memverifikasi permintaan sensitif.
Kesadaran ancaman berarti pemahaman karyawan tentang berbagai jenis serangan seperti phishing, ransomware, atau rekayasa sosial. Semakin banyak karyawan tahu tentang cara kerja ancaman ini, semakin siap mereka untuk menghadapinya. Awareness semacam ini membentuk rasa percaya diri sekaligus kesadaran bahwa semua orang bisa menjadi target. Hasilnya, karyawan lebih disiplin mengikuti kebijakan dan lebih waspada dalam aktivitas digital sehari-hari.
Berbeda dengan kesadaran ancaman yang fokus pada jenis serangan, security awareness menekankan pengetahuan karyawan tentang aturan, kebijakan, dan prosedur keamanan di perusahaannya. Misalnya, kebijakan penggunaan password, aturan berbagi data, atau cara melaporkan insiden. Karyawan yang paham aturan ini akan lebih mudah memahami risiko dan lebih konsisten menjalankan praktik keamanan yang benar.
Response efficacy adalah keyakinan karyawan bahwa tindakan yang mereka lakukan benar-benar efektif untuk mencegah ancaman. Jika karyawan percaya bahwa langkah-langkah seperti mengganti password rutin atau mengaktifkan autentikasi ganda memang mampu melindungi data, mereka akan lebih patuh. Namun, penelitian juga menunjukkan bahwa faktor ini tidak selalu signifikan, karena sebagian karyawan bisa saja patuh hanya karena aturan, bukan karena mereka yakin tindakannya efektif.
Penelitian Determinants of Security Behavior Intention in State-Owned Enterprises oleh Okta Pratama, Riadi Arief Aladin, Budiarto Lim, dan Arta Moro Sundjaja (2025) menemukan bahwa faktor paling berpengaruh terhadap niat karyawan untuk mematuhi aturan keamanan adalah self-efficacy, perceived vulnerability, dan perceived severity. Dengan kata lain, semakin tinggi rasa percaya diri karyawan bahwa mereka mampu menghadapi ancaman, semakin sadar bahwa diri mereka rentan, dan semakin serius mereka menilai dampak serangan, maka semakin kuat pula niat mereka untuk patuh. Temuan ini menegaskan bahwa aspek psikologis sangat penting dalam mendorong kepatuhan, bukan hanya sekadar aturan tertulis atau teknologi pendukung.
Selain itu, penelitian ini juga menyoroti peran threat awareness dalam membangun persepsi kerentanan dan keyakinan diri. Ketika karyawan memahami bentuk-bentuk ancaman seperti phishing atau ransomware, mereka akan lebih sadar bahwa serangan bisa menimpa siapa saja, sekaligus lebih percaya diri untuk melindungi diri dengan tindakan pencegahan. Kesadaran ancaman ini bertindak sebagai pintu masuk untuk membentuk perilaku yang lebih waspada, sehingga karyawan tidak hanya mengandalkan sistem keamanan perusahaan, tetapi juga aktif menjaga keamanan dari sisi individu.
Temuan lain yang penting adalah bahwa security awareness berperan besar dalam memperkuat persepsi keparahan ancaman. Karyawan yang memahami kebijakan keamanan, prosedur pelaporan, dan praktik terbaik akan lebih mampu melihat konsekuensi nyata dari serangan siber, sehingga kepatuhan mereka meningkat. Namun, penelitian juga menunjukkan bahwa tidak semua faktor berpengaruh signifikan—contohnya response efficacy atau keyakinan bahwa tindakan tertentu efektif tidak selalu menjadi penentu utama. Hal ini mengindikasikan bahwa organisasi perlu lebih menekankan pada peningkatan self-efficacy, persepsi risiko, dan awareness secara menyeluruh agar program keamanan benar-benar berdampak pada perilaku karyawan.
Dalam menghadapi tantangan keamanan siber, penelitian ini menunjukkan bahwa perusahaan tidak cukup hanya memiliki teknologi, tetapi juga harus memperkuat faktor manusia. Ada beberapa langkah penting yang bisa dilakukan organisasi untuk mendorong niat karyawan agar lebih patuh pada aturan keamanan.
Langkah pertama yang harus diperhatikan adalah pelatihan yang konsisten dan berkesinambungan. Program ini memastikan karyawan selalu memiliki pengetahuan terbaru tentang ancaman siber dan tahu bagaimana meresponsnya dengan benar. Jika hanya dilakukan sekali, efeknya mudah hilang, tetapi pelatihan berulang membuat kesadaran lebih terjaga dan akhirnya membentuk kebiasaan.
Selain pelatihan formal, perusahaan juga perlu menggunakan pendekatan kreatif agar pesan keamanan lebih mudah dipahami. Simulasi phishing, infografis sederhana, hingga game edukasi bisa meningkatkan kewaspadaan dengan cara yang lebih menarik. Dengan metode ini, karyawan tidak hanya memahami teori, tetapi juga merasakan pengalaman nyata bagaimana serangan bisa terjadi dan bagaimana cara menghindarinya.
Faktor berikutnya adalah keterlibatan manajemen dalam membangun budaya keamanan. Pimpinan perlu memberi teladan nyata, misalnya dengan patuh pada kebijakan keamanan yang berlaku, serta mendukung penuh setiap program edukasi. Ketika manajemen menunjukkan komitmen, karyawan akan lebih terdorong untuk ikut serta sehingga budaya keamanan tumbuh secara alami di seluruh organisasi.
Terakhir, organisasi perlu menggabungkan kebijakan teknis dengan komunikasi yang efektif. Penerapan multi-factor authentication, aturan ketat soal password, dan kampanye komunikasi internal yang konsisten akan memperkuat pertahanan perusahaan. Teknologi memberi lapisan keamanan tambahan, sementara komunikasi membantu menjaga kesadaran karyawan agar selalu waspada terhadap risiko yang mungkin muncul.
Baca juga: Mengapa Banyak Kebijakan Keamanan Gagal Dijalankan dengan Efektif?
Dapat disimpulkan bahwa niat karyawan untuk patuh pada aturan keamanan tidak hanya ditentukan oleh kebijakan perusahaan, tetapi juga oleh kombinasi faktor psikologis dan tingkat kesadaran individu. Rasa percaya diri dalam menghadapi ancaman (self-efficacy), pemahaman bahwa dirinya rentan terhadap serangan, serta kesadaran akan dampak serius dari pelanggaran, terbukti menjadi penentu utama terbentuknya kepatuhan. Karena itu, organisasi perlu memberikan perhatian lebih pada aspek-aspek ini melalui pelatihan, simulasi, maupun komunikasi yang efektif. Dengan intervensi yang tepat dan berkelanjutan, kepatuhan karyawan bukan hanya bisa ditingkatkan sesaat, melainkan dapat menjadi bagian dari budaya keamanan yang melekat dalam aktivitas sehari-hari.