Bahaya Shadow IT

Shadow IT telah ada selama bertahun-tahun. Istilah umum yang merujuk pada aplikasi, solusi, atau perangkat keras apa pun yang digunakan oleh karyawan tanpa persetujuan dan kendali dari departemen IT.

Terkadang ini adalah teknologi tingkat perusahaan, hanya dibeli dan digunakan tanpa sepengetahuan tim IT. Teknologi konsumen, yang dapat membuat perusahaan menghadapi risiko tambahan.

Intinya shadow IT adalah bahwa penggunaan perangkat lunak dan perangkat oleh karyawan di luar bidang IT yang jika dibiarkan dapat menjadi ancaman besar bagi perusahaan. Pertanyaannya adalah apa yang harus dilakukan tentang hal itu, ketika bahkan skala masalahnya bisa sulit untuk dibedakan.

Aspek Shadow IT mencakup:

1. Penyimpanan file tingkat konsumen yang dirancang untuk membantu pekerja berkolaborasi satu sama lain secara lebih efisien.
2. Produktivitas dan alat manajemen proyek yang juga dapat meningkatkan kolaborasi dan kemampuan staf untuk menyelesaikan tugas sehari-hari.
3. Pesan dan email untuk mendorong komunikasi yang lebih lancar dengan kontak kerja dan non-kerja.
4. Sistem Cloud IaaS dan PaaS yang dapat digunakan untuk menghosting sumber daya yang tidak disetujui.

Mengapa itu terjadi?

Shadow IT biasanya muncul karena karyawan muak dengan alat IT perusahaan yang tidak efisien yang mereka rasa menghambat produktivitas. Dengan munculnya pandemi, banyak perusahaan terpaksa mengizinkan staf menggunakan perangkat pribadi mereka untuk bekerja dari rumah. Ini membuka pintu untuk mengunduh aplikasi yang tidak disetujui.

Ini diperparah oleh fakta bahwa banyak staf tidak mengetahui kebijakan keamanan perusahaan, atau bahwa para pemimpin IT sendiri telah dipaksa untuk menangguhkan kebijakan tersebut. Dalam satu studi baru-baru ini, 76 persen tim IT mengakui bahwa keamanan tidak diprioritaskan demi kelangsungan bisnis selama pandemi, sementara 91 persen mengatakan mereka merasakan tekanan untuk membahayakan keamanan.

Pandemi mungkin juga telah mendorong penggunaan shadow IT yang lebih besar karena tim IT itu sendiri kurang terlihat oleh pekerja. Ini mempersulit pengguna untuk memeriksa sebelum menggunakan alat baru dan mungkin secara psikologis membuat mereka lebih cenderung untuk tidak mematuhi kebijakan resmi.

Sebuah studi tahun 2020 mengklaim bahwa lebih dari setengah (56 persen) pekerja jarak jauh global menggunakan aplikasi non-kerja di perangkat perusahaan, dan 66 persen mengunggah data perusahaan ke sana. Hampir sepertiga (29 persen) mengatakan mereka merasa dapat menggunakan aplikasi non-kerja, karena solusi yang berasal dari IT tidak cukup membantu.

Berikut ringkasan singkat tentang potensi risiko shadow IT bagi perusahaan:

• Tidak ada kontrol IT berarti perangkat lunak dapat tidak ditambal atau salah konfigurasi (yaitu dengan kata sandi yang lemah), membuat pengguna dan data perusahaan rentan serangan
• Tidak ada anti-malware tingkat perusahaan atau solusi keamanan lainnya yang melindungi aset shadow IT atau jaringan perusahaan
• Tidak ada kemampuan untuk mengontrol kebocoran/pembagian data yang tidak disengaja atau disengaja
• Tantangan kepatuhan dan audit
• Paparan kehilangan data, karena aplikasi dan data shadow IT tidak akan tercakup oleh proses pencadangan perusahaan
• Kerusakan finansial dan reputasi yang berasal dari pelanggaran keamanan yang serius

Cara mengatasi shadow IT

• Tahap pertama adalah memahami skala potensi ancaman. Tim IT tidak boleh berada di bawah ilusi bahwa shadow IT tersebar luas, dan dapat menjadi risiko serius. Tapi itu bisa dikurangi. Pertimbangkan hal berikut:
• Merancang kebijakan komprehensif untuk menangani shadow IT, termasuk daftar perangkat lunak dan perangkat keras yang disetujui dan tidak disetujui yang dikomunikasikan dengan jelas, dan proses untuk meminta persetujuan
• Mendorong transparansi di antara karyawan dengan mendidik mereka tentang potensi dampak shadow IT dan memulai dialog dua arah yang jujur
• Dengarkan dan sesuaikan kebijakan berdasarkan umpan balik karyawan tentang alat apa yang berfungsi dan mana yang tidak. Mungkin sudah waktunya untuk meninjau kembali kebijakan untuk era kerja hibrida baru untuk lebih menyeimbangkan keamanan dan kenyamanan
• Gunakan alat pemantauan untuk melacak penggunaan shadow IT di perusahaan dan aktivitas berisiko apa pun, dan mengambil tindakan yang sesuai dengan pelanggar yang terus-menerus

Shadow IT memperluas permukaan serangan perusahaan dan mengundang risiko dunia maya. Tapi itu berkembang ke ukuran yang dimilikinya karena alat dan kebijakan saat ini sering dianggap terlalu membatasi. Memperbaikinya akan membutuhkan IT untuk menyesuaikan budayanya sendiri untuk terlibat lebih dekat dengan tenaga kerja umum.