---
url: 'https://www.corbado.com/id/blog/kepemilikan-ciam'
title: 'Memikirkan Kembali Kepemilikan CIAM di Perusahaan'
description: 'Mengapa kepemilikan identitas pelanggan berpindah antara CISO, CTO, CPO, tim penipuan dan pertumbuhan - dan biaya dari kepemilikan CIAM yang terfragmentasi bagi perusahaan modern.'
lang: 'id'
author: 'Vincent Delitz'
date: '2026-05-19T14:53:22.154Z'
lastModified: '2026-05-20T06:04:24.432Z'
keywords: 'siapa pemilik CIAM, kepemilikan CIAM, struktur organisasi tim identitas, tata kelola identitas, pemilik program CIAM'
category: 'Passkeys Strategy'
---

# Memikirkan Kembali Kepemilikan CIAM di Perusahaan

## Key Facts

- Kepemilikan CIAM **ditentukan secara implisit, bukan dirancang**. CISO, CTO, CPO,
    tim penipuan dan tim pertumbuhan masing-masing mengoptimalkan metrik yang berbeda, dan
    mereka yang paling vokal akan menang. - Pasar [CIAM](ciam) global tumbuh dari **USD
    8,12 miliar pada tahun 2023** menuju **USD 26,72 miliar pada tahun 2030** (**17,4%
    CAGR**), namun sebagian besar perusahaan masih belum memiliki pemilik tunggal yang
    akuntabel. - Tidak ada lapisan **analitik autentikasi bersama** di antara log backend,
    telemetri klien, sinyal penipuan dan data keamanan, sehingga setiap fungsi melindungi
    bagiannya sendiri dan memblokir perbaikan lintas fungsi. - Kepemilikan yang ambigu
    terlihat sebagai **peluncuran kunci sandi yang mandek pada tingkat adopsi 5–15%**,
    alur pemulihan yang terputus dan respons lambat terhadap masalah di sisi klien. -
    Industri membentuk jawabannya: **e-commerce memperlakukan CIAM sebagai konversi**,
    **perbankan memperlakukannya sebagai keamanan dan kepatuhan**, dan sektor publik
    memperlakukannya sebagai kemudahan audit. - **IAM tenaga kerja dan IAM pelanggan
    berada di tim yang terpisah** - primitif identitasnya sama, namun pengguna, perangkat,
    KPI dan toleransinya terhadap gesekan berbeda. - **Kartu skor CIAM dengan lima
    metrik** bersama menutup celah tersebut: keberhasilan login berdasarkan kohort,
    waktu-menuju-tindakan-terautentikasi-pertama, jangkauan kunci sandi vs. penggunaan,
    keberhasilan alur pemulihan, pengabaian berdasarkan metode autentikasi. - Tidak ada
    **tempat yang sepenuhnya benar untuk CIAM** - yang penting adalah kepemilikan yang
    eksplisit, dependensi yang jelas dan satu kartu skor bersama.

## 1. Pendahuluan

Tanyakan kepada sepuluh perusahaan siapa yang memiliki identitas pelanggan atau konsumen
(CIAM) dan Anda akan mendapatkan sepuluh jawaban yang berbeda. Terkadang kepemilikan
berada di tangan [CISO](https://www.corbado.com/glossary/ciso). Terkadang di tangan CTO, karena CIAM harus
diintegrasikan langsung ke dalam aplikasi, situs web dan API yang mendukung produk.
Terkadang berada di tangan CPO. Terkadang tim penipuan mengambil alih secara bertahap
karena tidak ada orang lain yang melihat gambaran keseluruhannya. Seringkali tidak ada
pemilik sama sekali dan sistem dijaga tetap hidup oleh insinyur DevOps yang mewarisinya
setelah tiga kali reorganisasi.

[Gartner CIAM Magic Quadrant](https://www.gartner.com/en/documents/4018879) membagi IAM
pelanggan ke dalam lima keranjang fungsional - pendaftaran,
[autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password), otorisasi, layanan mandiri
dan analitik - yang hampir tidak pernah bisa dipetakan dengan rapi ke satu tim tunggal.
Menurut
[Grand View Research](https://www.grandviewresearch.com/industry-analysis/customer-identity-access-management-ciam-market-report),
pasar CIAM global bernilai USD 8,12 miliar pada tahun 2023 dan diperkirakan akan mencapai
USD 26,72 miliar pada tahun 2030, dengan tingkat pertumbuhan tahunan majemuk 17,4%.
Masalah kepemilikan berkembang seiring dengan nilai investasi tersebut.

CIAM adalah salah satu program lintas fungsi yang paling banyak dijalankan oleh perusahaan
B2C. CIAM berada di persimpangan [keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android),
rekayasa, produk, penipuan dan pertumbuhan, dan masing-masing fungsi tersebut
mengoptimalkan metrik yang berbeda. Kepemilikan menentukan metrik mana yang akan menang
saat terjadi konflik. Kepemilikan yang ambigu berarti tidak ada yang menang, dan program
identitas pun terkatung-katung.

