Apa itu tata kelola cloud?

Kerangka kerja tata kelola menguraikan semua peran dan kontrol teknis yang digunakan bisnis untuk memastikan penggunaan cloud tetap aman, transparan, dan selaras dengan tujuan bisnis yang lebih luas. Kerangka kerja tata kelola berfungsi sebagai “aturan dasar” untuk cloud. Kerangka kerja ini menentukan siapa yang dapat membuat atau menghapus sumber daya, langkah-langkah keamanan apa yang harus diterapkan, bagaimana tim akan mengontrol biaya, dan bagaimana bisnis akan tetap mematuhi hukum dan peraturan.

Kerangka kerja tata kelola cloud dibangun pada, dan ditulis untuk mengatasi, serangkaian komponen tata kelola. Komponen-komponen tersebut meliputi:

• Tata kelola biaya untuk memastikan pembelanjaan cloud tetap terkendali.
  
  
• Tata kelola keamanan untuk melindungi sistem cloud dan data yang dimilikinya dari penyalahgunaan.
  
  
• Tata kelola akses untuk mengelola siapa yang dapat mengakses sumber daya apa dan tindakan apa yang dapat mereka lakukan.
  
  
• Tata kelola kepatuhan untuk memastikan kepatuhan terhadap peraturan seperti General Data Protection Regulation (GDPR) dan Health Insurance Portability and Accountability Act (HIPAA).
  
  
• Tata kelola operasional untuk menjaga keandalan dan visibilitas sistem.
  
  
• Tata kelola data untuk menentukan bagaimana data diklasifikasikan, disimpan, dipindahkan, dan dihapus.

Platform cloud memudahkan pembuatan instance aset dan sumber daya baru hanya dengan beberapa klik. Tanpa pedoman yang jelas, risiko pengeluaran yang tidak terkendali, kesenjangan keamanan, dan kekacauan operasional meningkat secara drastis di lingkungan ini.

Kerangka kerja tata kelola cloud membantu mencegah masalah ini dengan menetapkan kebijakan (aturan tertulis), proses (bagaimana aturan tersebut diikuti), kontrol (mekanisme teknis yang menegakkan aturan), dan peran yang jelas (siapa yang diizinkan melakukan apa).

Pada akhirnya, tujuan tata kelola cloud adalah memungkinkan organisasi menikmati manfaat layanan cloud sambil menerapkan langkah-langkah keamanan dan akuntabilitas untuk mengurangi risiko.

Strategi tata kelola cloud membantu perusahaan mengatasi tantangan yang umumnya terkait dengan adopsi cloud, termasuk kompleksitas, manajemen permukaan serangan, TI bayangan, dan manajemen biaya.

Secara umum, adopsi cloud telah menjadi berkah bagi perusahaan. Layanan cloud memungkinkan tim pengembangan dan operasi untuk meningkatkan atau mengurangi kapasitas sumber daya dengan cepat sesuai dengan permintaan (alih-alih membangun perangkat keras secara berlebihan untuk menangani kapasitas puncak), sehingga meningkatkan fleksibilitas lingkungan TI. Layanan ini membantu pengembang menyediakan infrastruktur dalam hitungan menit, sehingga mempercepat proses pembuatan, pengujian, serta penerapan aplikasi dan layanan baru.

Penyedia layanan cloud juga sering merancang platform mereka dengan redundansi dan kemampuan pemulihan bencana yang meningkatkan ketersediaan sistem di berbagai wilayah.

Namun, komputasi cloud bukannya tanpa tantangan.  

Lingkungan cloud pada dasarnya kompleks, dengan sebagian besar bisnis menerapkan layanan cloud dalam lingkungan hybrid cloud dan multicloud yang besar dan tersebar secara geografis.

