Skip to content
Kembali ke insight
employee access controljoiner-mover-leaveriso-270014 Juni 20265 menit baca

Kontrol Onboarding-Offboarding Karyawan SaaS

Panduan kontrol onboarding dan offboarding karyawan SaaS di Indonesia untuk mengurangi risiko akses, mendukung ISO 27001, dan audit.

Oleh APLINDO Engineering

Pertanyaan yang sering diajukan

Apa itu joiner-mover-leaver dalam konteks SaaS?
Joiner-mover-leaver adalah proses mengelola akses saat karyawan masuk, pindah peran, dan keluar dari perusahaan agar hak akses selalu sesuai kebutuhan kerja.
Mengapa offboarding lebih kritis daripada onboarding?
Karena akses yang tidak dicabut tepat waktu bisa menjadi celah terbesar. Akun aktif milik mantan karyawan dapat dipakai untuk mengakses data, sistem, atau integrasi penting.
Apakah kontrol ini wajib untuk ISO 27001?
ISO 27001 tidak memaksa satu format proses tertentu, tetapi kontrol akses, review hak akses, dan pemutusan akses saat terminasi adalah praktik yang sangat relevan untuk audit.
Siapa yang sebaiknya bertanggung jawab atas proses ini?
Idealnya HR, IT, dan pemilik sistem berbagi tanggung jawab. HR memicu perubahan status, IT mengeksekusi akses, dan manager memastikan kebutuhan akses sesuai peran.
Apa langkah pertama jika proses masih manual?
Mulai dari inventaris akun dan aplikasi, lalu buat checklist onboarding-offboarding standar, tetapkan SLA pencabutan akses, dan audit akses secara berkala.

Informasi waktu: Artikel ini dibuat otomatis pada 5 Juni 2026 pukul 02.39 (Asia/Jakarta, 2026-06-04T19:39:35.673Z).

Mengapa onboarding dan offboarding sering jadi titik lemah?

Di banyak perusahaan SaaS, proses onboarding dan offboarding karyawan masih diperlakukan sebagai urusan administratif, bukan kontrol keamanan. Akibatnya, akses ke email, cloud console, repository kode, CRM, alat billing, hingga WhatsApp business tools sering diberikan cepat saat karyawan masuk, tetapi dicabut terlambat saat karyawan keluar.

Masalah ini terlihat sederhana, namun dampaknya besar. Satu akun yang masih aktif dapat membuka pintu ke data pelanggan, source code, konfigurasi produksi, dan integrasi pihak ketiga. Untuk perusahaan yang beroperasi di Jakarta maupun kota lain di Indonesia, risiko ini makin penting karena banyak tim bekerja hybrid atau remote-first, sehingga jejak akses tidak selalu terlihat secara fisik.

Dalam konteks compliance, onboarding dan offboarding bukan hanya soal efisiensi HR. Ini adalah bagian dari kontrol akses yang mendukung keamanan informasi, kesiapan audit, dan tata kelola internal.

Apa itu joiner-mover-leaver?

Joiner-mover-leaver adalah kerangka kerja untuk mengelola akses berdasarkan status karyawan:

  • Joiner: karyawan baru yang perlu akses sesuai peran.
  • Mover: karyawan yang pindah tim, jabatan, atau tanggung jawab.
  • Leaver: karyawan yang keluar dan harus kehilangan akses yang tidak lagi relevan.

Kerangka ini berguna karena akses tidak pernah statis. Seseorang yang awalnya hanya butuh akses ke alat kolaborasi bisa saja kemudian mendapat akses ke data pelanggan, sistem produksi, atau dashboard keuangan. Saat peran berubah, hak akses lama sering tertinggal jika tidak ada proses review.

Bagi perusahaan SaaS di Indonesia, joiner-mover-leaver membantu menyatukan HR, IT, engineering, dan compliance dalam satu alur kerja yang konsisten.

Kontrol apa saja yang wajib dipikirkan?

Kontrol onboarding-offboarding yang baik biasanya mencakup beberapa lapisan:

1. Inventaris aplikasi dan akun

Anda perlu tahu aplikasi apa saja yang dipakai karyawan: Google Workspace, GitHub, AWS, Slack, Notion, Jira, database admin panel, payment gateway, dan tools operasional lain. Tanpa inventaris, tim tidak bisa memastikan semua akses sudah dicabut.

2. Role-based access

Akses harus mengikuti peran, bukan kebiasaan. Tim engineering tidak perlu akses penuh ke semua data pelanggan, dan tim non-teknis tidak perlu akses ke environment produksi. Prinsip least privilege sangat penting di sini.

3. Approval dan pemicu perubahan

Perubahan akses sebaiknya dipicu oleh event yang jelas: karyawan baru, mutasi, promosi, cuti panjang tertentu, atau resign. HR dan manager harus menjadi sumber informasi awal, lalu IT mengeksekusi perubahan akses berdasarkan tiket atau workflow yang terdokumentasi.

4. SLA pencabutan akses

Saat karyawan keluar, akses kritikal harus dicabut secepat mungkin. Untuk akun berisiko tinggi seperti cloud admin, repository production, atau finance tools, SLA pencabutan sebaiknya jauh lebih ketat daripada akun biasa.

5. Review akses berkala

Setidaknya secara periodik, lakukan review untuk memastikan akses masih relevan. Ini sangat membantu saat audit ISO 27001 atau saat pelanggan enterprise meminta bukti kontrol keamanan.