Artikel ini memikirkan kembali kepemilikan CIAM untuk perusahaan modern: profil pemilik
umum, bagaimana industri membentuk jawabannya, mengapa data yang terfragmentasi dan budaya
"bukan masalah saya" membuat pertanyaan ini tetap terbuka dan bagaimana model operasi
bersama bekerja saat restrukturisasi tidak menjadi pilihan.

### 1.1 Pertanyaan yang dijawab oleh Artikel ini

Dalam artikel ini, kita akan membahas pertanyaan-pertanyaan berikut:

1. Mengapa kepemilikan CIAM sering kali ambigu di sebagian besar perusahaan dan apa dampak
   biaya dari ambiguitas tersebut?
2. Siapa saja pemilik umum CIAM dan bagaimana masing-masing dari mereka mengoptimalkan
   program secara berbeda?
3. Mengapa kepemilikan yang terfragmentasi sering kali berkorelasi dengan kurangnya
   lapisan [analitik autentikasi](authentication-analytics-playbook)?
4. Bagaimana konteks industri (e-commerce vs. [perbankan](passkeys-for-banking) vs. B2C
   yang diatur) mengubah jawabannya?
5. Di manakah dampak kepemilikan yang terbagi paling terasa?
6. KPI CIAM mana yang tidak dimiliki sepenuhnya oleh siapa pun namun dibutuhkan oleh
   setiap tim?
7. Seperti apa kartu skor CIAM bersama dan bagaimana Anda menerapkannya tanpa
   restrukturisasi?

## 2. Masalah Lempar Koin

### 2.1 Mengapa CIAM adalah Program Lintas Fungsi Utama Anda

Identitas pelanggan dan konsumen menyentuh segalanya. Ia menentukan apakah pengguna dapat
membeli, memperbarui, memulihkan akses, atau mencapai fitur yang diatur. Kantor
[CISO](https://www.corbado.com/glossary/ciso) peduli karena setiap peristiwa
[autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) adalah peristiwa
[keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android). Kantor CTO peduli karena CIAM
harus diintegrasikan ke dalam aplikasi, situs web dan API, dan setiap perubahan pada login
diluncurkan bersamaan dengan kode produk yang sebenarnya. Kantor CPO peduli karena setiap
peristiwa [autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) merupakan
[peristiwa konversi](authentication-analytics-playbook). Tim penipuan peduli karena setiap
[autentikasi tambahan (step-up)](step-up-authentication) adalah sinyal penipuan. Tim
pertumbuhan peduli karena personalisasi bergantung pada identifikasi pengguna. Tidak ada
sistem lain yang memiliki lima pemilik sah secara bersamaan.

### 2.2 Biaya Kepemilikan yang Ambigu

Biayanya terlihat jelas pada [peluncuran kunci sandi](passkey-adoption-business-case).
Implementasi yang mandek pada [adopsi](passkey-day-2-problems) 5% hingga 15% hampir selalu
memiliki satu kesamaan: tidak ada pemilik tunggal yang memegang peluncuran secara
keseluruhan dari awal hingga akhir. Tim
[keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android) mendanai proyek percontohan, produk
memiliki UI, IT memiliki IDP, tim penipuan menangani step-up dan tidak ada yang memiliki
dorongan terhadap kohort yang sebenarnya mendorong pendaftaran. Program ini bergerak
dengan kecepatan pemilik yang paling lambat.

[FIDO Alliance 2024 Online Authentication Barometer](https://fidoalliance.org/online-authentication-barometer/)
menemukan bahwa pemahaman tentang kunci sandi naik menjadi 57% di seluruh dunia, dan 42%
responden yang familier dengan kunci sandi telah mengaktifkannya pada setidaknya satu
akun. Celah antara kesadaran dan pengaktifan adalah di mana kepemilikan CIAM yang ambigu
paling terlihat secara nyata: teknologinya berfungsi, namun peluncurannya tidak. Seperti
yang diungkapkan analis Gartner David Mahdi dalam konteks
[konvergensi disiplin IAM](https://www.gartner.com/en/newsroom/press-releases/2022-11-21-gartner-identifies-top-trends-in-ciam-solution-design),
"organisasi harus memikirkan kembali arsitektur IAM mereka untuk mengatasi desentralisasi
identitas dan manajemen akses yang terus berkembang". Tanpa seorang pemilik, pemikiran
ulang ini tidak akan terjadi.

### 2.3 Masalah Analitik yang Terputus

Salah satu alasan begitu banyak tim akhirnya memegang andil dalam CIAM adalah karena tidak
ada alat [analitik autentikasi](authentication-analytics-playbook) bersama dari awal.
Diagram di bawah ini menunjukkan polanya: empat sistem memegang empat bagian perjalanan
autentikasi dan tidak ada yang duduk di atas mereka untuk menggabungkan sinyal-sinyal
tersebut.

