4 Konfigurasi Google Workspace yang Jarang Diperhatikan

Akhir Desember 2025 terjadi sebuah insiden yang membuat banyak tim IT terkejut. Serangan phishing skala besar menyasar sekitar 3.200 organisasi melalui 9.394 email dalam waktu dua minggu. Yang membuat kasus ini berbeda dari phishing pada umumnya adalah sumber pengirimannya: email tersebut dikirim langsung dari server Google yang sah.

Akibatnya, seluruh mekanisme filter keamanan standar gagal mendeteksi ancaman ini. SPF, DKIM, dan DMARC tetap lolos karena email memang berasal dari infrastruktur Google sendiri. Ini menandai perubahan besar dalam cara penyerang beroperasi.

Email dengan salah eja mencolok dan link mencurigakan kini semakin jarang digunakan. Penyerang justru memanfaatkan infrastruktur yang dipercaya setiap hari, mengeksploitasi OAuth secara lebih canggih, dan menggunakan AI untuk menyusun email phishing dengan kualitas bahasa yang sering kali lebih rapi daripada email marketing perusahaan.

Tren ini tercermin jelas dari data berikut:

• Serangan terhadap akun Google Workspace meningkat 127% sepanjang tahun lalu
• Phishing berbasis AI naik 180%
• 89% serangan credential stuffing masih menargetkan protokol lama yang seharusnya sudah dinonaktifkan

Artikel ini membahas empat konfigurasi Google Workspace yang berdampak signifikan terhadap keamanan, namun masih sering terlewat dalam proses setup awal.

Mengapa Banyak Organisasi Salah Paham Soal Keamanan Google Workspace

Dari berbagai proyek implementasi dan audit keamanan, pola yang sama hampir selalu muncul. Banyak organisasi berasumsi bahwa Google sudah menangani seluruh aspek keamanan secara otomatis.

Argumen yang paling sering terdengar biasanya seperti ini:

“Google sudah memblokir 99,9% spam dan phishing, jadi kami tidak perlu proteksi tambahan.”

Memang benar Gmail memblokir miliaran spam dan ratusan juta email phishing setiap hari. Namun, 0,1% yang lolos dari volume sebesar itu tetap merupakan jumlah yang signifikan. Bagi organisasi dengan trafik email tinggi, angka ini bisa berarti ratusan ancaman serius setiap bulan. Dan serangan yang berhasil lolos umumnya bukan serangan amatiran, melainkan serangan yang dirancang secara khusus.

Kesalahpahaman berikutnya adalah anggapan bahwa penggunaan MFA otomatis berarti aman.

“Semua karyawan sudah pakai MFA, berarti sudah terlindungi.”

CISA memang menyebutkan bahwa MFA membuat akun 99% lebih aman. Namun, detail penting yang sering terlewat adalah bahwa jenis MFA sangat menentukan efektivitasnya. SMS memiliki tingkat bypass sekitar 23%, sementara security key FIDO2 hanya sekitar 1%. Ini bukan selisih kecil, melainkan perbedaan antara akun yang relatif aman dan akun yang mudah diambil alih.

Kesalahpahaman paling berbahaya adalah menganggap pengaturan default Google Workspace sudah cukup aman. Gartner mencatat lebih dari 80% perusahaan mengalami insiden akibat kesalahan konfigurasi cloud. Alasannya sederhana: default Google Workspace dioptimalkan untuk kolaborasi, bukan keamanan maksimal. Data menunjukkan 99% masalah keamanan cloud adalah tanggung jawab pelanggan, bukan penyedia platform.

MFA Bukan Sekadar Checklist Compliance

Banyak organisasi merasa percaya diri karena semua karyawan sudah menggunakan MFA. Namun setelah dilakukan audit, sering kali ditemukan bahwa metode yang digunakan masih didominasi verifikasi SMS.

Riset Google menunjukkan bahwa 2 Step Verification mampu memblokir 100% serangan bot otomatis, 96% phishing massal, dan 76% serangan yang terarah. Namun efektivitas ini tetap sangat bergantung pada metode autentikasi yang dipilih.

