Hanya 1 dari 5 Perusahaan Yang Memiliki AI maturity

Laporan OpenText dan Ponemon Institute (Maret 2026) menunjukkan satu pola yang semakin jelas: adopsi AI sudah meluas, tetapi kesiapan keamanan dan governance belum berkembang dengan kecepatan yang sama.

Hanya sekitar 21% perusahaan yang dapat dikategorikan telah mencapai AI maturity dalam konteks cybersecurity. Dalam definisi ini, maturity bukan sekadar penggunaan AI, tetapi kondisi di mana AI sudah terintegrasi dalam proses keamanan dan risikonya terus dievaluasi secara berkelanjutan. Sebaliknya, sekitar 79% masih berada pada tahap di mana AI sudah digunakan dalam sistem, tetapi kontrol terhadap risiko belum benar-benar terbentuk.

Ini menunjukkan bahwa banyak perusahaan tidak lagi berada di fase eksplorasi. AI sudah menjadi bagian dari workflow. Namun, cara mengelola dan mengamankannya belum sepenuhnya siap.

Adopsi AI Melampaui Governance

Banyak perusahaan sudah mengadopsi Generative AI, bahkan mulai masuk ke use case yang lebih kompleks seperti agentic systems. Namun, governance yang menyertainya belum berkembang dengan kecepatan yang sama.

Hanya sekitar 43% yang benar-benar menerapkan pendekatan risk-based strategy untuk mengelola sistem AI. Artinya, lebih dari separuh masih menjalankan AI tanpa kerangka yang jelas untuk mengidentifikasi dan memitigasi risiko, baik dari sisi keamanan, bias, maupun compliance.

Dalam praktiknya, hal ini sering terlihat dari bagaimana AI langsung dihubungkan ke berbagai sumber data, seperti dokumen internal, data pelanggan, atau knowledge base, tanpa klasifikasi dan pembatasan akses yang jelas. AI tetap berjalan, tetapi konteks data yang digunakan tidak sepenuhnya terkontrol.

Tantangan Utama Ada pada Control, Bukan Teknologi

Tools dan platform AI saat ini sudah relatif matang dan mudah diakses. Banyak perusahaan tidak mengalami kesulitan untuk mengimplementasikan AI dalam workflow mereka.

Namun, tantangan utama muncul setelah implementasi, terutama dalam bagaimana sistem tersebut dikendalikan.

AI, khususnya GenAI dan agentic systems, tidak bekerja secara deterministik. Output yang dihasilkan bergantung pada data dan konteks, sehingga perilakunya tidak selalu bisa diprediksi secara penuh. Ketika data yang digunakan tidak memiliki boundary yang jelas, baik dari sisi akses, kualitas, maupun konteks, maka kontrol terhadap sistem menjadi terbatas.

Dalam kondisi seperti ini, sistem tetap berjalan secara normal dari sisi teknis, tetapi potensi risiko meningkat karena tidak ada visibilitas yang cukup terhadap bagaimana keputusan dihasilkan.

Risiko Meningkat Seiring Skala dan Data Exposure

Ketika AI mulai digunakan dalam skala yang lebih luas, jumlah data yang terlibat ikut meningkat.

Sistem tidak lagi hanya mengakses satu sumber, tetapi menggabungkan berbagai data dari berbagai layer, operasional, pelanggan, hingga eksternal. Dalam kondisi seperti ini, kesalahan kecil dalam data dapat berdampak lebih luas.

Misalnya, data yang tidak terverifikasi atau bias dalam input dapat menghasilkan output yang tidak akurat, yang kemudian digunakan dalam proses lain. Dalam sistem yang saling terhubung, dampak tersebut tidak berhenti di satu titik, tetapi dapat menyebar dengan cepat.

Tidak mengherankan jika banyak perusahaan mulai melihat AI sebagai faktor yang justru menambah kompleksitas dalam aspek security dan compliance, bukan menguranginya.

Mengapa Gap Ini Terus Terjadi

Salah satu faktor utama adalah tekanan untuk bergerak cepat.

AI diposisikan sebagai enabler untuk efisiensi dan pertumbuhan, sehingga implementasi sering menjadi prioritas utama. Sementara itu, membangun governance dan security framework membutuhkan waktu, sumber daya, dan koordinasi lintas fungsi.

Akibatnya, banyak perusahaan berada dalam kondisi di mana AI sudah berjalan lebih dulu, sementara mekanisme control baru menyusul kemudian. Ketika AI sudah terhubung ke berbagai sistem dan data, menambahkan kontrol di tahap akhir menjadi jauh lebih kompleks.

Pola ini terus berulang: deploy lebih dulu, governance menyusul belakangan.

AI Perlu Dilihat sebagai Masalah Data dan Control

Jika melihat temuan ini, AI tidak bisa lagi diperlakukan sebagai tools tambahan.

Dalam banyak implementasi, AI sudah menjadi layer yang menghubungkan berbagai sumber data dan sistem. Artinya, control terhadap AI pada dasarnya adalah control terhadap bagaimana data digunakan.

Perusahaan perlu memiliki visibilitas yang jelas terhadap data apa yang diakses oleh AI, bagaimana data tersebut diproses, dan dalam konteks apa digunakan. Tanpa itu, sulit untuk memastikan bahwa sistem tetap berada dalam batas yang aman.

Di sinilah AI maturity menjadi pembeda. Bukan hanya tentang kemampuan mengadopsi teknologi, tetapi kemampuan untuk mengelola data dan risiko secara berkelanjutan.

Penutup

Laporan OpenText–Ponemon menegaskan bahwa kesenjangan antara adopsi AI dan kesiapan keamanan sudah terjadi di banyak perusahaan. Sebagian besar sudah menggunakan AI, tetapi belum semuanya memiliki fondasi yang cukup untuk mengelola data dan risiko yang dibawanya secara berkelanjutan.

Pada akhirnya, AI maturity bukan hanya tentang seberapa luas teknologi digunakan, tetapi seberapa baik sistem, dan data yang menggerakkannya, dapat dikendalikan.

Di titik ini, pertanyaannya bukan lagi apakah AI sudah digunakan, tetapi apakah sistem yang menggunakannya sudah cukup siap untuk diamankan.