Ekonomi dari Nol Kepercayaan: Mengapa Jalur 'Mudah' Lebih Mahal

Oleh Nate Brady - Arsitek Keamanan Cloud

17 Juli 2025 5 Menit Baca

Industri keamanan siber telah mengembangkan konsensus yang menarik seputar Zero Trust Network Access (ZTNA): memposisikannya sebagai pengganti langsung infrastruktur VPN yang sudah tua, menjanjikan gangguan minimal, dan memigrasi kebijakan secara bertahap dari waktu ke waktu. Pesannya sangat menarik - hindari kerumitan perubahan organisasi sambil mendapatkan manfaat keamanan modern. Namun, ekonomi mungkin menceritakan kisah yang berbeda.

Saya memprediksi bahwa organisasi yang menempuh jalur "mudah" ini akan menemukan bahwa pendekatan yang dimaksudkan untuk meminimalkan gangguan jangka pendek justru memaksimalkan biaya jangka panjang. Sementara itu, mereka yang melihat migrasi ZTNA sebagai peluang untuk transformasi TI yang mendasar akan menemukan bahwa keringat mereka akan membuahkan hasil dalam bentuk efisiensi operasional. Saya sangat percaya pada triad baik-cepat-mudah (Anda bisa memilih hanya dua) dan dalam blog ini saya akan menjelaskan bagaimana hal ini berlaku untuk adopsi ZTNA.

Krisis Inventaris Aplikasi

Akar dari paradoks ini terletak pada titik buta yang dimiliki oleh sebagian besar perusahaan namun jarang disadari: mereka tidak benar-benar mengetahui aplikasi apa yang mereka miliki, siapa yang menggunakannya (dengan data apa), atau nilai bisnis apa yang mereka berikan. Pertumbuhan TI organik selama bertahun-tahun, akuisisi, dan inisiatif departemen telah menciptakan portofolio aplikasi yang luas dan sulit untuk dikategorikan.

Infrastruktur VPN tradisional telah memungkinkan keburaman ini. Kebijakan akses jaringan yang luas mengaburkan pola penggunaan aplikasi yang sebenarnya. Ketika karyawan dapat menjangkau "semua yang ada di jaringan," tidak ada yang perlu menjustifikasi mengapa aplikasi tertentu ada atau siapa yang memerlukan akses. VPN menjadi lapisan abstraksi yang nyaman yang menutupi kesenjangan tata kelola yang mendasar.

Pendekatan penggantian ZTNA-sebagai-VPN melanggengkan dinamika ini. Vendor berjanji untuk mereplikasi pola akses yang ada dengan gangguan organisasi yang minimal. Pesan tersiratnya: Anda dapat mencapai keamanan tanpa kepercayaan tanpa ketidaknyamanan dalam memahami apa yang Anda lindungi. Hal ini menciptakan struktur insentif pasar di mana kompleksitas dihargai dan rasionalisasi dihindari.

Pertimbangkan implikasi ekonomi. Organisasi secara rutin memelihara aplikasi yang pembenaran bisnis aslinya telah kedaluwarsa. Mereka membayar biaya lisensi untuk perangkat lunak yang melayani populasi pengguna yang semakin berkurang. Mereka mengalokasikan sumber daya infrastruktur ke sistem yang dapat dikonsolidasikan atau dihentikan. Model penggantian VPN mempertahankan inefisiensi ini sambil menambahkan biaya teknologi baru di atasnya.

Ekonomi Palsu dari "Mitigasi Risiko"

Ironi ini semakin dalam ketika kita melihat bagaimana organisasi membingkai pengambilan keputusan mereka. Proses inventarisasi dan rasionalisasi aplikasi dikategorikan sebagai "berisiko" - bagaimana jika kita secara tidak sengaja membatasi akses ke sesuatu yang penting? Bagaimana jika pemilik aplikasi menolak persyaratan pembenaran? Bagaimana jika kita menemukan bahwa portofolio TI kita lebih kacau dari yang kita duga?

Kekhawatiran ini mencerminkan dinamika organisasi yang sebenarnya, namun kalkulus risikonya terbalik. Risiko yang sebenarnya terletak pada ketidaktahuan yang terus-menerus tentang lingkungan TI Anda. Tim keamanan tidak dapat menerapkan kontrol yang efektif untuk aplikasi yang tidak mereka pahami. Upaya kepatuhan menjadi latihan di ruang dokumentasi daripada manajemen risiko yang substantif. Perencanaan keberlangsungan bisnis bergantung pada asumsi dan bukan bukti.

Pasar telah merespons insentif yang tidak selaras ini. Ekosistem konsultasi telah muncul untuk mengelola kompleksitas dan bukan menguranginya. Organisasi akan menggunakan layanan profesional yang mahal untuk memigrasikan ratusan aplikasi ke platform ZTNA tanpa mempertanyakan apakah aplikasi-aplikasi tersebut memang seharusnya ada sejak awal. Biaya untuk "mitigasi risiko" ini sering kali melebihi penghematan biaya yang akan dihasilkan oleh rasionalisasi yang tepat.

Dividen Nol Kepercayaan (Zero Trust Dividend)

Organisasi yang memilih jalur transformasi akan menemukan sesuatu yang tidak terduga: implementasi zero trust yang tepat menciptakan fungsi pemaksaan untuk pengoptimalan portofolio TI yang sudah lama tertunda. Ketika setiap aplikasi harus memiliki pemilik yang teridentifikasi, tujuan bisnis yang dibenarkan, dan aliran data yang diklasifikasikan, pembersihan terjadi secara organik.

