Ketika membahas ancaman terhadap keamanan data, banyak orang langsung membayangkan serangan dari luar seperti hacker atau malware. Namun, kenyataannya, salah satu ancaman terbesar justru bisa datang dari dalam organisasi itu sendiri. Salah satu bentuknya adalah praktik favoritisme di tempat kerja—misalnya, ketika seorang manajer memberikan akses data sensitif kepada rekan kerja tertentu hanya karena hubungan personal, bukan berdasarkan kebutuhan pekerjaan. Risiko favoritisme sering kali diabaikan dalam strategi keamanan data perusahaan, padahal dampaknya bisa sama berbahayanya dengan serangan siber eksternal, terutama ketika akses yang diberikan tanpa dasar yang kuat dimanfaatkan secara tidak semestinya.
Favoritisme di tempat kerja terjadi ketika seseorang mendapatkan perlakuan khusus bukan karena kompetensi atau tanggung jawabnya, melainkan karena kedekatan personal dengan atasan atau rekan kerja tertentu. Dalam konteks profesional, ini bisa berupa kemudahan dalam mendapatkan proyek, promosi, atau bahkan akses terhadap informasi yang seharusnya terbatas. Meskipun tampak sepele atau dianggap sebagai bentuk “toleransi,” praktik ini dapat menimbulkan ketimpangan, konflik kepentingan, dan pada akhirnya mengganggu integritas sistem kerja yang seharusnya objektif.
Dalam hal keamanan data, favoritisme menjadi lebih berbahaya ketika orang yang tidak berwenang diberi akses ke sistem, file, atau informasi sensitif hanya karena mereka dipercaya secara personal. Misalnya, seorang staf pemasaran bisa saja diberi akses ke dokumen keuangan oleh temannya yang bekerja di divisi keuangan, padahal tidak ada kebutuhan kerja yang relevan. Ketika akses diberikan tanpa dasar yang jelas, potensi kebocoran, penyalahgunaan data, atau pelanggaran kebijakan menjadi sangat besar, terlebih jika tidak ada sistem pemantauan yang ketat.
Risiko ini termasuk dalam kategori human factor atau risiko keamanan non-teknis—jenis risiko yang tidak bisa sepenuhnya ditangkal dengan teknologi. Meskipun sistem keamanan seperti firewall, enkripsi, atau autentikasi berlapis sudah diterapkan, semua itu bisa menjadi tidak relevan ketika seseorang di dalam organisasi melanggar prosedur demi kenyamanan atau hubungan personal. Oleh karena itu, mengenali dan mengelola risiko favoritisme menjadi bagian penting dari strategi manajemen risiko yang menyeluruh.
Baca juga: Waspadai Burnout Digital, Ancaman Siber Bisa Lewat Tanpa Disadari
Favoritisme dalam lingkungan kerja dapat membuka celah serius terhadap keamanan informasi, terutama ketika seseorang diberi akses data di luar kewenangannya hanya karena kedekatan personal. Akses berlebih seperti ini meningkatkan risiko kebocoran data, baik yang disengaja maupun tidak disengaja. Misalnya, seorang pegawai yang sebenarnya tidak terlibat dalam proyek tertentu bisa saja mengakses dokumen sensitif dan tanpa sadar membagikannya ke pihak luar. Hal ini tidak hanya membahayakan data perusahaan, tetapi juga melanggar prinsip dasar pengendalian akses: hanya orang yang berwenang yang seharusnya memiliki akses terhadap informasi tertentu.
Selain risiko teknis, favoritisme juga merusak integritas kebijakan keamanan yang telah disusun perusahaan. Ketika ada individu yang bisa “melompati” aturan karena relasi personal, maka kepercayaan terhadap sistem keamanan internal pun menurun. Hal ini berdampak pada ketimpangan dalam jejak audit (audit trail), di mana aktivitas akses tidak lagi mencerminkan struktur organisasi yang semestinya. Sebagai contoh, dalam sebuah kasus di perusahaan manufaktur, staf guda ng memiliki akses penuh ke data pelanggan karena sering dimintai tolong oleh supervisor. Ketika terjadi kebocoran data, pelacakan menjadi sulit karena sistem tidak mendeteksi bahwa akses itu seharusnya tidak pernah diberikan sejak awal.
Risiko favoritisme sering kali luput dari perhatian karena kuatnya budaya organisasi yang menjunjung rasa sungkan, loyalitas personal, atau anggapan bahwa rekan kerja sendiri pasti bisa dipercaya. Dalam banyak kasus, pemberian akses atau perlakuan istimewa dilakukan atas dasar “bantu-membantu” tanpa mempertimbangkan kebijakan keamanan yang berlaku. Asumsi bahwa akses tersebut tidak akan disalahgunakan menjadi pembenaran informal yang sayangnya justru membuka celah risiko. Karena dilakukan secara informal dan tidak tertulis, favoritisme ini kerap lolos dari pengawasan manajemen maupun sistem audit internal.
