Keamanan siber menjadi salah satu prioritas utama bagi organisasi maupun individu di era digital, mengingat semakin banyaknya ancaman yang menargetkan data dan sistem penting. Meski teknologi keamanan terus berkembang dengan solusi canggih untuk menghadang serangan eksternal, faktor manusia tetap menjadi titik lemah yang paling sulit dikendalikan. Kesalahan kecil seperti mengklik tautan phishing atau menggunakan kata sandi yang lemah bisa membuka celah besar bagi peretas, sementara di sisi lain, kesadaran dan kepatuhan manusia juga bisa menjadi lapisan pertahanan yang paling efektif. Hal ini menimbulkan pertanyaan penting: apakah faktor manusia dalam cybersecurity akan selalu menjadi kelemahan terbesar, atau justru dapat diubah menjadi kekuatan utama dalam melindungi organisasi dari ancaman siber?
Faktor manusia dalam cybersecurity merujuk pada peran, perilaku, dan keputusan individu yang dapat mempengaruhi keamanan sistem informasi sebuah organisasi. Tidak seperti ancaman eksternal yang biasanya berasal dari peretas atau malware, faktor manusia lebih kompleks karena melibatkan aspek psikologis, sosial, dan budaya organisasi. Dalam jurnal The Human Factor in Cybersecurity: Addressing the Risks of Insider Threats oleh Hewa Majeed Zangana, Zina Bibo Sallow, dan Marwan Omar, dijelaskan bahwa manusia sering kali menjadi titik paling rentan dalam pertahanan siber karena akses langsung mereka terhadap sistem dan informasi sensitif.
Ancaman dari faktor manusia umumnya terbagi menjadi dua kategori besar: insider threats dengan niat jahat dan insider threats yang tidak disengaja. Insider yang berniat jahat bisa termotivasi oleh keuntungan finansial, dendam pribadi, atau tekanan dari pihak eksternal, sehingga mereka secara sadar merusak atau membocorkan data organisasi. Sebaliknya, insider yang tidak disengaja biasanya muncul akibat kelalaian, kurangnya kesadaran, atau kesalahan dalam menjalankan prosedur keamanan. Menurut penelitian Liu et al. (2018) dalam IEEE Communications Surveys & Tutorials, kedua jenis ancaman ini sama-sama berbahaya karena memanfaatkan kepercayaan dan akses yang dimiliki karyawan.
Berbagai studi menunjukkan bahwa mayoritas insiden siber justru berasal dari kelalaian manusia, bukan dari serangan teknis murni. Ani, He, dan Tiwari (2019) menekankan bahwa rendahnya kapasitas literasi keamanan pada tenaga kerja industri membuat risiko human error semakin tinggi. Hal ini sejalan dengan temuan Zangana et al. (2025), yang menemukan bahwa sekitar 45% insiden insider threat berasal dari kesalahan tidak disengaja. Artinya, untuk memahami faktor manusia dalam cybersecurity, organisasi tidak hanya perlu memperkuat teknologi, tetapi juga meningkatkan kesadaran, keterampilan, dan budaya keamanan pada seluruh level karyawan.
Baca juga: Tantangan Cybersecurity Awareness di Sektor Publik
Insider threat dianggap sebagai kelemahan utama dari faktor manusia dalam cybersecurity karena berasal dari orang dalam organisasi yang memiliki akses sah terhadap sistem. Dalam jurnal The Human Factor in Cybersecurity: Addressing the Risks of Insider Threats oleh Hewa Majeed Zangana, Zina Bibo Sallow, dan Marwan Omar, dijelaskan bahwa insider dengan niat jahat biasanya termotivasi oleh faktor finansial, dendam pribadi, atau bahkan tekanan dari pihak eksternal. Akses dan kepercayaan yang sudah mereka miliki membuat serangan lebih sulit dideteksi dibanding ancaman eksternal.
Selain itu, ancaman insider juga dapat muncul tanpa niat jahat, yang disebut sebagai unintentional insider threat. Hal ini biasanya dipicu oleh kesalahan manusia, kurangnya kesadaran keamanan, atau kelelahan kerja yang berujung pada pelanggaran prosedur. Canham, Posey, dan Bockelman (2020) dalam Confronting Information Security’s Elephant, the Unintentional Insider Threat menekankan bahwa kesalahan sederhana seperti mengklik tautan phishing atau salah mengelola kredensial dapat menimbulkan kerugian besar. Dengan demikian, baik insider yang berniat jahat maupun yang tidak disengaja sama-sama dapat merusak integritas keamanan organisasi.
Studi kasus nyata membuktikan betapa besar dampak dari insider threat ini. Misalnya, kebocoran data di beberapa institusi kesehatan dan keuangan sering kali berawal dari kelalaian pegawai yang membuka celah bagi peretas, sebagaimana dibahas oleh Ghafir et al. (2018) dalam Security Threats to Critical Infrastructure: The Human Factor. Temuan serupa juga diangkat oleh Zangana et al. (2025), yang mencatat bahwa hampir sepertiga organisasi pernah mengalami insiden insider threat dalam satu tahun terakhir. Kasus-kasus ini menegaskan bahwa insider threat bukan sekadar potensi, melainkan risiko nyata yang membutuhkan strategi pencegahan dan deteksi serius.