Layanan cloud juga menambahkan lebih banyak titik akhir yang berinteraksi dengan internet—web aplikasi, antarmuka pemrograman aplikasi (API), penyeimbang beban—ke dalam lingkungan TI, sehingga memperluas permukaan serangan secara signifikan. Permukaan serangan yang lebih luas menciptakan lebih banyak peluang terjadinya masalah keamanan dan pelanggaran data. Menurut Laporan Biaya Pelanggaran Data 2025 dari IBM, 30% dari pelanggaran data melibatkan data yang tersebar di berbagai lingkungan.

Karyawan dan departemen sering dapat menjalankan alat cloud mereka sendiri tanpa persetujuan, yang mendorong pertumbuhan layanan yang tidak terkendali tanpa jalur kepemilikan atau praktik manajemen yang jelas. Fenomena yang disebut sebagai “cloud sprawl” ini membuat tim hampir tidak mungkin meninjau setiap aset, beban kerja, aliran data, dan identitas di semua cloud, pusat data, dan wilayah. Makin sulit untuk mempertahankan visibilitas terhadap hal-hal yang terjadi di sistem cloud dan mengelola pembelanjaan cloud.

Hampir separuh (44%) dari semua bisnis hanya memiliki visibilitas terbatas terhadap pembelanjaan cloud mereka. Sumber data yang tidak terkelola (data bayangan) yang berkembang di lingkungan cloud yang luas menjadi target menarik bagi penjahat siber, sehingga cloud sprawl juga dapat menciptakan risiko dan kerentanan keamanan data yang cukup besar.

Selain itu, karena lingkungan cloud membutuhkan data untuk melewati platform dan layanan terdesentralisasi, mungkin sulit untuk menerapkan protokol enkripsi dan kontrol akses yang memadai ke setiap komponen.

Inisiatif tata kelola cloud membantu bisnis menciptakan sumber kebenaran tunggal untuk kebijakan dan praktik terbaik cloud, yang memungkinkan pengambilan keputusan berbasis data yang lebih jelas. Tim dapat menetapkan pedoman dan kontrol keamanan yang konsisten di semua lingkungan cloud. Aturan yang sama diterapkan pada semua sumber daya cloud, dan postur keamanan lingkungan TI secara keseluruhan menjadi lebih kuat.

Tata kelola memungkinkan perusahaan untuk menstandardisasi cara lingkungan dibuat, siapa yang bertanggung jawab pada apa, dan bagaimana perubahan dibuat sehingga berbagai tim dapat menggunakan sumber daya cloud yang disetujui dengan aman dan mudah. Model tata kelola yang kuat juga memperjelas peran dan tanggung jawab dalam pengambilan keputusan terkait cloud. Jika terjadi masalah dengan beban kerja cloud, semua orang tahu pengguna mana yang bertanggung jawab untuk mengatasi masalah tersebut. Peningkatan standardisasi dan kejelasan peran ini membantu mendorong efisiensi operasional di semua departemen.  

Tata kelola cloud mendukung pemantauan dan pelaporan terpusat tentang penggunaan cloud, sehingga memberikan visibilitas yang lebih baik terhadap lingkungan cloud bagi pengguna. Fitur-fitur ini membantu perusahaan melacak pembelanjaan cloud, memetakan biaya ke orang atau tindakan tertentu, dan mengoptimalkan anggaran cloud seiring waktu.

Selain itu, kerangka kerja tata kelola cloud dapat membantu organisasi memastikan bahwa investasi cloud memberikan nilai yang terukur, alih-alih hanya menambahkan lebih banyak teknologi canggih ke dalam arsitektur.

Mengintegrasikan teknologi baru dan yang sedang berkembang ke dalam lingkungan TI memiliki manfaat yang cukup besar, tetapi teknologi tersebut harus memiliki tujuan yang jelas. Tata kelola yang baik mengharuskan tim untuk menghubungkan keputusan cloud secara langsung dengan hasil bisnis dan mengajukan proposisi nilai investasi baru sebelum memperluas layanan cloud, yang mendorong pengoptimalan biaya.