Pedoman [identitas digital](https://www.corbado.com/id/blog/digital-credentials-api)
[NIST Special Publication 800-63-4](https://pages.nist.gov/800-63-4/) secara eksplisit
menyerukan "evaluasi berkelanjutan" dari jaminan [autentikator](authenticator), yang tidak
mungkin dilakukan tanpa pandangan peristiwa ujung-ke-ujung. Pada praktiknya hanya sebagian
kecil program B2C yang memiliki pandangan tersebut:
[2024 Ping Identity Consumer Survey](https://www.pingidentity.com/en/resources/blog/post/global-consumer-survey-what-customers-really-think-about-their-online-identity.html)
menemukan bahwa 63% konsumen akan mengabaikan akun setelah dua upaya login yang buruk,
yang merupakan metrik yang bahkan jarang dilacak oleh tim CIAM, karena data yang
diperlukan untuk melacaknya berada di tiga sistem yang berbeda.

Setiap pemilik kemudian melindungi bagian mereka masing-masing. Sebagian dari ini adalah
masalah anggaran - tim yang membayar data tersebut merasa mereka berhak mengendalikan.
Sebagian karena pengungkit - data adalah cara termudah untuk menunjukkan nilai dalam
ulasan lintas fungsi. Dampak praktisnya adalah bahkan ketika masalah CIAM mencakup keempat
sistem, tidak ada satu orang pun yang dapat melihatnya dari awal hingga akhir. Lapisan
[observabilitas autentikasi](authentication-observability) khusus meniadakan alasan itu
dan biasanya memicu perbincangan kepemilikan yang tertunda.

## 3. Pemilik Umum

Lima fungsi secara rutin mengklaim hak atas CIAM, dan masing-masing fungsi mengoptimalkan
metrik yang berbeda. Perbandingan di bawah ini merangkum apa yang menjadi ukuran dari
setiap pola dasar dan di mana letak kelemahan atau titik buta mereka.

### 3.1 Kantor CISO

Mengoptimalkan untuk: tingkat penipuan, cakupan MFA, tingkat akun yang diretas dan temuan
audit. Memperlakukan CIAM sebagai kendali keamanan. Kekuatan: KPI yang jelas dan otoritas
anggaran di bawah tekanan peraturan
([DORA](https://www.digital-operational-resilience-act.com/),
[NIS2](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive) atau
[NIST 800-63](nist-passkeys)). Titik buta: dampak konversi dari gesekan, biaya dukungan
dari alur yang rusak, dan pengalaman dari sekumpulan besar pengguna yang perangkatnya
rusak secara diam-diam.

### 3.2 Kantor CTO

Mengoptimalkan untuk: upaya integrasi, keandalan platform, kualitas SDK, kecepatan rilis
dan biaya rekayasa. Memperlakukan CIAM sebagai masalah integrasi produk karena login
adalah kode yang diluncurkan bersama aplikasi, situs web, dan API. Kekuatan: kedekatan
dengan produk, kepemilikan SDK sisi klien, kemampuan untuk memperbaiki alur yang rusak
dengan cepat. Titik buta: nuansa regulasi, kompromi penipuan dan kebersihan kredensial
jangka panjang setelah integrasi telah diluncurkan. CIO tampil dalam peran ini di
perusahaan [sektor publik](passkeys-for-public-sector) dan TI yang sangat tersentralisasi,
namun di sebagian besar bisnis yang berhadapan dengan konsumen, kantor CTO adalah kandidat
yang lebih cocok.

### 3.3 Kantor CPO atau Produk

Mengoptimalkan untuk: [konversi login](login-friction-kills-conversion), tingkat aktivasi,
keberhasilan pemulihan dan waktu-menuju-nilai-pertama. Memperlakukan CIAM sebagai produk.
Kekuatan: ketegasan UX, pengujian A/B dan empati terhadap pelanggan. Titik buta: paparan
penipuan, batasan regulasi dan kebersihan kredensial jangka panjang.

### 3.4 Kantor Penipuan atau Risiko

Mengoptimalkan untuk: tingkat pemicu step-up, tingkat positif palsu, tingkat tolak bayar
dan [tingkat pengambilalihan akun](account-takeover-rate). Memiliki segmen identitas,
namun jarang memilikinya secara keseluruhan. Kekuatan: pemodelan risiko, sinyal waktu
nyata dan tanggapan insiden. Titik buta: alur pendaftaran, alur pemulihan dan
bagian-bagian identitas yang tidak bersifat transaksional.

### 3.5 Kantor Pertumbuhan atau Pemasaran

Pemilik yang sedang berkembang, terutama di langganan konsumen dan
[ritel](passkeys-for-e-commerce). Mengoptimalkan untuk: tingkat keterlibatan kembali,
login yang membatasi cross-sell dan kesiapan personalisasi. Memperlakukan identitas
sebagai fondasi bagi putaran pertumbuhan. Kekuatan: pemikiran siklus hidup dan budaya
eksperimen. Titik buta: hal apa pun yang bukan pertumbuhan.

## 4. Di Mana Kepemilikan yang Terbagi Benar-benar Berdampak Buruk

### 4.1 Penyediaan vs. Penghentian Penyediaan

Penyediaan (provisioning) adalah masalah efisiensi: seberapa cepat Anda bisa memasukkan
pengguna ke dalam sistem. Penghentian penyediaan (deprovisioning) adalah masalah keamanan:
seberapa cepat Anda bisa mengeluarkan pengguna yang disusupi atau pengguna yang sudah
keluar. Keduanya hampir selalu dibeli sebagai satu kesatuan alat dan kurang disetel karena
pemilik yang berfokus pada efisiensi tidak pernah merasakan sakitnya penghentian
penyediaan dan pemilik yang berfokus pada keamanan tidak pernah merasakan sakitnya
penyediaan.

