Jurang Kegelapan Shadow IT –

Anda mungkin pernah mendengar tentang kebijakan Bring Your Own Device (BYOD), yang memungkinkan karyawan menggunakan perangkat pribadi mereka untuk tujuan pekerjaan.

Meskipun “media asing” bagi sistem internal, perangkat ini biasanya dikelola dengan ketat dan sangat penting untuk menjaga integritas sistem internal bisnis yang mengoperasikannya.

Hal ini seringkali tidak disukai oleh peserta BYOD karena persepsi intrusi privasi, di antara alasan lain, sehingga yang kurang antusias berpikir: “Apa yang tidak diketahui oleh orang IT saya tidak akan membuat mereka susah.”

Tanpa menyadari kebijakan perusahaan, karyawan mulai mengakses jaringan bisnis dengan perangkat yang tidak disetujui, tanpa memikirkan dampak yang tak terhindarkan. Perangkat-perangkat ini disebut “Shadow IT”, sebuah titik buta keamanan bagi banyak organisasi.

Baca juga: Meminimalisir Risiko Shadow IT

Masuk ke Jurang Kegelapan Shadow IT

Shadow IT lebih dari sekadar laptop rumah tangga biasa yang terhubung ke jaringan perusahaan. Faktanya, istilah ini dapat mencakup beberapa jenis perangkat yang berbeda.

Dan bahkan solusi atau layanan perangkat lunak, seperti repositori cloud atau asisten AI generatif yang dianggap “boleh” digunakan oleh karyawan tanpa meminta izin.

Menurut Cisco, hampir 80% pengguna akhir menggunakan perangkat lunak yang tidak disetujui oleh IT. Selain itu, 83% staf IT menggunakan perangkat lunak atau layanan yang tidak disetujui.

Mengapa? Alasannya multifaset. Karyawan biasa mungkin merasa bahwa solusi yang disetujui perusahaan tidak cukup fleksibel untuk membantu mereka mencapai peningkatan produktivitas. Meminta izin untuk menggunakan perangkat lunak gratis yang diakui industri, misalnya, mungkin terasa merepotkan.

Demikian pula, profesional IT mungkin merasa bahwa alat mereka saat ini tidak sesuai dengan apa yang dibutuhkan untuk membuat pekerjaan mereka lebih efektif.

Ini juga terkait dengan contoh BYOD di awal, manajemen perangkat mungkin terasa terlalu berlebihan bagi sebagian orang, yang mungkin takut akan privasi mereka.

Sebuah studi dari tahun 2023 menunjukkan bahwa sebanyak 69% karyawan mengabaikan pedoman keamanan siber, dengan 74% bersedia mengabaikan pedoman untuk membantu mereka mencapai tujuan bisnis.

Namun, di balik setiap kebijakan manajemen risiko terdapat alasan mengapa kebijakan itu ada. Perangkat yang tidak disetujui dapat menimbulkan risiko keamanan, karena perlindungannya kemungkinan besar tidak memenuhi standar perusahaan.

Pada saat yang sama, shadow IT dapat menyebabkan biaya di luar anggaran reguler perusahaan, dilaporkan menyumbang sekitar 50% dari pengeluaran IT di perusahaan besar.

Karena pengeluaran ini bukan bagian dari penganggaran tahunan reguler, kemungkinan besar ini adalah biaya yang tidak perlu.

Jurang Kegelapan Shadow IT — Credit image: Pixabay

Bahaya Tersembunyi Shadow IT

Biasanya, organisasi menggunakan beberapa solusi atau layanan untuk melindungi perangkat kerja. Misalnya, banyak perusahaan mungkin menggunakan ESET Endpoint Security dengan ESET Inspect untuk memvisualisasikan dan mengontrol postur keamanan mereka dengan lebih baik, sambil juga menggunakan ESET Mobile Threat Defense pada ponsel kerja.

Hal ini menghasilkan lingkungan yang aman, di mana aktivitas berbahaya mudah terdeteksi oleh solusi-solusi ini yang memeriksa ketidaksesuaian terkait aturan yang ada

Atau perilaku yang tidak biasa, seperti karyawan menginstal driver rentan yang ditandatangani (dalam kasus terburuk menandakan adanya pembunuh EDR).

Perangkat yang tidak disetujui tidak memiliki semua ini: tidak ada patching kerentanan otomatis, hampir nol pertahanan terhadap ancaman canggih karena akses SOC yang tidak ada, dan musim terbuka untuk data perusahaan bagi setiap aktor ancaman yang bersedia.

Terlebih lagi, shadow IT juga merupakan masalah kepatuhan, karena aplikasi/perangkat yang tidak dipantau kemungkinan akan dihilangkan selama audit wajib untuk pelaporan asuransi atau regulasi.

Yang terakhir secara khusus adalah masalah shadow IT yang besar karena tidak banyak yang dibutuhkan karyawan untuk mentransfer dokumen perusahaan ke drive USB pribadi, mengunggahnya ke cloud pribadi mereka.