Organisasi sering menggunakan solusi tata kelola cloud untuk menerapkan kerangka kerja tata kelola cloud. Solusi ini mencakup berbagai alat manajemen cloud canggih yang mengotomatiskan praktik tata kelola dan penegakan kebijakan. Fungsionalitas yang luas dari solusi tata kelola cloud membantu mengurangi kompleksitas tata kelola cloud, sehingga memungkinkan bisnis untuk merampingkan penerapan di seluruh ekosistem TI.

Kerangka kerja tata kelola cloud yang efektif dibangun berdasarkan serangkaian prinsip umum.

Kerangka kerja tata kelola cloud memungkinkan perusahaan untuk mengembangkan dan menegakkan kebijakan ketat untuk berinteraksi dengan layanan cloud, sehingga memudahkan pengelolaan lingkungan cloud yang kompleks dan dinamis.

Sebagai disiplin ilmu, tata kelola cloud menggabungkan beberapa jenis manajemen TI untuk menyediakan kerangka kerja komprehensif guna melindungi layanan cloud secara menyeluruh. 

Komponen manajemen data dalam tata kelola cloud menetapkan aturan tentang bagaimana data diklasifikasikan, disimpan, dilindungi, dipertahankan, dan dihapus di cloud.

Sejumlah besar data disimpan di cloud. Saat ini, lebih dari separuh data perusahaan (51%) berada di cloud publik.

Platform cloud memudahkan pengumpulan dan analisis data pada skala ini. Pada saat yang sama, keberadaan alur kerja big data dan database di cloud menjadikan manajemen data lebih integral terhadap tata kelola cloud.

Manajemen data biasanya dimulai dengan skema klasifikasi data yang menggunakan kategori seperti “publik”, “internal”, “rahasia” dan “sangat rahasia”. Setiap klasifikasi dipetakan ke protokol enkripsi, pembatasan akses, batasan geolokasi, dan kebijakan pencadangan yang sesuai.

Kebijakan manajemen data juga berhubungan dengan manajemen siklus proses data. Manajemen siklus proses data menentukan kapan data harus diarsipkan, berapa lama data harus disimpan untuk alasan hukum atau bisnis, dan bagaimana cara membuangnya dengan aman. Manajemen ini menentukan persyaratan untuk kedaulatan data (hukum yang mengatur cara data diproses atau disimpan di berbagai negara dan wilayah), transfer lintas batas, dan privasi data, terutama ketika informasi identifikasi pribadi terlibat.

Manajemen operasi menentukan operasi cloud sehari-hari, seperti:

• Penyediaan, proses terkontrol untuk membuat, memodifikasi, dan menonaktifkan sumber daya cloud seperti mesin virtual, database, akun, klaster Kubernetes, dan sistem lainnya.

• Manajemen perubahan menentukan bagaimana perubahan pada lingkungan produksi (seperti penerapan kode dan infrastruktur) diusulkan, ditinjau, disetujui, diuji, dan akhirnya diluncurkan. Praktik manajemen perubahan membantu tim meminimalkan risiko sekaligus mempertahankan—atau bahkan meningkatkan—kecepatan penerapan.

• Praktik penerapan menentukan bagaimana versi aplikasi dan layanan baru dirilis ke lingkungan cloud.

• Praktik pemantauan dan peringatan menentukan metrik dan data lain apa yang harus dipantau dan menetapkan standar untuk peringatan sehingga tim dapat mendeteksi masalah lebih awal dan merespons dengan cepat.

• Manajemen insiden, proses untuk menangani gangguan yang tidak direncanakan atau penurunan kualitas layanan (termasuk pelanggaran data dan serangan siber). Manajemen insiden menentukan apa yang memenuhi syarat sebagai insiden; bagaimana insiden diklasifikasikan, terdeteksi, dan dicatat dalam log; dan siapa yang bertanggung jawab untuk menangani setiap insiden.

• Perencanaan kapasitas membantu memastikan layanan cloud memiliki sumber daya yang cukup (komputasi, penyimpanan, bandwidth jaringan) untuk memenuhi permintaan tanpa penyediaan yang berlebihan. Fungsi perencanaan kapasitas menentukan ambang batas dan pemicu untuk penskalaan sumber daya. Perencanaan kapasitas juga menggunakan fitur penskalaan otomatis jika diperlukan dan memantau tren pemanfaatan untuk membantu tim memperkirakan kebutuhan alokasi sumber daya di masa depan.

