Pixa Teknologi
← BlogCybersecurity

Keamanan Akun Google: Bukan Cuma Tanggung Jawab IT

Pixa Teknologi• 20 Juni 2026
Keamanan Akun Google: Bukan Cuma Tanggung Jawab IT

Pernahkah Anda mendapati salah satu karyawan tidak bisa masuk ke akun Google-nya di hari kerja — dan setelah diselidiki, ternyata akun tersebut sudah diakses orang lain sejak beberapa hari sebelumnya? Keamanan akun Google bukan hanya urusan pengguna secara pribadi. Ketika akun itu terhubung ke email bisnis, Google Drive perusahaan, dan dokumen kerja, satu akun yang bocor bisa membuka pintu ke seluruh data operasional tim.

Masalahnya, sebagian besar karyawan masih menganggap keamanan akun sebagai tanggung jawab IT — bukan mereka. Padahal celah terbesar justru sering muncul dari kebiasaan sehari-hari: password yang dipakai ulang, sesi login yang tidak pernah ditutup, atau aplikasi pihak ketiga yang diberi akses tanpa dipikirkan ulang.

Kenapa Akun Google Karyawan Jadi Target

Email bisnis berbasis Google Workspace adalah pintu masuk ke hampir semua alat kerja — Calendar, Meet, Drive, hingga dokumen kontrak dan data klien. Ketika satu akun berhasil disusupi, penyerang tidak hanya dapat membaca email: mereka bisa mengambil alih sesi aktif, mengakses file yang dibagikan, bahkan meneruskan email secara diam-diam ke alamat luar.

Berdasarkan laporan Mandiant M-Trends 2025 yang dikutip dalam Google Cloud Blog, serangan berbasis identitas — termasuk kredensial yang dicuri dan phishing — menyumbang 37% dari total pelanggaran keamanan yang berhasil di tahun 2024. Angka ini bukan abstrak. Artinya lebih dari sepertiga insiden siber yang terjadi tahun lalu bermula dari akun yang tidak cukup terlindungi.

2FA Aktif, Tapi Belum Tentu Aman Penuh

Banyak tim IT sudah mengaktifkan two-factor authentication (2FA) — verifikasi dua langkah yang meminta konfirmasi tambahan selain password — dan merasa urusan selesai. Tapi tunggu dulu, tidak semua metode 2FA punya tingkat perlindungan yang sama.

SMS OTP dan kode dari aplikasi authenticator masih bisa disadap melalui teknik yang disebut real-time phishing — penyerang membuat halaman login palsu yang meneruskan kode masuk secara langsung. Dalam panduan resmi CISA, ditegaskan bahwa hanya metode berbasis FIDO2 — seperti passkey atau physical security key — yang benar-benar tahan terhadap serangan phishing jenis ini.

Untuk konteks bisnis, ini berarti ada hierarki perlindungan yang perlu dipahami: SMS OTP sebagai lapisan dasar yang masih rentan, authenticator app yang lebih baik namun tetap bisa dimanipulasi, dan passkey atau security key fisik sebagai standar tertinggi yang direkomendasikan CISA untuk akun-akun kritikal.

Praktik Terbaik Keamanan Akun Google untuk Tim

Berikut praktik yang perlu diterapkan — bukan hanya oleh admin, tapi oleh setiap anggota tim yang menggunakan akun Google kerja.

Audit sesi aktif secara berkala. Buka menu Kelola Akun Google, lalu masuk ke bagian Keamanan dan periksa daftar perangkat yang sedang aktif menggunakan akun tersebut. Jika ada perangkat asing atau sesi dari lokasi tidak dikenal, segera cabut aksesnya. Kebiasaan ini idealnya dilakukan sebulan sekali.

Tinjau izin aplikasi pihak ketiga. Setiap kali karyawan login ke layanan lain menggunakan "Sign in with Google", aplikasi tersebut mendapat akses ke akun. Tidak semua aplikasi itu masih aman atau masih digunakan. Masuk ke bagian Keamanan, cari daftar aplikasi pihak ketiga, dan hapus akses aplikasi yang sudah tidak dipakai atau tidak dikenal.