Selain itu, banyak program pelatihan keamanan hanya fokus pada aspek teknis seperti phishing atau penggunaan kata sandi, tanpa menyentuh dimensi sosial dan psikologis yang memicu tindakan-tindakan semacam ini. Karyawan tidak diajarkan untuk mengenali bahwa kedekatan personal pun bisa menjadi risiko jika tidak dikendalikan dengan kebijakan yang jelas. Tanpa disadari, risiko favoritisme menjadi celah serius yang sulit dideteksi oleh sistem keamanan otomatis, karena bentuknya tidak tampak seperti pelanggaran teknis, melainkan keputusan interpersonal yang terjadi di balik layar.
Untuk mengatasi risiko favoritisme dalam akses data, perusahaan perlu mengambil langkah-langkah preventif yang tidak hanya bersifat teknis, tetapi juga menyentuh aspek budaya dan perilaku kerja. Berikut ini adalah beberapa strategi yang dapat diterapkan untuk mencegah praktik favoritisme yang dapat mengancam keamanan informasi:
Setiap karyawan hanya boleh memiliki akses terhadap data dan sistem yang memang dibutuhkan untuk menjalankan tugasnya. Prinsip least privilege access memastikan bahwa akses diberikan berdasarkan kebutuhan kerja, bukan karena hubungan personal. Dengan menerapkan kebijakan ini secara konsisten, perusahaan dapat membatasi potensi penyalahgunaan akses oleh pihak yang seharusnya tidak memiliki kewenangan.
Akses yang sudah diberikan harus diperiksa secara berkala melalui audit internal, terutama akses yang diberikan di luar prosedur formal. Banyak kasus favoritisme terjadi secara informal—misalnya, seorang supervisor memberikan akses kepada temannya tanpa melalui proses persetujuan resmi. Audit berkala akan membantu mengidentifikasi anomali semacam ini dan mengembalikan kontrol akses ke jalur yang semestinya.
Pelatihan keamanan siber tidak cukup hanya membahas ancaman eksternal; penting juga untuk menyertakan materi tentang integritas dan objektivitas dalam pengambilan keputusan terkait akses data. Karyawan dan manajer perlu memahami bahwa memberikan akses atas dasar hubungan personal bukan hanya melanggar kebijakan, tapi juga berisiko besar bagi organisasi.
Untuk mencegah akses yang terlalu longgar, organisasi sebaiknya menerapkan sistem persetujuan berlapis (multi-level approval), terutama untuk permintaan akses terhadap data atau sistem yang bersifat sensitif. Dengan adanya lebih dari satu pihak yang terlibat dalam proses persetujuan, keputusan menjadi lebih objektif dan dapat dipertanggungjawabkan.
Lebih dari sekadar kebijakan formal, perusahaan harus menanamkan nilai-nilai transparansi dan akuntabilitas dalam budaya kerja sehari-hari. Ketika setiap karyawan merasa bertanggung jawab terhadap keamanan informasi, dan ketika setiap tindakan dapat ditinjau secara terbuka, maka ruang bagi praktik favoritisme akan semakin sempit. Budaya kerja yang sehat adalah pertahanan terbaik terhadap risiko yang berasal dari dalam.
Manajemen memiliki peran penting dalam memastikan bahwa akses data di perusahaan diberikan secara objektif dan sesuai kebutuhan kerja, bukan karena kedekatan personal. Pemimpin perlu bersikap adil, tegas, dan menjadi contoh dalam menjalankan kebijakan keamanan informasi, termasuk dalam menolak permintaan akses yang tidak sesuai prosedur—meskipun datang dari rekan dekat. Ketegasan ini bukan hanya soal kepatuhan, tetapi juga membangun budaya integritas yang mendorong semua pihak untuk mematuhi aturan yang ada tanpa pengecualian.
Di sisi lain, tim HR juga berperan strategis dalam menyusun dan mengimplementasikan kebijakan yang mengatur batasan hubungan personal dalam konteks profesional, termasuk pengelolaan akses data. HR perlu memastikan bahwa setiap karyawan memahami kebijakan tersebut dan memiliki saluran pelaporan jika menemukan pelanggaran, terutama yang berkaitan dengan favoritisme. Penting juga bagi perusahaan untuk menyediakan mekanisme pelaporan yang aman dan anonim agar karyawan merasa nyaman untuk menyampaikan kekhawatiran tanpa takut akan dampak personal atau profesional.
Baca juga: Mengejar Hasil Cepat? Hati-hati Reward Seeking Bikin Bocor Data
Risiko keamanan tidak selalu datang dari luar seperti hacker atau malware—justru, banyak ancaman yang bersumber dari dalam organisasi sendiri. Salah satunya adalah favoritisme, yang sering kali dianggap sepele padahal bisa menjadi celah serius dalam sistem keamanan data. Risiko favoritisme bukanlah isu remeh, melainkan potensi bahaya yang bisa dimanfaatkan oleh pihak internal, baik secara tidak sadar maupun dengan sengaja. Karena itu, penting bagi setiap organisasi untuk meninjau ulang praktik pemberian akses data, memastikan bahwa setiap keputusan didasarkan pada kebutuhan yang sah, bukan hubungan personal.