Manajemen operasi juga menjabarkan tujuan tingkat layanan (service-level objective, SLO) dan perjanjian tingkat layanan (service-level agreement, SLA) yang menetapkan target kinerja untuk layanan cloud.

Manajemen keamanan dan manajemen kepatuhan, salah satu komponen penting dari manajemen cloud, membantu memastikan bahwa setiap beban kerja cloud dilindungi, kebijakan keamanan ditegakkan, dan persyaratan peraturan terpenuhi.

Dalam praktiknya, ini berarti mengubah kewajiban tingkat tinggi (“kita harus melindungi data pribadi,” misalnya) menjadi kontrol konkret, seperti autentikasi multifaktor (MFA). Ini juga memerlukan penerapan kontrol secara konsisten di semua lingkungan cloud.

Praktik manajemen keamanan dan kepatuhan sangat bergantung pada sistem manajemen identitas dan akses (IAM). Sistem IAM membantu menegakkan kebijakan akses terperinci, misalnya kontrol akses berbasis peran (role-based access control, RBAC), yang menentukan siapa yang dapat melihat, memodifikasi, atau menerapkan setiap komponen.

Manajemen keamanan cloud juga melibatkan keamanan jaringan (menggunakan firewall dan praktik segmentasi), alat dan praktik respons insiden (misalnya, perangkat lunak manajemen informasi dan peristiwa keamanan) dan protokol pengumpulan bukti.

Manajemen biaya cloud memastikan bahwa pembelanjaan cloud disengaja, hemat biaya, dan terkait dengan tujuan bisnis.

Hampir 85% pemimpin eksekutif dan profesional teknis di seluruh dunia menyebutkan bahwa pembelanjaan cloud merupakan tantangan terbesar mereka. Karena sangat mudah untuk membuat instance dan layanan baru, pembelanjaan cloud dapat dengan cepat menjadi tidak terkendali. Sebagian besar perusahaan (76%) mengeluarkan lebih dari 5 juta USD untuk layanan cloud setiap bulannya.

Praktik manajemen biaya menambahkan disiplin keuangan ke keputusan teknis sehingga tim selalu memikirkan anggaran dan ROI ketika memilih layanan cloud.

Manajemen keuangan mencakup penetapan proses penganggaran, model chargeback atau showback, dan mekanisme alokasi biaya (misalnya, menggunakan tag untuk memetakan pengeluaran pada operasi atau unit bisnis tertentu). Model showback menunjukkan kepada tim biaya penggunaan cloud mereka tanpa langsung memberikan tagihan, dan model chargeback langsung memberikan tagihan kepada tim untuk penggunaan layanan cloud.

Tujuan utama manajemen biaya cloud termasuk menskalakan sumber daya cloud pada ukuran yang tepat dan menghilangkan penggunaan sumber daya yang boros. Hal ini mencakup 29% dari pembelanjaan cloud.

Manajemen risiko memungkinkan perusahaan untuk mengidentifikasi dan mengevaluasi risiko khusus cloud, seperti ketergantungan pada satu vendor (yang menyulitkan perusahaan untuk mengganti penyedia cloud tanpa biaya, upaya, atau gangguan yang signifikan). Intinya adalah memahami apa yang bisa salah, seberapa buruk dampaknya dan seberapa besar kemungkinannya. Berbekal pengetahuan ini, organisasi dapat menerapkan kontrol untuk menghindari, mengurangi, berbagi, atau dengan tegas menerima risiko.

Manajemen risiko juga memengaruhi desain kontrol preventif, detektif dan korektif.

Katakanlah tim keamanan cloud menemukan layanan object storage yang berisi data pelanggan yang sensitif, tetapi memiliki kebijakan bucket yang terlalu permisif (yang dapat menyebabkan kebocoran data).