### 4.2 UX Milik Tim Penipuan vs. UX Milik Produk

Tim penipuan menambahkan gesekan karena gesekan menghalangi pelaku kejahatan. Tim produk
menghilangkan gesekan karena gesekan menghalangi pendapatan. Ketika kedua tim membentuk
halaman login yang sama tanpa pemilik bersama, hasilnya adalah kompromi yang tidak
memuaskan keduanya: cukup gesekan untuk mengganggu pengguna, tapi tidak cukup untuk
menghentikan penipuan.
[Step-up yang dinilai berdasarkan risiko](authentication-process-mining) adalah jawaban
teknisnya. Pemilik perjalanan tunggal adalah jawaban organisasionalnya.

### 4.3 Tidak Adanya Pandangan Bersama tentang Kinerja Login

Kepemilikan yang terbagi juga merugikan karena tidak ada lapisan analitik bersama. Angka
kinerja login yang sebenarnya - tingkat keberhasilan ujung-ke-ujung, keberhasilan
pemulihan, tingkat pemicu step-up, persentase pengganti berdasarkan kohort dan tingkat
keberhasilan metode (kata sandi, OTP, sosial, kunci sandi) - tersebar di seluruh IDP,
rangkaian analitik produk, mesin penipuan, SIEM dan beberapa lembar bentang di antaranya.
Setiap tim melihat bagiannya masing-masing, tidak ada yang melihat keseluruhan perjalanan
dan gejalanya terkubur di dalam metrik yang tampak baik secara individu, namun
menyembunyikan masalah yang sebenarnya.

Login yang lambat bagi pengguna pada versi [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)
yang lebih lama muncul sebagai lonjakan kecil dalam latensi IDP, sedikit penurunan dalam
konversi, dan sedikit peningkatan tiket dukungan. Tidak satu pun dari indikator ini yang
mengkhawatirkan dengan sendirinya. Saat digabungkan, semuanya merupakan kemunduran yang
layak diperbaiki. Tanpa satu pemilik dan satu pandangan, masalah itu bisa dibiarkan begitu
saja tanpa tersentuh selama berbulan-bulan.

## 5. Industri Membentuk Jawabannya

Siapa yang pada akhirnya memiliki identitas pelanggan dan konsumen juga bergantung pada
industri. Bagan organisasi yang sama yang berfungsi untuk satu sektor bisa terlihat
terlalu diatur atau kurang diatur di sektor lain.

- [E-commerce](https://www.corbado.com/passkeys-for-e-commerce) memperlakukan CIAM sebagai masalah konversi.
  Produk memiliki login, tim pertumbuhan memiliki keterlibatan kembali dan tim penipuan
  duduk berdampingan dengan keduanya. Selera keamanan berada di tingkat menengah. Iramanya
  adalah eksperimen mingguan. Riset
  [pengabaian keranjang oleh Baymard Institute](https://baymard.com/lists/cart-abandonment-rate)
  melaporkan tingkat pengabaian rata-rata 70,2%, dan porsi yang signifikan disebabkan oleh
  gesekan akun, yang menempatkan tim produk dengan kuat di kursi pemilik.
- [Perbankan](passkeys-for-banking) dan [layanan keuangan](passkeys-for-banking)
  memperlakukan CIAM sebagai masalah keamanan dan kepatuhan. CISO memegang program
  tersebut, tim risiko memiliki step-up dan IT menjalankan platformnya. Selera keamanan
  tinggi dan iramanya dilakukan setiap kuartal dengan audit ketat.
- Telko, [asuransi](passkeys-for-insurance) dan [kesehatan](passkeys-for-healthcare)
  berada di tengah-tengah. Tekanan kepatuhan menarik mereka ke arah
  [perbankan](passkeys-for-banking). Tekanan pengalaman pelanggan menarik mereka ke arah
  [e-commerce](https://www.corbado.com/passkeys-for-e-commerce). Model tata kelolanya biasanya terbagi antara
  CISO dan CPO dengan kartu skor bersama.
- [Sektor publik](passkeys-for-public-sector) dan B2B yang diatur memprioritaskan
  kemampuan audit daripada eksperimen. CIAM berada di bawah CIO (di mana IT
  tersentralisasi masih ada) atau di bawah fungsi tata kelola identitas khusus dengan
  ritme yang didorong oleh kepatuhan. Persyaratan
  [Tingkat Jaminan Identitas NIST 800-63-4](https://pages.nist.gov/800-63-4/sp800-63a.html)
  menetapkan standar dasarnya.

Kuadran di bawah ini memplot setiap industri pada dua dimensi yang mengarahkan jawaban
kepemilikan - selera keamanan dan irama peninjauan - dan memetakan pemilik dominan yang
dihasilkan dari setiap posisi.