Bagaimana desain proses yang praktis?

Banyak tim gagal karena mencoba membuat proses terlalu rumit. Padahal, yang dibutuhkan adalah alur yang jelas dan bisa dijalankan konsisten.

Saat karyawan masuk

Onboarding sebaiknya dimulai dari daftar akses standar per role. Misalnya, seorang software engineer baru mungkin mendapat email, chat, issue tracker, repository tertentu, dan akses ke dokumentasi internal. Akses ke production, billing, atau data sensitif sebaiknya tidak otomatis diberikan tanpa justifikasi tambahan.

Saat karyawan pindah peran

Mover sering dilupakan. Padahal, karyawan yang pindah dari support ke product, atau dari engineering ke management, mungkin masih menyimpan akses lama yang tidak lagi dibutuhkan. Saat terjadi perubahan peran, lakukan review akses lama dan cabut yang tidak relevan.

Saat karyawan keluar

Offboarding harus punya checklist yang tegas. Langkah umum mencakup menonaktifkan akun SSO, mencabut akses ke aplikasi SaaS, merotasi secret yang mungkin pernah dibagikan, memindahkan ownership aset digital, dan memastikan perangkat kerja dikembalikan atau dihapus sesuai kebijakan.

Untuk perusahaan remote-first seperti banyak tim di Indonesia, proses ini harus berjalan tanpa bergantung pada kehadiran fisik. Artinya, workflow digital dan audit trail menjadi sangat penting.

Apa hubungannya dengan ISO 27001?

ISO 27001 menekankan pengelolaan risiko dan kontrol akses yang konsisten. Walau sertifikasi tidak otomatis didapat hanya dengan punya checklist onboarding-offboarding, proses ini sangat relevan untuk menunjukkan bahwa perusahaan memahami siapa yang boleh mengakses apa, kapan, dan mengapa.

Dalam praktik audit, auditor biasanya ingin melihat bukti bahwa:

  • akses diberikan berdasarkan kebutuhan kerja,
  • akses ditinjau saat ada perubahan peran,
  • akses dicabut saat hubungan kerja berakhir,
  • ada bukti persetujuan dan pencatatan perubahan.

Karena itu, proses joiner-mover-leaver yang terdokumentasi bisa menjadi fondasi yang kuat. Namun, untuk penilaian formal atau interpretasi hukum, tetap rekomendasikan audit profesional dan konsultasi yang sesuai konteks organisasi.

Key takeaways

  • Onboarding dan offboarding adalah kontrol keamanan, bukan sekadar proses HR.
  • Joiner-mover-leaver membantu menjaga akses tetap sesuai peran sepanjang siklus karyawan.
  • Offboarding harus lebih cepat dan lebih ketat daripada onboarding, terutama untuk akses sensitif.
  • Inventaris aplikasi, role-based access, dan review berkala adalah fondasi utama.
  • Proses yang terdokumentasi sangat membantu kesiapan audit ISO 27001 dan review keamanan pelanggan.

Bagaimana memulai jika tim Anda masih manual?

Jika saat ini proses Anda masih tersebar di spreadsheet, chat, dan ingatan masing-masing orang, mulailah dari tiga langkah sederhana.

Pertama, buat daftar semua aplikasi dan owner-nya. Kedua, definisikan akses standar untuk setiap role utama. Ketiga, tetapkan checklist onboarding dan offboarding yang wajib diikuti HR, manager, dan IT.

Setelah itu, ukur waktu pencabutan akses untuk karyawan keluar dan identifikasi titik bottleneck. Sering kali masalah terbesar bukan teknis, melainkan koordinasi antar tim. Di sinilah otomatisasi workflow, integrasi SSO, dan ticketing bisa sangat membantu.

Untuk perusahaan SaaS yang sedang tumbuh di Indonesia, disiplin kecil seperti ini jauh lebih murah dibanding menangani insiden akses atau temuan audit di kemudian hari. Jika perlu, tim seperti APLINDO dapat membantu merancang proses SaaS engineering, kontrol akses, dan kesiapan compliance yang lebih rapi tanpa mengorbankan kecepatan operasional.

FAQ

Apa yang paling sering salah dalam offboarding?

Akses yang lupa dicabut, terutama pada aplikasi pihak ketiga, repository kode, dan akun admin yang tidak terhubung ke SSO.

Apakah onboarding harus selalu sama untuk semua karyawan?

Tidak. Onboarding sebaiknya berbasis role agar akses yang diberikan benar-benar sesuai kebutuhan kerja.

Bagaimana cara mengurangi risiko akun “terlantar”?

Gunakan inventaris akun, SSO bila memungkinkan, review akses berkala, dan checklist offboarding yang harus ditutup sebelum status karyawan dinyatakan selesai.

Apakah proses ini relevan untuk startup kecil?

Sangat relevan. Justru startup kecil sering memiliki akses yang terlalu luas karena timnya ramping dan prosesnya informal.

Apakah ada alat yang bisa membantu?

Ya. Workflow tiket, SSO, IAM, dan automation tools bisa membantu, tetapi yang paling penting tetap desain proses dan disiplin eksekusi.

Siap meluncurkan sesuatu yang nyata?

Jadwalkan 30 menit. Kami akan review roadmap Anda, merekomendasikan langkah berikutnya yang paling kecil tapi berdampak, dan jujur apakah kami mitra yang tepat.

Jadwalkan diskusi Email kami