Security Theatre — Ilusi Keamanan yang Lebih Berbahaya dari Serangan Itu Sendiri

**Meta Description**: Security theatre adalah aktivitas keamanan yang terlihat meyakinkan tapi tidak mengubah postur risiko. Pelajari cara mengenali dan menggantinya dengan pertahanan nyata.

**Author**: Harjulianto

**Published**: 2026-02-25

**Category**: Cybersecurity, Leadership

**Tags**: security theatre, ilusi keamanan, compliance, risk management

TL;DR

Sebagian besar aktivitas keamanan di organisasi adalah theatre — terlihat meyakinkan tapi tidak mengubah postur risiko secara substansial. Kebijakan yang tidak dibaca, training yang tidak mengubah perilaku, audit yang tidak menguji. Theatre bertahan karena sistem menghargainya: incentive CISO, checklist auditor, dan kebutuhan manajemen akan rasa aman. Ilusi keamanan lebih berbahaya dari ketidakamanan yang disadari. Artikel ini membedah pola theatre dan cara menggantinya dengan substansi.

Satpam di Lobby

Pernah lihat satpam di lobby gedung yang cuma tanya "mau ke mana, Pak?" — lalu langsung kasih masuk tanpa cek apa-apa?

Itu security theatre.

Istilah ini dipopulerkan oleh Bruce Schneier untuk mendeskripsikan aktivitas keamanan yang memberikan *perasaan* aman tanpa benar-benar meningkatkan keamanan. TSA airport security setelah 9/11 adalah contoh klasik — tapi versi digital-nya ada di hampir setiap organisasi.

Dan kalau Anda pikir itu cuma terjadi di lobby — coba lihat lagi infrastruktur IT organisasi Anda.

Apa Itu Security Theatre?

Security theatre adalah aktivitas keamanan yang terlihat meyakinkan tapi tidak mengubah postur risiko secara substansial.

Kata kuncinya: *secara substansial*.

Bukan berarti nol nilai. Kadang efek psikologis punya tempat — satpam di lobby memang memberikan deterrence ringan. Tapi masalahnya muncul ketika theatre dikira pertahanan nyata. Ketika organisasi berhenti mencari yang benar-benar bekerja karena merasa sudah cukup.

Ilusi keamanan lebih berbahaya dari ketidakamanan yang disadari.

Yang sadar rentan akan berhati-hati. Yang merasa aman akan lengah.

Ini bukan teori. Ini pola yang berulang di setiap post-mortem breach besar: "Kami pikir kami sudah aman."

Lima Tanda Security Theatre di Organisasi Anda

Setelah bertahun-tahun di industri ini, gw bisa mengenali polanya:

1. Kebijakan 47 Halaman yang Nggak Ada yang Baca

Ditulis konsultan. Di-approve manajemen. Disimpan di SharePoint. Terakhir dibuka: saat audit berikutnya.

Kebijakan yang panjang bukan tanda keamanan yang matang — itu tanda organisasi yang lebih peduli *keberadaan* dokumen daripada *penerapannya*.

Policy yang benar-benar bekerja itu pendek, spesifik, dan bisa dijelaskan oleh siapa pun di tim tanpa buka dokumen.

2. Awareness Training yang Jadi Klik-Klik-Selesai

Karyawan hapal jawaban quiz, bukan konsepnya.

Completion rate: 98%. Phishing simulation success rate? Tetap 23%.

Training yang tidak mengubah perilaku itu bukan training — itu checkbox. Dan checkbox itu mahal: waktu karyawan, biaya platform, dan yang paling mahal — ilusi bahwa "orang kita sudah aware."

3. Change Management yang Cuma Tanda Tangan

Form CAB diisi. Approval didapat. Tapi nggak ada yang review dampak teknis sebenarnya.

Prosedur tanpa substansi. Ceremony tanpa fungsi.

Ini terjadi karena change management sering dilihat sebagai gerbang administratif, bukan sebagai kontrol risiko. Hasilnya: perubahan yang seharusnya di-challenge justru di-rubber-stamp.

4. Penetration Test Tahunan dengan Scope yang "Diatur"

Scope dibatasi agar hasilnya bersih. Sistem kritis di-exclude karena "terlalu sensitif untuk dites." Internal network out of scope.

Auditor senang. Board senang. Attacker? Nggak peduli scope Anda.

Pentest yang hasilnya selalu "bersih" bukan tanda security yang bagus — itu tanda scope yang salah.

5. Dashboard Hijau yang Menyembunyikan Merah

KPI dipilih karena mudah hijau, bukan karena relevan.

Patch compliance 95% — tapi 5% yang tersisa adalah domain controllers dan database servers. Hijau di dashboard, merah di realita.

Organisasi mengoptimasi metrik yang bisa di-presentasikan, bukan yang melindungi.

Kenapa Theatre Bertahan?

Ini bukan soal kebodohan. Theatre bertahan karena *sistemnya menghargai theatre*.

Incentive CISO yang Rusak

CISO butuh menunjukkan "kemajuan" ke board. Kemajuan yang paling mudah diukur dan dipresentasikan:

- Jumlah kebijakan: naik ✅

- Training completion: 98% ✅

- Tools deployed: 17 ✅

- Compliance status: passed ✅

Semua bisa di-dashboard-kan. Semua bisa di-PowerPoint-kan.

Yang susah di-dashboard-kan:

- Apakah tim bisa detect lateral movement dalam 2 jam?

- Apakah incident responder tahu apa yang harus dilakukan saat ransomware jam 2 pagi?

- Apakah backup benar-benar bisa di-restore?

Jadi organisasi mengoptimasi yang bisa diukur, bukan yang penting.