Kartu skor yang berfungsi untuk pengecer dibaca sebagai kurang diatur di bank. Model tata
kelola yang berfungsi untuk bank dibaca sebagai terlalu rumit bagi pengecer. Studi Total
Economic Impact Forrester tentang CIAM yang ditugaskan oleh vendor menunjukkan rentang
yang luas: [ForgeRock CIAM TEI](https://www.businesswire.com/news/home/20210615005166/en/)
melaporkan ROI 186% dalam tiga tahun, sementara
[WSO2 CIAM TEI](https://wso2.com/resources/analyst-reports/the-total-economic-impact-of-wso2-customer-identity-and-access-management/)
melaporkan ROI 332%. Bauran pendorongnya - peningkatan konversi vs. pengurangan penipuan
vs. biaya audit - berbeda secara signifikan di seluruh sektor, itulah sebabnya rentang ROI
itu sendiri bervariasi. Memilih pemilik yang tepat dimulai dengan menamai pola industri di
mana Anda sebenarnya beroperasi.

## 6. Identitas Tenaga Kerja vs. Identitas Pelanggan

IAM tenaga kerja dan IAM pelanggan biasanya berada di tim yang berbeda, dan itu biasanya
merupakan pengaturan yang tepat. Keduanya berurusan dengan identitas tetapi mereka
mengoptimalkan hal-hal yang berbeda. IAM tenaga kerja mengelola karyawan yang dikenal pada
perangkat yang dikelola dengan sesi yang panjang dan populasi pengguna yang kecil,
biasanya 1.000 hingga 100.000 pengguna. CIAM mengelola prospek anonim dan pelanggan pada
perangkat yang tidak dikelola dengan sesi pendek yang sensitif terhadap konversi dan
populasi pengguna beberapa kali lipat lebih besar, seringkali puluhan atau ratusan juta.
Model ancaman, KPI, dan pilihan peralatannya juga berbeda.

## 7. Tidak Ada Jawaban yang Sepenuhnya Benar

Tidak ada tempat yang benar atau salah secara universal bagi CIAM untuk ditempatkan. Yang
penting adalah dependensi internalnya berfungsi: tim pemilik memiliki otoritas untuk
membuat keputusan, tim yang berkontribusi memiliki kursi resmi dan kartu skor digunakan
bersama sehingga tidak ada yang dapat menarik metrik di luar konteks.

Bank yang diatur dapat menjalankan CIAM di bawah CISO dan berhasil. Pengecer dapat
menjalankan CIAM di bawah CPO dan berhasil. Telko dapat menjalankan model terpisah antara
CISO dan CPO dan berhasil. Apa yang gagal di mana-mana adalah kepemilikan implisit tanpa
fungsi pemaksaan, tanpa lapisan analitik bersama dan tanpa ritme untuk peninjauan lintas
fungsi. Pola organisasional menjadi tidak terlalu penting dibandingkan dengan model
operasi yang berada di atasnya.

## 8. Kartu Skor CIAM Bersama

Memilih kartu skor biasanya lebih mudah daripada memilih pemilik, dan itu berhasil tanpa
perlu restrukturisasi. Gagasannya sederhana: setiap dasbor eksekutif per fungsi adalah
benar secara lokal dan tidak lengkap secara global. Perbaikannya adalah satu halaman, lima
metrik, yang ditinjau setiap bulan oleh fungsi-fungsi pemilik secara bersama-sama.

### 8.1 Metrik yang Tidak Sepenuhnya Dimiliki Siapa Pun

Ini adalah lima KPI lintas fungsi yang berada di antara pandangan CISO, CTO, CPO,
penipuan, dan pertumbuhan. Masing-masing metrik sangat penting dan kurang terinstrumentasi
di sebagian besar perusahaan. Diagram di bawah ini menunjukkan bagaimana setiap metrik
berada di persimpangan beberapa fungsi pemilik, itulah sebabnya tidak satupun dari
metrik-metrik ini dapat diserahkan sepenuhnya pada satu tim saja.