Tim mungkin membuat aturan di seluruh perusahaan di mana setiap upaya untuk membuat bucket di akun produksi harus mengaktifkan pengaturan “akses publik diblokir” (kontrol preventif). Jika templat penerapan pengguna mencoba menjadikan bucket bersifat publik, penerapan akan gagal dan menampilkan pesan kesalahan.

Tim dapat menerapkan pemindaian konfigurasi berkelanjutan (kontrol detektif) dengan menggunakan skrip yang memeriksa bucket bertanda “publik” atau bucket yang berisi objek dengan tag “data sensitif”. Jika pemindaian menemukan bucket yang memenuhi kriteria, tim keamanan dan tim penanggung jawab layanan akan menerima pemberitahuan.

Tim keamanan juga dapat menerapkan fungsi remediasi otomatis (kontrol korektif). Ketika sistem pemantauan mendeteksi bucket publik yang berisi data sensitif, sistem tersebut secara otomatis menghapus akses publik dari bucket, mengaktifkan enkripsi default, dan membuat tiket insiden di sistem manajemen layanan TI (IT service management, ITSM).

Bayangkan sebuah perusahaan layanan kesehatan global sedang memigrasikan sistem rekam medis elektronik (electronic health records, EHR) ke cloud publik untuk meningkatkan skalabilitas dan ketersediaan. Perusahaan ini menggunakan beberapa akun dan layanan cloud, termasuk mesin virtual (VM), database, object storage, dan fungsi nirserver. Pembuatan kerangka kerja tata kelola cloud untuk lingkungan ini dapat mencakup langkah-langkah berikut:

Perusahaan membentuk dewan tata kelola cloud yang mencakup personel dari bagian keamanan, kepatuhan, TI, DevOps, dan keuangan. Dewan tata kelola ini menetapkan aturan yang jelas, seperti:

• Hanya tim DevOps yang dapat melakukan penerapan ke produksi.
  
  
• Semua data pasien harus dienkripsi, baik saat dikirim maupun saat disimpan.
  
  
• Data pasien harus tetap berada di Amerika Serikat atau Kanada.
  
  
• Setiap sumber daya harus ditandai dengan pemilik, pusat biaya, lingkungan, dan klasifikasi data.

Aturan-aturan ini menjadi kebijakan tertulis. Misalnya, “informasi kesehatan yang dilindungi (protected health information, PHI) harus dienkripsi dan tidak dapat diakses publik” dan “hanya grup Aplikasi Klinis yang dapat mengakses database EHR produksi”.

Dewan memutuskan cara mengatur lingkungan cloud. Mereka membuat akun terpisah untuk pengembangan, pengujian, penahapan, dan produksi. Beban kerja EHR yang sensitif berjalan di akun produksi khusus, sementara alat dan log berada di akun keamanan bersama.

Kemudian, mereka menetapkan kebijakan RBAC. Pengembang dapat bekerja dalam tahap pengembangan dan pengujian. Staf operasi dapat mengelola penahapan dan produksi. Tim keamanan dapat melihat log dan kebijakan tata kelola untuk semua elemen. Peran-peran ini dipetakan ke kelompok SDM sehingga kontrol akses sejalan dengan tugas para personel.

Perusahaan menghubungkan layanan cloud-nya ke sistem masuk tunggal (single sign-on, SSO). Pengguna masuk dengan akun kerja mereka dan mendapatkan peran cloud (misalnya, administrator produksi, pelihat hanya-baca, auditor keamanan, dan analis keuangan) berdasarkan grup pekerjaan mereka.

Dewan memutuskan untuk mewajibkan MFA untuk peran sensitif. Dan untuk peran yang paling berisiko, akses diberikan untuk jangka waktu yang singkat, hanya jika diperlukan (disebut “akses tepat waktu”) dan kemudian dihapus secara otomatis.

Misalnya, jika ada insinyur DevOps baru yang bergabung dengan tim, ia akan ditugaskan ke grup yang tepat dan secara otomatis mendapatkan izin cloud yang tepat untuk pengembangan dan pengujian (tetapi tidak untuk produksi).

