Jangan biarkan pintu Microsoft 365 tertutup setengah: gunakan pandangan "Tuhan" BSM untuk secara akurat mengidentifikasi risiko keamanan

Dalam era di mana risiko digital semakin kompleks, bagaimana perusahaan dapat mendeteksi ancaman keamanan secara dini dan melakukan lompatan dari pertahanan pasif ke manajemen aktif? Microsoft pada akhir tahun 2025 meluncurkan Mode Keamanan Dasar (Baseline Security Mode, selanjutnya disebut Microsoft BSM), yang menjadi arah penting dalam evolusi arsitektur keamanan jaringan perusahaan global.

Sebagai mitra strategis Microsoft, PwC tidak hanya terlibat secara mendalam dalam implementasi awal Microsoft BSM, tetapi juga mengumpulkan pengalaman aplikasi terdepan melalui berbagai skenario praktik. Berdasarkan praktik keamanan arsitektur kompleks mereka sendiri, PwC membantu organisasi mengidentifikasi dan mengkonsolidasikan konfigurasi risiko tinggi dan protokol warisan yang masih digunakan di Microsoft 365 (M365, selanjutnya disebut M365) dan Entra ID, melalui laporan pengaruh dan penilaian ketergantungan serta dampak bisnis, mendorong penguatan dasar secara terkendali, serta menyediakan jalur praktis untuk mengatasi tantangan perlindungan sistem lama dan memperkuat garis pertahanan keamanan.

Untuk itu, kami secara khusus menyusun dan merilis artikel ini sebagai pengantar, bertujuan untuk membagikan wawasan dan ringkasan praktik terdepan kami di bidang Microsoft BSM kepada perusahaan yang sedang atau berencana menggunakan teknologi ini, membantu klien dalam pembangunan keamanan agar lebih cepat dan lebih cerdas.

1. Mengapa “Garis Dasar Keamanan” menjadi semakin mendesak saat ini?

Ancaman jaringan saat ini memasuki tahap baru yang didorong oleh “AI Accelerated”: penyerang memanfaatkan model besar dan alat otomatisasi untuk memindai permukaan eksposur dan menemukan titik lemah dengan lebih cepat dan akurat, serta mencapai target serangan dengan mobilitas yang lebih tinggi dalam lingkungan perusahaan. Kelompok kriminal siber ini lebih mudah menemukan celah dari konfigurasi risiko tinggi dan warisan yang masih digunakan, yang tidak hanya berasal dari sistem lama secara tradisional, tetapi juga dari konfigurasi dan protokol warisan yang masih dipertahankan oleh banyak organisasi di platform identitas Microsoft 365 dan Entra. Ketika konfigurasi risiko tinggi ini digabungkan dengan arsitektur multi-cloud/hibrida, pihak pertahanan sering kali kelelahan mengikuti, sementara penyerang menjadi lebih berani.

Untuk mengungguli lawan seperti ini, perusahaan perlu membangun “Visibilitas Global” dalam lingkungan yang kompleks dan saling bergantung: mencakup tenant cloud dan aplikasi, serta titik kontrol penting di jalur identitas dan akses. Tantangan nyata adalah: “Ketersembunyian” dan “Ketergantungan” dari konfigurasi warisan sangat kuat—mereka mungkin diwariskan berulang kali selama iterasi bertahun-tahun, tetapi kurang adanya mekanisme inventaris dan konsolidasi yang berkelanjutan; jika ritme pembaruan dan penguatan tidak mengikuti, mereka akan menjadi celah yang dimanfaatkan penyerang untuk mengelak dari verifikasi ketat, memperbesar hak akses, atau melakukan lateral dan vertikal movement. Sementara itu, risiko konfigurasi cloud yang menyimpang dan integrasi lintas sistem tetap meluas, dan lawan yang didukung teknologi baru semakin meningkatkan risiko dari masalah ini.

Laporan PwC “2026 Global Digital Trust Insights” juga mengonfirmasi tren ini dari hasil survei: ancaman terkait cloud dianggap sebagai ancaman jaringan utama yang paling kurang dipersiapkan perusahaan; sementara konfigurasi warisan dan rantai pasokan menempati posisi dua teratas dari kerentanan yang dihadapi perusahaan, lebih dari separuh responden mengaku hanya mampu menanggapi serangan terkait secara minimal. Oleh karena itu, perhatian dari berbagai industri mungkin berbeda, tetapi respons yang benar-benar efektif harus kembali ke praktik keamanan dasar—menguatkan garis dasar keamanan agar sistem pertahanan memiliki fondasi yang stabil.