- **Tingkat Keberhasilan Login Berdasarkan Kohort.** Agregat keberhasilan login
  menyembunyikan segalanya. Tingkat 92% global dapat menutupi tingkat 70% pada OS,
  peramban, dan kombinasi manajer kredensial tertentu. Melaporkan tingkat keberhasilan
  hanya pada agregat adalah kesalahan pengukuran CIAM yang paling umum.
- **Waktu ke Tindakan Terautentikasi Pertama.** Latensi yang dialami pengguna secara nyata
  mulai dari mendarat di halaman login hingga bisa bertransaksi. Termasuk waktu peluncuran
  [Conditional UI](https://www.corbado.com/glossary/conditional-ui), pemilihan kredensial, prompt biometrik dan
  pengalihan kembali. Berkorelasi dengan konversi dan tidak ada yang memilikinya.
- **Penggunaan dan Keberhasilan Jalur Pemulihan.** Berapa banyak pengguna yang mencapai
  pemulihan, jalur mana yang mereka gunakan dan berapa banyak yang berhasil. Pemulihan
  adalah tempat penipuan bertemu gesekan yang bertemu dengan biaya dukungan. Ia milik
  CISO, CPO dan CTO pada saat yang bersamaan, yang biasanya berarti tidak dimiliki siapa
  pun.
- **Pembuatan Kunci Sandi vs. Penggunaan Kunci Sandi.** Pembuatan adalah persentase dari
  pengguna yang memenuhi syarat yang telah mendaftar. Penggunaan adalah bagian dari login
  yang benar-benar menggunakan kunci sandi. Peluncuran dapat memiliki jangkauan 60% dan
  penggunaan 20% jika pengguna yang terdaftar terus mengetik kata sandi karena kebiasaan.
  Kesenjangan yang sama berlaku pada setiap metode autentikasi baru.
- **Pengabaian Berdasarkan Metode Autentikasi.** Metode apa yang digunakan saat sesi
  dimulai dan seberapa sering sesi tersebut tidak diselesaikan. Pengabaian kata sandi,
  OTP, media sosial, dan kunci sandi memiliki akar penyebab yang berbeda - kebersihan
  kredensial, kegagalan pengiriman, pemadaman pihak ketiga,
  [penempatan UI atau konflik pengelola kata sandi](passkey-day-2-problems). Membuat
  rata-rata untuk semuanya menyembunyikan akar masalah.

### 8.2 Satu Halaman, Lima Metrik, Peninjauan Bulanan

Kartu skor adalah artefak satu halaman yang ditinjau setiap bulan oleh fungsi-fungsi
pemilik secara bersama. Setiap metrik memiliki pemilik utama untuk kualitas data, pemilik
lintas fungsi untuk rencana tindakan, dan target yang ditetapkan bersama di awal setiap
kuartal. Halaman Notion atau Google Sheet saja cukup - peninjauan dilakukan di atas satu
halaman rangkuman tersebut, bukan di dasbor yang mendasarinya.

Setiap pemilik menyumbangkan bagian yang hanya dapat mereka lihat:

- **Keamanan** menyumbangkan tingkat penipuan, tingkat akun yang disusupi dan hasil
  step-up per kohort.
- **CTO / Rekayasa** menyumbangkan waktu aktif, tingkat kesalahan integrasi, kinerja SDK
  dan biaya per autentikasi berdasarkan metode.
- **Produk** menyumbangkan corong konversi, penurunan di setiap langkah dan
  [waktu menuju nilai pertama](login-friction-kills-conversion).
- **Penipuan** menyumbangkan tingkat pemicu step-up dan tingkat positif palsu berdasarkan
  kohort.
- **Pertumbuhan** menyumbangkan rasio sesi anonim vs. yang teridentifikasi dan tingkat
  keterlibatan kembali.

Matriks di bawah ini merangkum pola kontribusi dan memperjelas celah cakupan yang ada -
tidak ada pemilik tunggal yang menghasilkan kelima metrik sendirian.

### 8.3 Menerapkannya Tanpa Restrukturisasi

Sebagian besar program kartu skor gagal pada tingkat instrumentasi, bukan tata kelola.
Jika [lapisan observabilitas](authentication-observability) yang mendasarinya tidak dapat
merinci tingkat keberhasilan berdasarkan OS, peramban, dan pengelola kredensial, sebanyak
apa pun ritme peninjauan yang dilakukan, kartu skor yang dihasilkan tidak akan berguna.
Urutan yang berjalan di dunia nyata:

1. **Instrumentasi terlebih dahulu.** Telemetri acara sisi klien yang dapat merinci
   tingkat keberhasilan berdasarkan kohort adalah prasyarat untuk semua metrik kartu skor
   lainnya.
2. **Pilih satu metrik untuk dimiliki bersama terlebih dahulu.**
   [Tingkat keberhasilan login berdasarkan kohort](hardware-passkey-adoption-observability)
   biasanya merupakan pilihan pertama yang tepat karena ia memaksa dilakukannya
   instrumentasi lintas-kohort yang menjadi sandaran semua metrik lainnya.
3. **Tinjauan bulanan selama 60 menit.** Pertemuan pertama: setujui lima metrik tersebut
   dan tolok ukur saat ini. Pertemuan kedua: sepakati target kuartalan. Pertemuan ketiga:
   rencana tindakan pertama. Tambahkan metrik selama dua kuartal alih-alih semuanya
   sekaligus.

Pada enam bulan, implementasi yang matang melaporkan
[tingkat keberhasilan login](authentication-observability) berdasarkan kohort dengan
pemilik yang ditunjuk untuk tiga yang terburuk, jangkauan dan penggunaan kunci sandi
sebagai dua angka yang berbeda, keberhasilan pemulihan dengan pemilik CISO/CPO bersama,
tingkat pemicu step-up di samping tingkat positif palsu dan biaya per autentikasi dirinci
berdasarkan metrik. Tinjauan bulanan beralih dari sekadar berdebat tentang data menjadi
berdebat tentang keputusan, yang merupakan hasil akhirnya.