Perusahaan mengubah kebijakan menjadi aturan kebijakan sebagai kode, yang secara otomatis memblokir tindakan berisiko. Dengan kebijakan sebagai kode, kebijakan keamanan, kepatuhan, dan operasional ditulis langsung ke dalam kode perangkat lunak dan diberlakukan secara otomatis oleh alat tata kelola atau platform cloud.

Sebagai contoh, aturan kebijakan sebagai kode mungkin memblokir beban kerja PHI agar tidak diterapkan di luar AS atau Kanada atau mengharuskan database mengaktifkan pencadangan.

Aturan ini ditegakkan dengan dua cara. Pada tingkat platform cloud, pipeline integrasi berkelanjutan/pengiriman berkelanjutan (CI/CD) memeriksa template infrastruktur cloud sebelum penerapan. Pipeline ini juga diberlakukan sebagai kebijakan di seluruh perusahaan yang menolak perubahan yang tidak sesuai, bahkan jika seseorang mencoba membuat sumber daya secara manual melalui konsol.

Karena perusahaan ini menangani data kesehatan, mereka sangat ketat dalam hal tata kelola data. Setiap penyimpanan data diberi label klasifikasi, semua penyimpanan dan database dienkripsi secara default (menggunakan kunci enkripsi yang dikelola secara terpusat) dan pengembang dilarang menonaktifkan enkripsi.

Beban kerja PHI berjalan di jaringan pribadi tanpa akses internet langsung, dan hanya gateway atau penyeimbang beban yang disetujui yang dapat mengekspos layanan. Perusahaan juga mengumpulkan log terperinci di akun pusat dan menjalankan pemeriksaan otomatis untuk menunjukkan kepada auditor bahwa organisasi memenuhi HIPAA dan standar kepatuhan lainnya.

Setiap sumber daya cloud ditandai dengan pusat biaya dan pemilik, sehingga biaya dapat ditelusuri ke tim atau produk tertentu.

Alat FinOps—yang menerapkan praktik akuntabilitas keuangan di lingkungan hybrid cloud dan multicloud—menggunakan dasbor untuk menunjukkan pembelanjaan cloud berdasarkan aplikasi, lingkungan, dan wilayah, menampilkan anggaran dan peringatan per unit bisnis. Jika beban kerja analisis baru tiba-tiba menjadi lebih mahal, dasbor akan menandai beban kerja tersebut sebagai melebihi anggaran.

Tim riset mendapatkan peringatan otomatis tentang beban kerja yang mahal, yang memaksa mereka untuk meninjau penggunaan cloud. Dalam prosesnya, mereka menemukan bahwa beban kerja menggunakan data anonim untuk pengujian EHR, bukan data produksi langsung yang nyata. Pengujian itu penting, jadi alih-alih menonaktifkan seluruh beban kerja, tim memutuskan untuk menetapkan batasan ketat tentang berapa banyak data yang dapat digunakan beban kerja non-produksi dalam satu hari.

Perusahaan terus meninjau kerangka kerja tata kelola cloud dan kebijakan terkait saat layanan cloud, ancaman atau peraturan baru muncul.

Jika kondisi berubah, dewan tata kelola akan menyesuaikan kerangka kerja tersebut. Mereka juga menyediakan pelatihan dan dokumentasi untuk membantu pengembang bekerja sesuai aturan tata kelola, termasuk cara menandai sumber daya, mengajukan permintaan lingkungan, dan menangani PHI. 

Kecerdasan buatan (AI) mengubah tata kelola cloud dengan mengotomatiskan fungsi-fungsi penting dan memungkinkan analisis real-time terhadap sumber daya, beban kerja, dan aktivitas cloud. AI muncul dalam cara kebijakan didefinisikan, ditegakkan, dipantau, dan dioptimalkan dalam lingkungan cloud, tetapi juga memaksa perusahaan untuk menerapkan persyaratan tata kelola baru di atas kontrol cloud tradisional.