Dalam konteks ini, saat mendorong “Konfigurasi Garis Dasar Keamanan”, organisasi sering menghadapi tantangan utama berikut:

2. Microsoft BSM: Kemampuan “Security-by-default Baseline” yang Diberikan Microsoft

Dalam latar belakang di mana lebih dari 90% perusahaan Fortune 500 telah mengadopsi M365 dan alat bantu Copilot-nya1, Microsoft meluncurkan akhir tahun 2025 produk keamanan baru berbasis M365, Microsoft BSM. Kemampuan ini secara mendalam terintegrasi dalam pusat manajemen M365, sebagai konfigurasi garis dasar keamanan untuk M365 dan sistem identitas Microsoft Entra, yang mengonsolidasikan pengaturan keamanan penting dari berbagai aplikasi dan portal manajemen seperti Office, Exchange, Teams, SharePoint/OneDrive ke dalam satu antarmuka tunggal. Berdasarkan analisis data serangan nyata dari Microsoft, prioritas diberikan pada sejumlah konfigurasi warisan/risk tinggi yang paling sering dimanfaatkan.

Dengan Microsoft BSM, administrator dapat dengan cepat melihat kondisi konfigurasi dan prioritas perbaikan dalam satu dashboard, menggabungkan laporan pengaruh/penilaian simulasi (What-if) terhadap dampak perubahan pada pengguna dan aplikasi, lalu mengaktifkan konfigurasi default keamanan atau memblokir fungsi risiko tinggi secara terpusat melalui “pengelolaan saklar” (switch-based governance).

Fokus utamanya adalah menghilangkan konfigurasi warisan yang banyak dipertahankan di aplikasi M365 dan Microsoft Entra, yang diketahui rentan disalahgunakan oleh penyerang.

Layanan inti Microsoft BSM saat ini

Identitas dan Hak Akses: Mengurangi Tingkat Keberhasilan Serangan Kredensial dan Lateral Movement

Protokol/Token otentikasi lama tetap menjadi salah satu pintu masuk utama serangan. Microsoft BSM menyarankan menonaktifkan protokol lama yang rentan seperti POP (Post Office Protocol), IMAP (Internet Message Access Protocol), SMTP (Simple Mail Transfer Protocol), serta EWS (Exchange Web Services) versi lama yang tidak mendukung MFA (Multi-Factor Authentication) dan akses kondisi, untuk memutus jalur login berisiko tinggi.

Menghentikan protokol otentikasi lama: menonaktifkan akses protokol lama yang tidak mendukung MFA di tingkat protokol seperti POP, IMAP, SMTP, dan EWS versi lama, secara langsung memutus jalur login berisiko tinggi.

Menghentikan prompt otentikasi dasar: memblokir prompt “nama pengguna/kata sandi” tradisional, agar pengguna tidak memasukkan kredensial di jendela yang tidak aman, sehingga mengurangi risiko pencurian kredensial dan phishing.

File dan Kolaborasi: Mengurangi Permukaan Serangan dari Dokumen Berbahaya dan Fitur File Lama

Aplikasi M365 (seperti Word, Excel, PowerPoint) meningkatkan efisiensi, tetapi format file Office lama (misalnya Word .doc) dan kontrol ActiveX yang tersemat membawa risiko keamanan signifikan. Microsoft BSM menyarankan dan dapat memaksa tenant secara bertahap beralih ke format file yang lebih modern dan aman, serta membatasi/menghilangkan perilaku file berisiko tinggi yang mengandung ActiveX, dari sumbernya mengurangi permukaan serangan yang dapat dimanfaatkan.

Setelah mendapatkan izin untuk melihat data diagnosis secara detail, Microsoft BSM juga menyediakan visibilitas granular: misalnya, jumlah pengguna tenant yang masih menggunakan dokumen lama berisi ActiveX dalam 28 hari terakhir, dan berapa kali file tersebut dibuka, membantu administrator melakukan edukasi pengguna dan konsolidasi strategi secara tepat, mempercepat penerapan standar keamanan.

Ruang Rapat dan Perangkat Bersama: Mengembalikan “Aset Buta” ke dalam Kendali

Microsoft BSM menitikberatkan dua praktik terbaik utama dalam skenario perangkat ruang rapat untuk mengurangi risiko penyalahgunaan lingkungan rapat dan kebocoran data:

Mencegah login perangkat dan akun sumber daya yang tidak terkelola ke aplikasi M365: membatasi perangkat non-terkelola dan akun sumber daya (seperti akun ruang rapat) agar tidak langsung masuk ke aplikasi Office, mengurangi pintu masuk penyalahgunaan.

Membatasi akses akun sumber daya Teams Rooms ke dokumen rapat: melarang/mengonsolidasikan akses akun sumber daya perangkat Teams Rooms ke dokumen M365 yang dipresentasikan selama rapat, untuk mencegah konten sensitif diakses atau diunduh tanpa izin.