## 9. Bagaimana Corbado Menambahkan Lapisan Data yang Hilang untuk Autentikasi

[Corbado](https://www.corbado.com/) tidak memutuskan siapa yang memiliki CIAM dan tidak
mencoba melakukannya. Kepemilikan adalah keputusan organisasi. Apa yang dibawa oleh
Corbado adalah lapisan data yang hilang sejak awal - lapisan yang membuat silo, pembagian
anggaran, dan sikap "bukan urusan saya" tidak dapat menghasilkannya sendiri. Autentikasi
pada akhirnya memiliki apa yang sudah dimiliki oleh analitik produk, observabilitas dan
perangkat penipuan di domain mereka masing-masing.

[Lapisan observabilitas autentikasi](authentication-observability) berada di atas IDP,
mesin penipuan, dan SIEM serta menggabungkan sinyal-sinyal mereka menjadi satu pandangan
tentang perjalanan login. Upaya di backend, upacara sisi klien, perilaku
[pengelola kredensial](passkeys-vs-password-managers), keberhasilan tingkat kohort dan
hasil pemulihan berada di satu sistem dan diukur satu sama lain.

- **Satu Lapisan Data untuk Autentikasi.** Sinyal backend, frontend, penipuan dan keamanan
  dikorelasikan per sesi, per kohort, dan per perjalanan, sehingga kinerja login
  sebenarnya tidak lagi terkubur di empat sistem.
- **Tingkat Keberhasilan Tingkat Kohort.** Keberhasilan login dikelompokkan berdasarkan
  OS, peramban, pengelola kredensial dan perangkat keras - metrik kartu skor pertama yang
  sebagian besar tim tidak bisa hasilkan dari peralatan mereka saat ini.
- **Pembuatan dan Penggunaan sebagai Angka Terpisah.**
  [Pembuatan kunci sandi](passkey-creation-best-practices) dan penggunaan kunci sandi
  dilaporkan sebagai dua KPI yang berbeda, yang merupakan satu-satunya perbaikan
  pengukuran terbesar yang dibutuhkan oleh sebagian besar kartu skor.
- **Analitik Jalur Pemulihan.** Penggunaan alur pemulihan, keberhasilan, dan pengabaian
  muncul di taksonomi peristiwa yang sama dengan alur login, sehingga CISO dan CPO melihat
  angka yang sama.
- **Pengabaian Berdasarkan Metode.** Pengabaian per metode memungkinkan kartu skor
  memisahkan pengabaian kata sandi (kebersihan kredensial) dari pengabaian kunci sandi
  ([konflik UI atau manajer kredensial](passkey-day-2-problems)).
- **Rel Pengaman Peluncuran.** Penekanan dinamis, dorongan spesifik kohort dan tombol
  pemutus (kill switch) memungkinkan siapa pun yang menyelenggarakan program untuk
  melakukan perubahan tanpa menyentuh IDP secara langsung.
- **Tolok Ukur Referensi.** Batasan dasar lintas penyebaran dari
  [basis pelanggan Corbado](/) memungkinkan angka internal dibandingkan dengan angka
  eksternal, yang sering kali dapat mengubah tinjauan bulanan menjadi sebuah keputusan.

Perselisihan kepemilikan tidak akan hilang dengan lapisan data. Namun ia akan menjadi
lebih mudah diselesaikan, karena perdebatan tentang "data saya mengatakan" berhenti dan
perdebatan tentang apa yang harus dilakukan pun dimulai.

## 10. Kesimpulan

CIAM memiliki beberapa pemilik sah dan hal itu tidak akan berubah. Yang berubah adalah
apakah perusahaan tersebut memilih pemilik, atau memilih sebuah kartu skor. Memilih
pemilik jauh lebih cepat tetapi membutuhkan modal politik. Memilih kartu skor lebih lambat
tetapi berfungsi tanpa restrukturisasi. Kedua jalur ini lebih baik daripada lempar koin
secara implisit yang dilakukan sebagian besar perusahaan saat ini. Biaya dari kepemilikan
yang ambigu dapat diukur dari implementasi yang terhenti, alur yang terputus, dan
terkikisnya angka keamanan dan konversi secara diam-diam dalam waktu yang sama.

## FAQ

### Siapa yang biasanya memiliki CIAM di Perusahaan besar?

Menurut pengalaman kami, kepemilikan dibagi antara fungsi [CISO](https://www.corbado.com/glossary/ciso), CTO,
CPO, penipuan dan pertumbuhan. Di industri yang diatur, kantor CISO memegang otoritas
utama. Di perusahaan asli digital yang dipimpin konsumen, kantor CPO atau CTO biasanya
memegang otoritas utama, karena CIAM harus diintegrasikan ke dalam produk. Manajer produk
identitas khusus yang menjalankan kartu skor bersama adalah pola matang yang ada di
keduanya.

### Apakah Industri mengubah siapa yang harus memiliki CIAM?

Ya. [E-commerce](https://www.corbado.com/passkeys-for-e-commerce) memperlakukan CIAM sebagai masalah konversi dan
biasanya berakhir pada produk atau pertumbuhan. Perbankan memperlakukannya sebagai masalah
keamanan dan kepatuhan dan akhirnya diserahkan kepada CISO. Telko,
[asuransi](passkeys-for-insurance) dan [kesehatan](passkeys-for-healthcare) menjalankan
model terbagi. Jawaban yang tepat mengikuti selera keamanan industri dan ritme
peninjauannya, bukan melalui praktik terbaik abstrak.