Alat AI dapat terus menemukan dan mengklasifikasikan sumber daya cloud, mengidentifikasi data sensitif, memberikan insight tentang kontrol yang lemah atau membatasi, dan memelihara silsilah layanan (data tentang perkembangan layanan cloud dari waktu ke waktu).

Tata kelola cloud berbasis AI juga meningkatkan skalabilitas cloud, yang memungkinkan perusahaan mengembangkan ribuan sumber daya cloud menjadi ratusan ribu sumber daya dengan sedikit atau tanpa menambah jumlah staf tata kelola.

Untuk mengakomodasi penskalaan, AI cukup mengatur ulang beban kerja tata kelola. Algoritma AI dan machine learning (ML) menangani deteksi sumber daya, triase masalah, dan tugas remediasi dasar (misalnya, menandai sumber daya atau menetapkan batas anggaran). Manusia berfokus merancang pedoman, menangani pengecualian dan kasus edge, serta mempertimbangkan aspek untung-rugi risiko.

Banyak penyedia cloud dan platform khusus juga menawarkan kontrol tata kelola khusus AI generatif sebagai bagian dari tumpukan cloud mereka, yang membantu tim menggunakan tata kelola cloud cerdas.

Dalam lingkungan tata kelola cerdas, kebijakan dienkodekan dan diberlakukan di platform cloud, dan gen AI berada di atasnya. Alat tata kelola berbasis AI generatif dapat menjalankan analisis lanjutan untuk menyediakan penilaian risiko otomatis, deteksi anomali, dan kemampuan peringkasan data. Beberapa vendor cloud juga menyediakan titik akhir pribadi dan perutean data zero-trust untuk membantu memastikan bahwa titik akhir AI generatif tidak pernah terpapar ke internet publik.

Meskipun teknologi AI dapat berfungsi sebagai penggerak tata kelola yang ampuh, teknologi tersebut juga perlu dikelola.  

AI rentan terhadap masalah seperti penyimpangan model (di mana model ML atau AI memburuk seiring waktu karena pola yang dipelajari tidak lagi sesuai dengan kenyataan) dan serangan siber.

Seperti halnya sumber daya cloud, tim dapat dengan cepat menjalankan layanan AI, dan secara tidak sengaja menciptakan alat AI bayangan yang tidak diatur oleh kontrol dan kebijakan keamanan formal. Dalam Laporan Biaya Pelanggaran Data 2025, insiden keamanan yang melibatkan AI bayangan menyumbang 20% dari seluruh pelanggaran data.

Selain itu, banyak alat AI dibangun dan dijalankan di cloud, sehingga persyaratan tata kelola AI kini mutlak menjadi persyaratan tata kelola cloud. Jadi, alih-alih menggunakan pendekatan “tambahkan AI di atas kebijakan yang ada”, bisnis beralih menuju tata kelola cloud holistik yang sadar AI, dengan pengujian yang ketat dan jalur eskalasi yang terdefinisi dengan baik.

Tata kelola AI yang efektif di lingkungan cloud biasanya mencakup hal berikut:

• Persyaratan pendaftaran wajib untuk semua beban kerja AI.
  
  
• Persyaratan untuk keterjelasan, pengujian bias, dan ketahanan.
  
  
• Persyaratan penggunaan yang dapat diterima untuk gen AI dan model pihak ketiga.
  
  
• Aturan untuk instance yang melibatkan manusia (human-in-the-loop), yang menentukan kapan AI dapat atau tidak dapat bertindak secara otonom (misalnya, AI dapat memblokir login secara otomatis, tetapi harus meminta persetujuan manusia untuk memblokir transaksi bernilai tinggi).
  
  
• Praktik akuntabilitas yang jelas untuk tindakan AI otonom (ketika AI memblokir pengguna, tata kelola harus menentukan siapa yang bertanggung jawab).

Praktik-praktik ini (antara lain) membantu organisasi menggabungkan kontrol AI yang memadai sekaligus memaksimalkan manfaat penggunaan AI di cloud.