Budaya organisasi memiliki peran penting dalam membentuk perilaku karyawan terkait keamanan siber. Dalam jurnal Zangana et al. (2025), dijelaskan bahwa organisasi dengan budaya yang mendukung kesadaran keamanan cenderung mengalami lebih sedikit insiden insider threat. Ketika nilai dan norma organisasi menekankan pentingnya keamanan, karyawan lebih terdorong untuk mematuhi kebijakan, melaporkan aktivitas mencurigakan, dan bertindak proaktif dalam menjaga sistem informasi.
Selain faktor budaya, aspek psikologis juga sangat memengaruhi kerentanan terhadap ancaman siber. Tekanan kerja, stres, hingga burnout dapat menurunkan tingkat kewaspadaan karyawan, sehingga meningkatkan risiko terjadinya human error. Zangana et al. (2025) menegaskan bahwa kondisi seperti security fatigue sering kali membuat pegawai abai terhadap protokol keamanan. Dengan kata lain, meski seseorang memahami aturan, faktor psikologis dapat menjadi pemicu utama kesalahan yang berujung pada insiden serius.
Leadership dan keterlibatan karyawan menjadi kunci untuk menyeimbangkan faktor budaya dan psikologis ini. Studi dalam jurnal yang sama menunjukkan bahwa komitmen manajemen puncak dalam mempromosikan nilai keamanan sangat berpengaruh terhadap kepatuhan pegawai. Ketika pimpinan menunjukkan keteladanan, menyediakan pelatihan yang relevan, dan mengajak karyawan terlibat dalam upaya perlindungan data, tingkat kepatuhan terhadap kebijakan meningkat signifikan. Dengan demikian, kombinasi budaya organisasi yang kuat, perhatian pada kesejahteraan psikologis, serta kepemimpinan yang peduli membentuk fondasi utama ketahanan siber organisasi.
Selama bertahun-tahun, faktor manusia sering dipandang sebagai titik terlemah dalam cybersecurity, namun kini terjadi pergeseran paradigma penting. Zangana et al. (2025) menegaskan bahwa manusia tidak lagi harus selalu dianggap sebagai masalah, melainkan bisa menjadi bagian dari solusi. Pergeseran perspektif ini membuka peluang untuk mengoptimalkan peran karyawan sebagai garda terdepan dalam menjaga keamanan sistem.
Kunci dari perubahan ini adalah pemberian pelatihan, peningkatan kesadaran, dan dukungan organisasi. Ketika karyawan mendapatkan pemahaman yang memadai tentang risiko siber dan cara menghadapinya, mereka mampu bertindak sebagai lapisan pertahanan yang efektif. Hal ini sejalan dengan penelitian Zimmermann dan Renaud (2019) dalam International Journal of Human-Computer Studies, yang memperkenalkan konsep “human-as-solution” dalam cybersecurity. Menurut mereka, pemahaman perilaku manusia dapat dimanfaatkan untuk merancang strategi pertahanan yang lebih adaptif dan berkelanjutan.
Contoh konkret dari penerapan paradigma ini terlihat pada kecepatan pelaporan insiden oleh karyawan, kepatuhan terhadap aturan kontrol akses, hingga meningkatnya kewaspadaan terhadap email phishing. Zangana et al. (2025) menunjukkan bahwa organisasi dengan program kesadaran siber yang kuat memiliki tingkat kepatuhan lebih tinggi dan insiden insider threat yang lebih rendah. Dengan membangun budaya yang mendukung dan melibatkan karyawan secara aktif, faktor manusia dapat bertransformasi dari kelemahan terbesar menjadi kekuatan utama dalam melindungi aset digital organisasi.
Dalam jurnal The Human Factor in Cybersecurity: Addressing the Risks of Insider Threats oleh Hewa Majeed Zangana, Zina Bibo Sallow, dan Marwan Omar, dibahas berbagai strategi praktis untuk mengubah faktor manusia dari kelemahan menjadi kekuatan utama dalam pertahanan siber. Strategi ini meliputi kombinasi edukasi, kebijakan, teknologi, dan budaya organisasi yang saling melengkapi agar karyawan mampu berperan aktif menjaga keamanan. Berikut adalah penjelasan detail tiap poinnya:
Baca juga: Faktor Manusia dalam Keamanan Siber: Ancaman atau Pertahanan Terkuat?
Faktor manusia memang kerap dianggap sebagai sumber kelemahan dalam cybersecurity karena rentan terhadap kesalahan maupun insider threat, namun pada saat yang sama, manusia juga dapat menjadi kekuatan besar jika dikelola dengan tepat. Kuncinya adalah pendekatan holistik yang menggabungkan teknologi canggih, budaya organisasi yang mendukung, serta edukasi berkelanjutan untuk meningkatkan kesadaran dan keterampilan karyawan. Dengan strategi yang seimbang antara aspek teknis dan non-teknis, organisasi dapat membentuk barisan pertahanan yang lebih tangguh, di mana setiap individu tidak hanya menjadi titik rawan, tetapi juga garda terdepan dalam melindungi aset digital dari ancaman siber.