Ekonomi menjadi menarik dengan cepat. Penghentian aplikasi menghilangkan biaya lisensi, mengurangi kebutuhan infrastruktur, dan mengurangi area permukaan keamanan. Peluang konsolidasi muncul ketika tim menemukan bahwa mereka memelihara beberapa alat untuk fungsi yang sama. Pengurangan utang teknis terjadi secara alami ketika sistem yang sudah tidak digunakan lagi kehilangan anonimitas pelindungnya.

Manfaat yang dapat diukur sering kali mengejutkan tim kepemimpinan. Pengoptimalan lisensi saja biasanya menghasilkan pengurangan biaya sebesar 20-40% dalam pengeluaran perangkat lunak. Rasionalisasi infrastruktur menghasilkan penghematan serupa dalam biaya komputasi dan penyimpanan. Keuntungan efisiensi operasional - lebih sedikit sistem yang harus ditambal, dipantau, dan dicadangkan - menciptakan aliran dividen berkelanjutan yang terus bertambah seiring berjalannya waktu.

Mungkin yang lebih penting lagi, organisasi mengembangkan pengetahuan aktual tentang lingkungan TI mereka. Kemampuan ini memungkinkan respons insiden yang lebih cepat, penilaian dampak bisnis yang lebih akurat, dan keputusan investasi teknologi berbasis data. Keunggulan kompetitif terakumulasi dengan mantap bagi perusahaan yang memahami apa yang mereka miliki dan bagaimana hal itu menciptakan nilai.

Membingkai Ulang Kasus Bisnis

Kasus bisnis keamanan siber tradisional memposisikan peningkatan keamanan sebagai pengeluaran yang diperlukan - investasi dalam pengurangan risiko yang tidak secara langsung menghasilkan pendapatan. Pembingkaian ini menempatkan tim keamanan pada posisi yang tidak menguntungkan secara sistematis saat bersaing untuk mendapatkan anggaran melawan inisiatif yang menjanjikan keuntungan finansial yang jelas.

Pembagian inventaris aplikasi mengubah dinamika ini sepenuhnya. Implementasi zero trust menjadi inisiatif pengoptimalan portofolio TI yang kebetulan mencakup peningkatan keamanan. Kasus bisnis bergeser dari "berapa biaya proyek keamanan ini?" menjadi "berapa banyak uang yang akan dihemat oleh upaya pengoptimalan ini?"

Pertimbangan waktu memperkuat pembingkaian ulang ini. Manfaat rasionalisasi aplikasi segera dimulai - aplikasi yang dihentikan tidak lagi menghasilkan biaya pada bulan berjalan. Pengoptimalan lisensi muncul di siklus pembaruan berikutnya. Pengurangan infrastruktur mengalir ke tagihan cloud triwulanan. Penghematan ini biasanya mendanai implementasi ZTNA dalam waktu 12-18 bulan, setelah itu peningkatan keamanan pada dasarnya menjadi gratis.

Organisasi yang menganut framing ini mendapati bahwa inisiatif zero trust mereka mendapat sambutan yang berbeda dari para pemangku kepentingan. CFO menjadi sekutu, bukannya skeptis. Para pemimpin unit bisnis terlibat secara proaktif ketika mereka memahami manfaat efisiensi. Tim teknologi menghargai kesempatan untuk menghilangkan utang teknis yang telah terakumulasi selama bertahun-tahun.

Pilihan Strategis

Krisis akhir masa pakai VPN menghadirkan titik belok strategis yang jauh melampaui penggantian teknologi. Organisasi dapat memilih untuk melanggengkan inefisiensi yang ada dengan alat baru, atau mereka dapat menggunakan persyaratan transisi sebagai katalisator untuk perbaikan mendasar.

Jalur "mudah" mempertahankan zona nyaman organisasi sekaligus menambah kompleksitas dan biaya teknologi. Jalur transformasi membutuhkan gangguan jangka pendek namun menciptakan keunggulan kompetitif yang berkelanjutan melalui peningkatan manajemen portofolio TI, efisiensi operasional, dan kemampuan keamanan yang sesungguhnya.

Ekonomi mendukung transformasi, tetapi hanya untuk organisasi yang bersedia menghadapi kenyataan inventaris aplikasi yang selama ini mereka hindari. Mereka yang memilih jalan ini menemukan bahwa masalah yang paling sulit sering kali memiliki solusi yang paling menguntungkan. Dinamika pasar menghargai keberanian ini - perusahaan dengan portofolio TI yang bersih dan dipahami dengan baik mengungguli rekan-rekan mereka di berbagai dimensi.

Pertanyaannya bukanlah apakah organisasi Anda pada akhirnya akan merasionalisasi portofolio aplikasinya. Tekanan pasar, persyaratan kepatuhan, dan biaya operasional pada akhirnya akan memaksa perhitungan ini. Pertanyaannya adalah apakah Anda akan menggunakan transisi VPN saat ini sebagai kesempatan untuk melakukannya secara strategis, atau menunggu krisis untuk melakukannya secara reaktif.

Organisasi yang membuat pilihan ini hari ini akan menjadi organisasi yang memiliki keunggulan kompetitif yang berkelanjutan di masa depan.

Kembali ke Blog