Gunakan password unik untuk akun kerja. Password yang sama digunakan di banyak platform adalah salah satu vektor serangan paling umum, disebut credential stuffing. Ketika satu layanan bocor, penyerang akan mencoba kombinasi yang sama di Gmail, Workspace, dan platform lain. Password akun kerja harus unik dan tidak dipakai di tempat lain.

Aktifkan notifikasi aktivitas akun. Google menyediakan notifikasi otomatis untuk login dari perangkat baru atau lokasi tidak biasa. Pastikan fitur ini aktif dan mengarah ke alamat email atau nomor yang benar-benar dipantau, bukan email kerja yang sama dengan akun yang dilindungi.

Peran Admin Google Workspace dalam Keamanan

Untuk perusahaan yang menggunakan Google Workspace, kebijakan keamanan akun bisa dikontrol dari Admin Console. Admin dapat mewajibkan 2FA untuk seluruh pengguna, membatasi akses dari perangkat yang tidak terdaftar, dan memantau aktivitas login mencurigakan dari satu dasbor.

Ini penting karena kebiasaan individual karyawan tidak selalu bisa diandalkan. Kebijakan yang dipaksakan dari level admin jauh lebih konsisten dibanding mengandalkan kesadaran masing-masing orang. Untuk perlindungan lebih lanjut terhadap ancaman berbasis email seperti phishing dan BEC yang menarget akun Google Workspace, solusi seperti Ironscales bekerja di lapisan yang berbeda — mendeteksi dan menghentikan ancaman sebelum sampai ke inbox karyawan.

Jika akses jarak jauh tim juga perlu diamankan, NordLayer dapat menjadi pelengkap untuk memastikan koneksi ke sumber daya perusahaan hanya berasal dari jalur yang terverifikasi.

Pertanyaan yang Sering Diajukan

Apakah mengaktifkan 2FA sudah cukup untuk mengamankan akun Google bisnis?

Belum tentu. 2FA berbasis SMS atau kode OTP masih bisa dieksploitasi melalui teknik phishing tertentu. Untuk akun dengan akses ke data sensitif, metode yang lebih kuat seperti passkey atau security key fisik lebih disarankan, terutama untuk akun admin atau eksekutif.

Seberapa sering harus mengaudit perangkat dan aplikasi yang terhubung ke akun Google?

Idealnya sebulan sekali untuk perangkat aktif, dan setiap kuartal untuk izin aplikasi pihak ketiga. Audit ini tidak memakan waktu lama, cukup lima hingga sepuluh menit per akun, tapi efeknya signifikan untuk menutup celah akses yang tidak disadari.

Apa bedanya keamanan akun Google personal dan akun Google Workspace?

Akun Google Workspace dikelola oleh admin perusahaan, artinya ada lapisan kebijakan yang bisa dipaksakan dari atas. Admin bisa mewajibkan 2FA, membatasi perangkat yang boleh login, dan memantau aktivitas akun seluruh pengguna. Akun personal tidak punya lapisan kontrol ini, sehingga keamanannya sepenuhnya bergantung pada kebiasaan pengguna masing-masing.

Apa yang harus dilakukan jika mencurigai akun Google sudah disusupi?

Segera ganti password, cabut semua sesi aktif dari menu Keamanan, dan tinjau aktivitas login terakhir. Jika menggunakan Google Workspace, hubungi admin untuk melakukan audit menyeluruh dan mempertimbangkan reset paksa dari sisi admin.

Keamanan akun Google bukan proyek sekali selesai. Ancaman terus berkembang, dan kebiasaan kecil yang diabaikan — sesi yang tidak ditutup, aplikasi yang dibiarkan punya akses, password yang dipakai berulang — adalah celah yang paling sering dimanfaatkan penyerang.

Diskusi Kebutuhan

Butuh arahan untuk backup, recovery readiness, atau email security?

Pixa membantu bisnis memetakan kebutuhan sistem email, backup, dan proteksi email secara praktis.

Minta Penawaran