SIM swapping kini berkembang menjadi industri kriminal tersendiri. Kasusnya meningkat 45% tahun lalu, dengan waktu rata-rata hanya 2,3 jam dari SIM berhasil diambil alih hingga akun sepenuhnya diretas. Tidak mengherankan jika 67% target SIM swapping adalah staf keuangan dan para eksekutif.

Perbandingan tingkat bypass berbagai metode MFA:

• SMS sekitar 23%
• Authenticator App berbasis TOTP sekitar 8%
• Google Prompt sekitar 3%
• Security Key FIDO2 sekitar 1%

Untuk akun berisiko tinggi seperti super admin, level C-suite, dan tim keuangan, Google menyediakan Advanced Protection Program. Program ini mewajibkan penggunaan security key, membatasi aplikasi pihak ketiga, memperketat email scanning, dan memperkuat proses account recovery. Hasilnya, tingkat keberhasilan phishing turun mendekati nol.

Protokol Lama yang Masih Menjadi Celah

Temuan paling umum dalam audit keamanan adalah masih aktifnya protokol lama seperti IMAP, POP, dan SMTP basic authentication. Sebanyak 81% serangan credential stuffing menargetkan protokol ini, dan organisasi yang masih menggunakannya memiliki risiko kompromi 340% lebih tinggi.

Bahkan ketika MFA sudah aktif, legacy authentication tetap dapat melewati proteksi tersebut. Analogi sederhananya: pintu depan dilapisi pengamanan berlapis, tetapi pintu belakang hanya dikunci secara minimal.

Alasan protokol ini masih aktif biasanya karena ketergantungan pada aplikasi lama, kurangnya visibilitas, atau kekhawatiran akan gangguan produktivitas. Padahal mayoritas aplikasi modern sudah mendukung OAuth. Organisasi yang menonaktifkan legacy authentication melaporkan pengurangan 89% attack surface sekaligus peningkatan visibilitas terhadap aplikasi lama yang sebelumnya tidak terdeteksi.

Keamanan Email di Era AI

Insiden yang terjadi menunjukkan bahwa penyerang kini beroperasi di level yang berbeda.

Email dari alamat Google yang legitimate dapat lolos seluruh mekanisme autentikasi, namun tetap mengarahkan korban ke halaman credential harvesting. Data menunjukkan bahwa 40% serangan Business Email Compromise kini menggunakan konten berbasis AI dengan kualitas bahasa yang sangat natural.

Google Workspace menyediakan fitur seperti Security Sandbox untuk attachment serta Spoofing Protection untuk berbagai skenario impersonasi. Mengaktifkan seluruh proteksi ini dapat mengurangi hingga 60% phishing yang berhasil.

Selain itu, implementasi DMARC dengan policy reject terbukti menurunkan 75% serangan impersonasi brand sekaligus meningkatkan deliverability email legitimate.

OAuth sebagai Perimeter Keamanan Baru

OAuth diprediksi menjadi salah satu vektor serangan utama di tahun ini.

Melalui teknik incremental consent, aplikasi yang tampak tidak berbahaya secara bertahap meminta akses tambahan hingga akhirnya memperoleh akses penuh ke email dan Drive. Yang berbahaya, akses ini tetap aktif meskipun password pengguna sudah diganti.

Indikasi permission Gmail yang perlu diperhatikan:

• gmail.readonly relatif aman
• gmail.compose memiliki risiko sedang
• gmail.modify dan gmail.full merupakan risiko sangat tinggi

Hal serupa juga berlaku untuk Google Drive. Organisasi yang menerapkan app whitelisting melaporkan penurunan 70% insiden keamanan terkait OAuth.

Kesimpulan

Pengaturan default sudah tidak lagi memadai untuk menghadapi ancaman modern.

Empat area utama yang dibahas—MFA yang kuat, penonaktifan protokol lama, penguatan keamanan email, dan kontrol ketat terhadap OAuth—bukan lagi opsi tambahan, melainkan kebutuhan dasar.

Keamanan bukan tentang tidak pernah ditembus.
Keamanan adalah tentang membuat serangan menjadi sulit, mahal, dan cepat terdeteksi.

Dengan konfigurasi yang tepat, organisasi dapat secara signifikan menurunkan risiko sekaligus membangun pertahanan keamanan yang lebih matang dan berkelanjutan.