Auditor Juga Bagian dari Sistem

Audit berbasis checklist memeriksa *keberadaan* kontrol, bukan *efektivitasnya*.

"Apakah ada kebijakan password?" ✅

"Apakah kebijakan itu diterapkan, di-enforce, dan dipatuhi?" — itu pertanyaan yang lebih mahal untuk dijawab.

Standar audit yang rewards *document existence* over *operational evidence* secara tidak langsung mensubsidi theatre.

Manajemen Butuh Rasa Aman

Ketidakpastian itu tidak nyaman. Theatre memberikan ilusi kontrol.

Dan ilusi kontrol itu addictive — karena alternatifnya adalah mengakui bahwa kita tidak tahu seberapa aman kita sebenarnya. Bagi board of directors, pengakuan itu terasa seperti kegagalan.

Padahal sebaliknya: organisasi yang berani mengakui ketidakpastian justru yang paling siap.

Biaya Tersembunyi dari Theatre

Theatre bukan gratis. Ia punya biaya yang jarang dihitung:

Opportunity Cost

Setiap jam yang dihabiskan untuk compliance theatre adalah jam yang tidak dipakai untuk security yang bekerja.

Tim yang sibuk mengisi form audit tidak punya waktu untuk threat hunting. Tim yang fokus ke dashboard metrics tidak sempat melakukan adversary simulation. Waktu itu finite — dan theatre memakannya.

False Confidence

Organisasi yang merasa aman mengurangi investasi di area yang benar-benar butuh perhatian.

"Kita sudah punya policy" menjadi alasan untuk tidak melakukan yang lebih sulit: melatih tim, menguji kontrol, mengakui gap.

Talent Drain

Security professionals yang kompeten tidak mau menghabiskan karir mengisi spreadsheet compliance.

Mereka pergi ke organisasi yang menghargai substansi. Yang tinggal: yang nyaman dengan theatre. Dan itu menciptakan feedback loop — semakin banyak theatre, semakin sedikit orang yang bisa menghentikannya.

Delayed Response

Ketika breach terjadi — dan ia akan terjadi — organisasi yang hidup dalam ilusi butuh waktu lebih lama untuk mengakui, merespons, dan pulih.

Langkah pertama recovery adalah mengakui ada masalah. Theatre membuat pengakuan itu lebih sulit.

Cara Membedakan Theatre dari Security

Satu pertanyaan sederhana: **kalau kita berhenti melakukan ini, apakah risiko kita berubah?**

Kalau jawabannya tidak — atau "mungkin tidak" — Anda sedang melakukan theatre.

Empat tes tambahan:

Test of Removal

Hilangkan kontrol itu selama sebulan. Apa yang terjadi? Kalau nggak ada yang berubah dan nggak ada yang notice, kontrol itu theatre.

Test of Adversary

Apakah kontrol ini akan memperlambat attacker nyata? Atau hanya memperlambat karyawan internal?

Banyak kontrol yang sebenarnya hanya mempersulit orang baik, sementara orang jahat bypass dalam hitungan menit.

Test of Measurement

Apakah kita mengukur *keberadaan* kontrol atau *efektivitasnya*?

"Ada firewall" vs "firewall ini memblok X serangan dengan Y false positive rate per bulan."

Yang pertama theatre. Yang kedua security.

Test of Stress

Bagaimana kontrol ini perform saat krisis?

Kebijakan yang rapi saat normal tapi collapse saat incident = theatre. Security yang bekerja harus bekerja terutama saat tekanan tinggi — karena itu saat ia paling dibutuhkan.

Dari Theatre ke Substansi

Gw nggak bilang buang semua kebijakan dan training. Gw bilang: tanya apakah mereka bekerja.

**Policy harus hidup.** Pendek, relevan, di-update minimal setahun sekali. Kalau tim nggak bisa menjelaskan isinya tanpa buka dokumen, policy itu gagal fungsinya.

**Training harus mengubah perilaku, bukan skor.** Ukur phishing simulation results over time, bukan completion rate. Kalau awareness naik tapi click rate tetap, training Anda theatre.

**Audit harus menguji, bukan mencentang.** Minta auditor simulate serangan, bukan minta dokumen. Evidence-based, bukan document-based. Audit yang sebenarnya berguna itu yang menyakitkan.

**Pentest harus menyakitkan.** Kalau hasilnya selalu "bersih" — scope-nya yang salah, bukan security-nya yang bagus. Beri pentester akses yang realistis. Jangan batasi sampai hasilnya nyaman.

**Dashboard harus jujur.** Tunjukkan merah di mana merah. Board yang hanya lihat hijau tidak bisa membuat keputusan yang tepat.

Yang Tidak Nyaman

Mengakui bahwa sebagian besar aktivitas security kita adalah theatre — itu tidak nyaman.

Tapi ketidaknyamanan itu produktif.

Karena di sisi lain ketidaknyamanan itu ada pertanyaan yang sebenarnya penting: **apa yang benar-benar melindungi kita?**

Jawabannya hampir selalu lebih sederhana — dan lebih sulit — dari yang kita kira.

W01 kita bicara tentang security yang gagal bukan karena hacker. W02 tentang tools yang banyak tapi tidak dijalankan.

Minggu ini, kita lihat bahwa banyak dari apa yang kita sebut "security" sebenarnya adalah pertunjukan.

Minggu depan: kenapa organisasi merasa aman padahal tidak. Spoiler — ilusi ini bukan kecelakaan. Ia didesain.

• Artikel ini bagian dari seri 12 bulan tentang realita cybersecurity di lapangan. Follow untuk update mingguan.*

• Versi ringkas tersedia di [LinkedIn](https://linkedin.com/in/harjulianto).*