Implementasi konfigurasi ini secara signifikan meningkatkan keamanan lingkungan ruang rapat dan melindungi data rapat serta informasi sensitif.

Pengantar Fungsi Microsoft BSM

Rencana Masa Depan Microsoft BSM

Peluncuran perdana Microsoft BSM—Microsoft BSM 2025—telah memperkenalkan 20 konfigurasi garis dasar di 5 aplikasi inti. Microsoft Digital membantu dalam verifikasi dan implementasi fitur ini secara luas di perusahaan. Pembaruan fitur berikutnya juga sudah dimulai, dengan skala yang lebih besar, mencakup 46 fitur—lebih dari dua kali lipat dari peluncuran awal. Tim produk Microsoft BSM memperluas cakupan, termasuk: pembatasan protokol yang lebih mendalam, kontrol aplikasi yang lebih luas, dan strategi otentikasi yang lebih granular.

3. Tantangan umum dalam penerapan garis dasar keamanan vs bagaimana Microsoft BSM mengatasinya

Microsoft BSM tidak menggantikan sistem keamanan lengkap (seperti deteksi ancaman, respons, tata kelola data), melainkan memprioritaskan penguatan “fondasi”: dengan konfigurasi default yang lebih kuat untuk mengurangi pintu masuk yang dapat dimanfaatkan penyerang, serta mendukung perusahaan dalam mempercepat perbaikan melalui simulasi pengaruh dan data diagnosis yang relevan.

Tantangan dalam penerapan garis dasar keamanan & kemampuan Microsoft BSM

4. Skema penggunaan Microsoft BSM yang umum

Menggabungkan kebutuhan perlindungan keamanan dalam seluruh proses digitalisasi kantor, kemampuan Microsoft BSM dapat secara tepat diterapkan pada berbagai skenario bisnis dan operasional inti. Solusi perlindungan yang dirancang untuk berbagai risiko keamanan tinggi dalam skenario kantor mampu memberikan perlindungan efektif di tahap akun, otentikasi, skrip, transmisi, kontrol, dan login perangkat, serta sangat sesuai dengan tantangan pengendalian keamanan harian perusahaan.

5. Perbedaan Microsoft BSM dengan produk keamanan Microsoft lainnya: Menghindari kesalahan umum

Banyak perusahaan telah mengimplementasikan Microsoft Secure Score, Microsoft Entra Access, layanan Microsoft Defender, dan berbagai skrip garis dasar, sehingga sering bertanya “Apakah Microsoft BSM duplikasi?” Saran kami adalah memahami perbedaan posisi dan fungsi, agar tidak terjadi tumpang tindih.

Perbandingan inti produk keamanan Microsoft

6. Dari “Konfigurasi” ke “Implementasi”: Pengalaman implementasi PwC sendiri

Karena skala besar dan arsitektur kompleks, PwC juga menghadapi risiko potensial dari konfigurasi warisan yang terus-menerus diwariskan dan berpotensi menjadi pintu masuk serangan baru seiring perubahan ancaman. Oleh karena itu, berkat kemitraan strategis PwC dan Microsoft dalam Inner Circle Partnership, serta kemampuan kolaborasi dan praktik yang selaras, kami menjadi salah satu organisasi pertama di dunia yang menguji coba Microsoft Baseline Security Mode (BSM). Pendekatan ini dilakukan secara “verifikasi awal dan penguatan awal” untuk menyediakan metodologi dan jalur implementasi yang dapat digunakan kembali untuk promosi skala besar ke perusahaan.

Apa yang kami peroleh dari pilot ini?

Pertama, Microsoft BSM menyediakan antarmuka kontrol dan manajemen yang lebih terpusat dan operasional. Sebelumnya, konfigurasi serupa tersebar di berbagai konsol dan lokasi, membutuhkan pengelolaan dan pengaturan satu per satu; melalui Microsoft BSM, kami dapat mengidentifikasi konfigurasi warisan yang masih digunakan secara terpusat dalam satu tampilan, dan jika perlu, dengan strategi “saklar” sederhana, mengkonsolidasikan dan memblokir kemampuan risiko tinggi secara cepat secara global, mengubah risiko dari “pengelolaan titik” menjadi “pengelolaan sistematis”.

Perlu ditekankan bahwa Microsoft BSM bukanlah daftar konfigurasi yang bisa diikuti secara otomatis. Dalam pilot, kami mengamati bahwa sebagian besar saran berpengaruh besar terhadap lingkungan bisnis saat ini: setelah diaktifkan, biasanya akan mempengaruhi ketergantungan aplikasi, metode otentikasi, dan protokol lama yang digunakan. Berdasarkan hal ini, kami memasukkan saran tersebut ke dalam proses manajemen perubahan dan penilaian risiko yang sudah ada, menyusun peta jalan perbaikan bertahap: secara rutin meninjau data pengaruh dari Microsoft BSM, mengidentifikasi pengguna dan aplikasi yang mungkin terdampak, serta berkoordinasi dengan pemilik bisnis mengenai solusi alternatif, jendela transisi, dan kebijakan pengecualian yang disesuaikan, agar saran dapat dilaksanakan secara terkendali dan lancar, sekaligus meningkatkan keamanan dasar tanpa mengorbankan kontinuitas bisnis.

