Keamanan Slack: Cara Melindungi Percakapan Kerja dari Kebocoran Data
Panduan praktis mengamankan workspace Slack. Pelajari tentang DM vs channel, risiko berbagi eksternal, pengaturan 2FA, kontrol admin, dan apa yang tidak boleh dibagikan di Slack.
Keamanan Slack: Cara Melindungi Percakapan Kerja dari Kebocoran Data
Slack sudah menjadi kantor digital bagi jutaan tim di seluruh dunia. Tapi di balik kemudahannya, ada risiko besar — data perusahaan, informasi klien, dan detail pribadi mengalir melalui channel Slack setiap hari. Satu pengaturan yang salah atau pesan yang ceroboh bisa membuka celah keamanan yang serius.
Berikut cara mengamankan workspace Slack tanpa mengorbankan produktivitas.
DM vs Channel: Memahami Perbedaan Keamanannya
Banyak orang mengira DM di Slack itu privat. Kenyataannya, tidak sepenuhnya.
| Fitur | DM | Channel |
|---|---|---|
| Terlihat oleh admin workspace? | Ya (pada paket berbayar dengan compliance export) | Ya |
| Bisa dicari orang lain? | Tidak | Channel publik: Ya |
| Tetap ada setelah seseorang keluar? | Ya | Ya |
| Bisa diekspor? | Enterprise Grid: Ya | Ya (semua paket) |
Kesimpulan utama: Perlakukan setiap pesan Slack — baik DM maupun channel — sebagai sesuatu yang berpotensi dibaca oleh perusahaan. Kalau kamu tidak mau mengatakannya lewat email kantor, jangan katakan di Slack.
Risiko Tersembunyi dari Berbagi Eksternal
Slack Connect memungkinkan kolaborasi dengan orang di luar organisasi. Berguna, tapi menciptakan beberapa titik buta keamanan:
1. Channel Bersama dengan Vendor
Partner eksternal di channel bersama bisa melihat riwayat pesan, file yang diunggah, dan dokumen yang disematkan. Jika seseorang membagikan dokumen internal sensitif di channel yang salah, pihak eksternal langsung melihatnya.
2. Berbagi File Tanpa Kedaluwarsa
File yang diunggah ke Slack tidak kedaluwarsa secara default. PDF kontrak yang kamu bagikan enam bulan lalu? Masih bisa diunduh oleh siapa saja di channel — termasuk orang yang bergabung setelah file diposting.
3. Akun Tamu yang Menumpuk
Tamu single-channel dan multi-channel menumpuk seiring waktu. Kontraktor dari 2024 mungkin masih punya akses ke workspace-mu.
Solusi: Jadwalkan audit triwulanan untuk anggota eksternal dan akun tamu. Hapus akses siapa pun yang sudah tidak membutuhkannya.
Mengaktifkan Autentikasi Dua Faktor (2FA)
Jika workspace-mu tidak mewajibkan 2FA, kamu hanya selangkah dari kebocoran data akibat password yang dicuri.
Cara Mengaktifkan 2FA di Slack
- Buka profil kamu → Pengaturan akun
- Klik Two-factor authentication → Set up two-factor authentication
- Pilih metode: aplikasi authenticator (direkomendasikan) atau SMS
- Simpan kode cadangan di tempat yang aman
Untuk Admin Workspace: Wajibkan 2FA
Buka Settings & Administration → Workspace settings → Authentication dan wajibkan 2FA untuk semua anggota. Tanpa pengecualian.
Tips: Simpan kode cadangan 2FA Slack-mu di memo yang dilindungi kata sandi di LOCK.PUB. Jauh lebih aman daripada screenshot yang tersimpan di galeri HP.
Kontrol Admin yang Wajib Dikonfigurasi
Jika kamu admin Slack, pengaturan ini harus dikonfigurasi sejak hari pertama:
| Pengaturan | Rekomendasi | Alasan |
|---|---|---|
| Retensi pesan | Kustom (90 hari untuk umum, lebih lama untuk compliance) | Membatasi paparan jika terjadi kebocoran |
| Berbagi file ke eksternal | Dibatasi | Mencegah kebocoran data tidak sengaja |
| Instalasi aplikasi | Perlu persetujuan admin | Memblokir integrasi yang tidak sah |
| Tampilan email | Disembunyikan dari pengguna eksternal | Mengurangi target phishing |
| Pembuatan channel | Terbuka untuk internal, dibatasi untuk Slack Connect | Mengontrol penyebaran informasi |
| Durasi sesi | Maksimal 30 hari | Memaksa autentikasi ulang |
Mengelola Izin Aplikasi
Aplikasi Slack pihak ketiga adalah vektor serangan utama. Setiap bot atau integrasi yang dipasang mendapat akses ke data workspace-mu.