### Mengapa Kepemilikan CIAM yang terbagi menghambat Peluncuran Autentikasi baru?

Setiap metode autentikasi baru - mulai dari [login media sosial](social-login) dan MFA
step-up hingga [kunci sandi](passkey-adoption-business-case) - memerlukan UX pendaftaran
yang terkoordinasi, alur pemulihan, kebijakan risiko dan peralatan dukungan. Ketika
masing-masing berada di bawah pemilik yang berbeda dengan kecepatan yang berbeda pula,
peluncuran bergerak sesuai dengan laju pemilik yang paling lambat. Implementasi kunci
sandi adalah contoh saat ini yang paling nyata dan secara rutin sering tertahan pada
[adopsi 5% hingga 15%](passkey-day-2-problems).

### Haruskah IAM Tenaga Kerja dan IAM Pelanggan berada dalam Tim yang sama?

Biasanya tidak. Keduanya hanya berbagi kosata kata dan sedikit hal lain. IAM tenaga kerja
mengoptimalkan untuk perangkat yang dikelola, pengguna yang dikenal dan efisiensi biaya.
IAM pelanggan mengoptimalkan untuk perangkat yang tidak dikelola, pengguna anonim dan
konversi. Sebagian besar perusahaan yang matang menempatkannya pada tata kelola terpisah
dan berbagi melalui dewan daripada satu pemimpin bersama. Lihat panduan kami tentang
[observabilitas autentikasi](authentication-observability) untuk perincian pihak CIAM
dalam pemisahan ini.

### Apa KPI CIAM yang paling penting?

Ada lima metrik lintas fungsi yang berada di antara dasbor tiap fungsinya:
[tingkat keberhasilan login berdasarkan kohort](login-conversion-rate), waktu menuju
tindakan terautentikasi pertama, [jangkauan dan penggunaan kunci sandi](passkey-analytics)
sebagai dua angka berbeda, keberhasilan jalur pemulihan dan pengabaian berdasarkan metode
autentikasi. Masing-masing metrik merupakan beban utama dan tiap metriknya kurang
terinstrumentasi pada sebagian besar perusahaan.

### Mengapa Jangkauan Kunci Sandi dan Penggunaan Kunci Sandi bukan Metrik yang sama?

Jangkauan adalah persentase pengguna yang memenuhi syarat yang telah mendaftarkan kunci
sandi. Penggunaan adalah persentase login yang benar-benar menggunakan kunci sandi.
Peluncuran dapat memiliki jangkauan yang tinggi namun penggunaan rendah jika pengguna yang
sudah mendaftar tetap mengetikkan kata sandi karena kebiasaan. Hanya melaporkan salah satu
metrik akan menyesatkan tinjauan eksekutif.

### Apa itu Kartu Skor CIAM bersama?

Sebuah artefak satu halaman yang berisi lima metrik lintas fungsi, yang ditinjau setiap
bulannya oleh para fungsi pemilik bersama-sama. Setiap metrik memiliki pemilik utama untuk
kualitas data, pemilik lintas fungsi untuk rencana tindakan dan target yang ditetapkan
bersama di awal setiap kuartalnya. Peninjauan dilakukan di artefak satu halaman tersebut,
bukan di atas dasbor utamanya.

### Seberapa sering Kartu Skor harus ditinjau?

Setiap bulan, dalam pertemuan lintas fungsi selama 60 menit bersama fungsi-fungsi pemilik.
Lebih sering dari ini dan tidak ada yang berubah di antara peninjauan tersebut. Kurang
sering dari ini dan pergeseran sistemik tidak akan terdeteksi, terutama untuk
[regresi tingkat kohort](passkey-day-2-problems) setelah pembaruan OS atau peramban.

### Bagaimana kita memulai tanpa perlu Restrukturisasi?

Pilih dua metrik yang paling terasa sakit, libatkan para pemilik dalam peninjauan 60 menit
bulanan hanya untuk metrik tersebut dan perluas dalam dua kuartal ke depan. Tidak ada
pergantian gelar. Kartu skor itu sendiri akan menjadi lapisan tata kelolanya. Sebagian
besar perusahaan tiba di pola yang matang ini dalam waktu 12 hingga 18 bulan tanpa pernah
benar-benar memindahkan lini pelaporannya secara formal.

### Dapatkah Vendor membantu menyelesaikan Perselisihan Kepemilikan?

Vendor tidak bisa menentukan kepemilikan untuk Anda. Tetapi mereka bisa menghapus
keambiguan data yang membuat perselisihan kepemilikan menjadi lebih sulit untuk
diselesaikan. [Lapisan analitik](authentication-observability) bersama memberi setiap
pemilik porsi yang mereka pedulikan sembari mempertahankan pandangan keseluruhan, yang
seringkali cukup untuk mengubah perdebatan politik menjadi sebuah perdebatan operasional.