Security Theatre — Ilusi Keamanan
Pernah lihat satpam di lobby gedung yang cuma tanya "mau ke mana, Pak?" — lalu langsung kasih masuk tanpa cek apa-apa?
Itu security theatre.
Dan kalau Anda pikir itu cuma terjadi di lobby — coba lihat lagi infrastruktur IT organisasi Anda.
---
Definisi yang Jujur
Security theatre adalah aktivitas keamanan yang terlihat meyakinkan tapi tidak mengubah postur risiko secara substansial.
Bukan berarti nol nilai. Kadang efek psikologis punya tempat. Tapi masalahnya: ketika theatre dikira pertahanan nyata, organisasi berhenti mencari yang benar-benar bekerja.
Ilusi keamanan lebih berbahaya dari ketidakamanan yang disadari. Karena yang sadar rentan akan berhati-hati. Yang merasa aman akan lengah.
---
Tanda-Tanda Security Theatre
Gw sudah cukup lama di industri ini untuk mengenali polanya:
**Kebijakan 47 halaman yang nggak ada yang baca.** Ditulis konsultan, di-approve manajemen, disimpan di SharePoint. Terakhir dibuka: saat audit.**Awareness training tahunan yang jadi klik-klik-selesai.** Karyawan hapal jawaban quiz, bukan konsepnya. Completion rate 98%. Phishing success rate? Tetap 23%.**Change management yang cuma tanda tangan.** Form CAB diisi, approval didapat, tapi nggak ada yang review dampak teknis sebenarnya. Prosedur tanpa substansi.**Penetration test tahunan dengan scope yang "diatur".** Scope dibatasi agar hasilnya bersih. Auditor senang. Board senang. Attacker? Nggak peduli scope Anda.**Dashboard hijau yang menyembunyikan merah.** KPI dipilih karena mudah hijau, bukan karena relevan. Patch compliance 95% — tapi 5% yang tersisa adalah critical systems.---
Kenapa Theatre Bertahan?
Bukan karena orang bodoh. Theatre bertahan karena sistemnya menghargai theatre.
Incentive structure-nya rusak:
CISO butuh menunjukkan "kemajuan" ke board. Kemajuan yang paling mudah diukur: jumlah kebijakan, completion rate training, tools yang dibeli. Semua itu bisa di-dashboard-kan. Semua itu bisa di-PowerPoint-kan.
Yang susah di-dashboard-kan: apakah tim bisa detect lateral movement dalam 2 jam? Apakah incident responder tahu apa yang harus dilakukan saat ransomware jam 2 pagi? Apakah backup benar-benar bisa di-restore?
Jadi organisasi mengoptimasi yang bisa diukur, bukan yang penting.
Auditor juga bagian dari sistem:
Audit berbasis checklist memeriksa keberadaan kontrol, bukan efektivitasnya. "Apakah ada kebijakan password?" ✅ "Apakah kebijakan itu diterapkan dan di-enforce?" — itu pertanyaan yang lebih mahal untuk dijawab.
Manajemen butuh rasa aman:
Ketidakpastian itu tidak nyaman. Theatre memberikan ilusi kontrol. Dan ilusi kontrol itu addictive — karena alternatifnya adalah mengakui bahwa kita tidak tahu seberapa aman kita sebenarnya.
---
Cost of Theatre
Theatre bukan gratis. Ia punya biaya yang jarang dihitung:
**1. Opportunity cost.** Setiap jam yang dihabiskan untuk compliance theatre adalah jam yang tidak dipakai untuk security yang bekerja. Tim yang sibuk mengisi form audit tidak punya waktu untuk threat hunting.
**2. False confidence.** Organisasi yang merasa aman mengurangi investasi di area yang benar-benar butuh. "Kita sudah punya policy" menjadi alasan untuk tidak melakukan yang lebih sulit.
**3. Talent drain.** Security professionals yang kompeten tidak mau menghabiskan karir mengisi spreadsheet compliance. Mereka pergi. Yang tinggal: yang nyaman dengan theatre.
**4. Delayed response.** Ketika breach terjadi — dan ia akan terjadi — organisasi yang hidup dalam ilusi butuh waktu lebih lama untuk mengakui, merespons, dan pulih. Karena langkah pertama recovery adalah mengakui ada masalah. Dan theatre membuat pengakuan itu lebih sulit.
---
Cara Membedakan Theatre dari Security
Satu pertanyaan sederhana: **kalau kita berhenti melakukan ini, apakah risiko kita berubah?**
Kalau jawabannya tidak — atau "mungkin tidak" — Anda sedang melakukan theatre.
Beberapa tes lain:
**Test of removal.** Hilangkan kontrol itu selama sebulan. Apa yang terjadi? Kalau nggak ada yang berubah, kontrol itu theatre.**Test of adversary.** Apakah kontrol ini akan memperlambat attacker nyata? Atau hanya memperlambat karyawan internal?**Test of measurement.** Apakah kita mengukur keberadaan kontrol atau efektivitasnya? "Ada firewall" vs "firewall ini memblok X serangan dengan Y false positive rate."**Test of stress.** Bagaimana kontrol ini perform saat krisis? Kebijakan yang rapi saat normal tapi collapse saat incident = theatre.---
Dari Theatre ke Substansi
Gw nggak bilang buang semua kebijakan dan training. Gw bilang: tanya apakah mereka bekerja.
Policy harus hidup. Pendek, relevan, di-update. Kalau tim nggak bisa menjelaskan isinya tanpa buka dokumen, policy itu gagal.Training harus berubah perilaku, bukan skor. Ukur phishing simulation results, bukan completion rate. Kalau awareness naik tapi click rate tetap, training Anda theatre.Audit harus menguji, bukan mencentang. Minta auditor simulate serangan, bukan minta dokumen. Evidence-based, bukan document-based.Pentest harus menyakitkan. Kalau hasilnya selalu "bersih" — scope-nya yang salah, bukan security-nya yang bagus.---
Yang Tidak Nyaman
Mengakui bahwa sebagian besar aktivitas security kita adalah theatre — itu tidak nyaman. Tapi ketidaknyamanan itu produktif.
Karena di sisi lain ketidaknyamanan itu ada pertanyaan yang sebenarnya penting: apa yang benar-benar melindungi kita?
Jawabannya hampir selalu lebih sederhana — dan lebih sulit — dari yang kita kira.
Minggu depan: kenapa organisasi merasa aman padahal tidak. Spoiler — ilusi ini bukan kecelakaan.
Versi lengkap: harjulianto.com
#CyberSecurity #SecurityTheatre #Leadership