- Audit aplikasi yang ada setiap triwulan
- Hapus integrasi yang tidak digunakan segera
- Wajibkan persetujuan admin untuk instalasi aplikasi baru
- Periksa OAuth scopes — apakah aplikasi polling sederhana benar-benar perlu membaca semua pesan?
Yang Tidak Boleh Dibagikan di Slack
Ini bukan soal paranoid — ini soal akal sehat. Hal-hal berikut tidak boleh muncul di pesan Slack:
- Password atau API key — Gunakan password manager atau secrets vault
- Nomor kartu kredit — Bahkan nomor parsial sekalipun
- NIK atau nomor identitas pemerintah — Selalu bagikan melalui channel terenkripsi
- Data pelanggan tanpa enkripsi — Terutama jika terikat GDPR, HIPAA, atau SOC 2
- Informasi gaji atau HR internal — Gunakan sistem HR resmi
- Dokumen hukum atau komunikasi pengacara-klien — Perlindungan privilege hilang di Slack
Cara Lebih Aman Berbagi Informasi Sensitif
Daripada menempelkan kredensial langsung ke Slack, gunakan tautan yang dilindungi kata sandi. Buat di LOCK.PUB — caranya seperti ini:
- Tulis informasi sensitif di memo aman
- Atur kata sandi
- Bagikan tautan LOCK.PUB di Slack
- Kirim kata sandi melalui channel berbeda (pesan WhatsApp, telepon)
Informasi terenkripsi dan hanya bisa diakses dengan kata sandi. Jauh lebih aman daripada pesan teks biasa di Slack yang bisa dicari selamanya.
Checklist Keamanan Slack untuk Tim
Jalankan checklist ini setiap triwulan:
- Semua anggota sudah mengaktifkan 2FA
- Akun tamu dan eksternal diaudit dan dibersihkan
- Izin aplikasi ditinjau dan integrasi yang tidak perlu dihapus
- Kebijakan retensi pesan dikonfigurasi dengan tepat
- Pembatasan berbagi file diatur untuk channel sensitif
- Tim dilatih tentang apa yang tidak boleh dibagikan di Slack
- SSO dikonfigurasi (paket Enterprise)
- Tools Data Loss Prevention (DLP) dievaluasi
Apa yang Harus Dilakukan Jika Akun Slack-mu Dibobol
- Ganti kata sandi segera dan cabut semua sesi aktif
- Beritahu admin workspace — mereka bisa memaksa logout dari semua perangkat
- Periksa aplikasi yang terhubung — cabut token OAuth yang tidak dikenal
- Tinjau pesan terbaru — cari pesan yang dikirim dari akunmu tapi bukan kamu yang menulis
- Aktifkan 2FA jika belum
Penutup
Slack dibangun untuk kecepatan, bukan kerahasiaan. Pengaturan default mengutamakan kolaborasi di atas keamanan, yang berarti kamu dan tim admin-lah yang harus menutup celahnya. Luangkan 15 menit hari ini untuk meninjau pengaturan workspace, mengaktifkan 2FA, dan menetapkan panduan jelas tentang apa yang boleh dan tidak boleh dibagikan di Slack.
Untuk informasi sensitif yang harus dikomunikasikan ke rekan kerja, lewati Slack dan gunakan tautan yang dilindungi kata sandi.
Keywords
You might also like
Cara Serah Terima Password dan Data dengan Aman Saat Pindah Kerja
Panduan praktis untuk mentransfer akun kerja, password, dan data rahasia ke penerus Anda dengan aman saat resign. Metode berbagi terenkripsi dan checklist serah terima.
Cara Melindungi Data Karyawan di Platform HR & Payroll Berbasis Cloud
Platform HR dan payroll seperti BambooHR, Gusto, dan Workday menyimpan data sensitif karyawan. Pelajari risikonya dan cara membagikan informasi ini secara aman.
Cara Mengirim File Rahasia dengan Aman di Microsoft Teams
Pelajari risiko keamanan berbagi dokumen sensitif melalui chat Teams, dan cara menggunakan izin SharePoint, proteksi tautan, dan enkripsi untuk berbagi file yang aman.
Create your password-protected link now
Create password-protected links, secret memos, and encrypted chats for free.
Get Started Free