Nilai utama kami adalah mampu menerjemahkan pemahaman terhadap proses bisnis dan ketergantungan sistem perusahaan ke dalam peta jalan perbaikan, ritme perubahan, dan mekanisme tanggung jawab yang dapat dieksekusi, sehingga akhirnya meningkatkan keamanan dasar sekaligus menjaga kontinuitas bisnis.

Bagaimana kami mengoperasikan ini?

Meskipun Microsoft BSM dapat langsung menghasilkan data yang diperlukan, kami menyadari bahwa pengguna membutuhkan solusi implementasi yang jelas dan dapat dilaksanakan. Berdasarkan pengalaman praktis, kami mengembangkan beberapa kemampuan pendukung:

Solusi otomatisasi: alat dan dashboard khusus yang membantu organisasi memahami data Microsoft BSM, mengklasifikasikan prioritas perbaikan, dan melacak kemajuan pengurangan risiko;

Pusat dukungan siklus: menyediakan sumber daya dan dukungan teknis dari perencanaan hingga implementasi;

Manual operasi standar: menyusun prosedur operasional berbasis praktik terbaik untuk mendukung pelaksanaan saran Microsoft BSM secara efisien.

Berdasarkan solusi dan pengalaman ini, PwC dapat membantu perusahaan mengubah fitur keamanan Microsoft BSM menjadi hasil nyata, menutup siklus dari wawasan data hingga pengendalian risiko dan manajemen perubahan.

Gambaran layanan implementasi Microsoft BSM PwC

Accelerator BSM yang dikembangkan PwC mengumpulkan laporan pengaruh yang tersebar dan harus diunduh satu per satu dari Microsoft BSM, serta menggabungkan metadata pengguna dan aplikasi dari Microsoft Entra, mengubah informasi pengaruh yang awalnya hanya berisi ID aplikasi dan tanpa penanggung jawab/afiliansi bisnis menjadi sebuah diagram yang memuat garis bisnis, aplikasi, penanggung jawab, dan cakupan pengaruh. Dengan demikian, tim keamanan dapat memetakan dampak pengaturan berdasarkan departemen bisnis, aplikasi, dan penanggung jawab, menghindari komunikasi berulang di berbagai kontrol aplikasi yang sama; sekaligus, dengan pelacakan perubahan yang visual, secara berkelanjutan mengukur kemajuan pengurangan risiko dan mendukung pelaporan periodik ke manajemen, sehingga implementasi Microsoft BSM tidak lagi sekadar konfigurasi satu kali, melainkan menjadi proyek yang “kolaboratif, dapat dilacak, dan berkelanjutan”.

7. Penutup: Mengubah “Keamanan Default” menjadi bahasa bersama organisasi dengan Microsoft BSM

Perusahaan kini dapat dengan cepat mengidentifikasi konfigurasi dan protokol warisan yang rentan. Sebagai contoh, Microsoft BSM menyediakan mekanisme pencegahan aktif yang mencegah penggunaan komponen risiko tinggi dari sumbernya. Seiring dengan semakin ketatnya pengawasan dari auditor dan regulator terhadap perlindungan keamanan perusahaan, investasi dalam langkah-langkah pertahanan aktif ini tidak hanya memenuhi persyaratan kepatuhan, tetapi juga dapat menjadi keunggulan strategis perusahaan.

Dalam lingkungan yang sangat terhubung saat ini, kekurangan keamanan satu perusahaan dapat memicu risiko sistemik. Investasi dalam langkah-langkah pertahanan aktif seperti Microsoft BSM sangat penting—perlindungan keamanan dasar bukan lagi urusan internal perusahaan semata, tetapi tanggung jawab bersama seluruh industri. Kekuatan keamanan ekosistem secara keseluruhan bergantung pada kekokohan setiap bagian; hanya melalui kolaborasi seluruh ekosistem, peningkatan garis dasar keamanan secara menyeluruh dapat terwujud.

Tim keamanan siber PwC yang mendalam di bidang keamanan jaringan, kepatuhan data, dan kepercayaan digital, berfokus pada konsep dan praktik keamanan terkait Microsoft BSM, menggabungkan pengalaman global dan kemampuan lokal, untuk menyediakan layanan keamanan seluruh siklus hidup dari perencanaan strategis hingga operasional, membantu perusahaan memperkuat fondasi keamanan dalam transformasi digital.