Atau dalam skenario terburuk, memasukkan malware ke jaringan perusahaan melalui perangkat yang dikompromikan. Dengan kemungkinan seperti itu, kemungkinan insiden yang menyelinap ke personel IT tumbuh menjadi kepastian penuh.

Menurut Laporan Biaya Pelanggaran Data IBM 2025, layanan shadow AI bertanggung jawab atas sebanyak 20% insiden keamanan, meningkatkan biaya pelanggaran sebesar $670.000, dan juga mengakibatkan kompromi kekayaan intelektual dan informasi pribadi.

Baca juga: Bahaya Shadow IT

Manfaat Tak Terduga dari Shadow IT

Namun, shadow IT bukanlah sesuatu yang harus sepenuhnya diabaikan. Meskipun ini jelas merupakan faktor risiko, ia memiliki beberapa manfaat, seperti:

Peningkatan Produktivitas: Pencari efisiensi dan produktivitas yang lebih baik mungkin menemukan ini dalam produk-produk yang tidak disetujui yang mereka gunakan.
Menyoroti Kesenjangan Teknologi: Mungkin alat yang tersedia benar-benar kurang, dan pilihan individu yang dibuat oleh karyawan dapat menginformasikan IT perusahaan tentang alternatif yang tepat.
Biaya: Jujur saja, semuanya mahal saat ini. Komputer, ponsel, SaaS…dan biayanya terus meningkat. Dengan tidak harus berkomitmen untuk peningkatan pembelian, perusahaan dapat menghemat biaya dalam jangka panjang.
Pemantauan Keamanan yang Lebih Baik: Dengan memperkenalkan objek baru ke lingkungan bisnis, personel keamanan dapat memperoleh pemahaman yang lebih baik tentang cara mengelola risiko eksternal, dan dalam kasus ini, mendapatkan pemahaman yang lebih baik tentang apa yang merupakan atau bukan perilaku karyawan yang berisiko.

Strategi Mengatasi Shadow IT

Masalah dengan shadow IT adalah sulit untuk menilai sejauh mana keberadaannya dalam suatu organisasi. Karena banyaknya perangkat dan program yang kemungkinan digunakan, hampir tidak mungkin untuk mengauditnya.

Untuk perangkat lunak yang diinstal di komputer kerja, mungkin lebih mudah karena telah diinokulasi dengan manajemen jarak jauh atau perangkat lunak keamanan yang cermat, tetapi untuk perangkat shadow kemungkinan sedikit lebih rumit.

Perusahaan cerdas mengatasi vektor ini melalui segmentasi jaringan (seperti Wi-Fi tamu) dan manajemen akses (membutuhkan VPN yang dilindungi untuk mengakses server internal).

Tetapi ini tidak serta merta menghentikan orang untuk menyalin atau mengirim berkas ke ruang yang tidak sah, yang merupakan pengganda risiko lainnya. Oleh karena itu, pencegahan harus diutamakan.

Baca juga: Domain Shadowing

Pendekatan Holistik untuk Mengelola Shadow IT

Untuk memerangi shadow IT sambil mengatasi produktivitas karyawan, bisnis harus:

Dengan mengkomunikasikan ekspektasi dari sisi IT secara jelas, termasuk potensi sanksi, bisnis dapat meningkatkan kesadaran karyawan sambil mengurangi kewajiban mereka.
Pelatihan kesadaran keamanan siber harus menjelaskan risiko yang terkait dengan perangkat atau aplikasi yang tidak disetujui, menjadikan shadow IT sebagai poin penting.
Kemungkinan karyawan memiliki alasan yang sah untuk menggunakan shadow IT. Survei sikap karyawan untuk merinci pengalaman mereka dan menilai setiap peluang untuk ROI yang lebih baik terkait penggunaan produk.
Tidak ada agen pemantauan aktif yang terinstal pada perangkat shadow? Tidak masalah. Jika karyawan ini terhubung ke jaringan perusahaan, cukup pindai aktivitas dan lalu lintas jaringan Anda untuk memperhitungkan perilaku mencurigakan. Untuk aplikasi atau layanan yang berpotensi tidak diinginkan, agen keamanan yang terinstal atau alat pemantauan dapat sangat membantu.

Mengelola Shadow IT dengan Bijak

Apakah shadow IT merupakan masalah? Itu tergantung pada sudut pandang seseorang. Meskipun merupakan faktor risiko yang melipatgandakan kemungkinan paparan data, atau kompromi, ada juga sisi positifnya.

Mungkin tidak masuk akal untuk melarang semua aplikasi shadow, tetapi mengubah penggunaannya menjadi pengambilan keputusan yang lebih baik seputar pengadaan perangkat atau perangkat lunak, serta kebijakan internal mengenai BYOD, misalnya, akan menjadi argumen untuk relevansinya yang berkelanjutan.

Baca artikel lainnya: