Shadow IT mengacu pada praktik pengguna yang menggunakan sumber daya teknologi yang tidak sah untuk menghindari departemen TI mereka. Pengguna dapat menggunakan praktik TI bayangan ketika mereka merasa bahwa kebijakan TI yang ada terlalu membatasi atau menghalangi mereka untuk dapat melakukan pekerjaan mereka secara efektif.
Fenomena sekolah tua
Bayangan IT bukanlah hal baru. Ada banyak contoh penggunaan bayangan IT yang tersebar luas selama bertahun-tahun. Pada awal 2000-an, misalnya, banyak organisasi enggan mengadopsi Wi-Fi karena khawatir hal itu dapat merusak upaya keamanan mereka. Namun, pengguna menginginkan kenyamanan penggunaan perangkat nirkabel dan sering menggunakan titik akses nirkabel tanpa sepengetahuan atau persetujuan departemen TI.
Hal yang sama terjadi ketika iPad pertama kali menjadi populer. Departemen TI sebagian besar melarang iPad digunakan dengan data bisnis karena ketidakmampuan untuk menerapkan pengaturan kebijakan grup dan kontrol keamanan lainnya ke perangkat. Meski begitu, pengguna sering mengabaikan IT dan tetap menggunakan iPad.
Tentu saja, para profesional TI akhirnya menemukan cara untuk mengamankan iPad dan Wi-Fi dan akhirnya menggunakan teknologi tersebut. Namun, penggunaan shadow IT tidak selalu berakhir bahagia. Pengguna yang terlibat dalam penggunaan TI bayangan tanpa sadar dapat membahayakan organisasi yang tidak dapat diperbaiki.
Meski begitu, masalah penggunaan shadow IT terus berlanjut hingga saat ini. Jika ada, penggunaan bayangan TI telah meningkat selama beberapa tahun terakhir. Pada tahun 2021 misalnya, Gartner menemukan bahwa antara 30% dan 40% dari semua pengeluaran TI (dalam perusahaan besar) digunakan untuk mendanai TI bayangan.
Shadow IT sedang naik daun di tahun 2022
Kerja jarak jauh pascapandemi
Salah satu alasan meningkatnya penggunaan bayangan TI adalah pekerjaan jarak jauh. Ketika pengguna bekerja dari rumah, lebih mudah bagi mereka untuk menghindari pemberitahuan jika departemen TI daripada jika mereka mencoba menggunakan teknologi yang tidak sah dari dalam kantor perusahaan. Sebuah studi oleh Core menemukan bahwa pekerjaan jarak jauh yang berasal dari persyaratan COVID meningkatkan penggunaan TI bayangan sebesar 59%.
Teknologi semakin sederhana bagi pengguna akhir
Alasan lain untuk peningkatan bayangan TI adalah kenyataan bahwa lebih mudah dari sebelumnya bagi pengguna untuk menghindari departemen TI. Misalkan untuk sesaat seorang pengguna ingin menerapkan beban kerja tertentu, tetapi departemen TI menolak permintaan tersebut.
Pengguna yang gigih dapat dengan mudah menggunakan kartu kredit perusahaan mereka untuk membuat akun cloud. Karena akun ini ada sebagai penyewa independen, TI tidak akan memiliki visibilitas ke dalam akun dan bahkan mungkin tidak tahu bahwa akun itu ada. Hal ini memungkinkan pengguna untuk menjalankan beban kerja tidak sah mereka dengan impunitas total.
Faktanya, sebuah studi tahun 2020 menemukan bahwa 80% pekerja mengaku menggunakan aplikasi SaaS yang tidak sah. Studi yang sama ini juga menemukan bahwa rata-rata shadow IT cloud perusahaan bisa 10X lebih besar dari penggunaan cloud yang disetujui perusahaan.
Kenali jaringan Anda sendiri
Mengingat kemudahan penggunaan sumber daya TI bayangan, tidak realistis bagi TI untuk berasumsi bahwa TI bayangan tidak terjadi atau bahwa mereka akan dapat mendeteksi penggunaan TI bayangan. Dengan demikian, strategi terbaik mungkin mendidik pengguna tentang risiko yang ditimbulkan oleh TI bayangan. Pengguna yang memiliki latar belakang TI yang terbatas dapat secara tidak sengaja memperkenalkan risiko keamanan dengan terlibat dalam TI bayangan. Menurut laporan Forbes Insights, 60% perusahaan tidak memasukkan bayangan TI dalam penilaian ancaman mereka.
Demikian pula, bayangan penggunaan TI dapat membuat organisasi terkena sanksi peraturan. Faktanya, seringkali auditor kepatuhan – bukan departemen TI – yang akhirnya menemukan penggunaan TI bayangan.
Tentu saja, mendidik pengguna saja tidak cukup untuk menghentikan penggunaan TI bayangan. Akan selalu ada pengguna yang memilih untuk mengabaikan peringatan. Demikian juga, menyerah pada tuntutan pengguna untuk menggunakan teknologi tertentu mungkin juga tidak selalu menjadi kepentingan terbaik organisasi. Lagi pula, tidak ada kekurangan aplikasi yang ditulis dengan buruk atau usang yang dapat menimbulkan ancaman signifikan bagi organisasi Anda. Jangankan aplikasi yang dikenal memata-matai pengguna.
Solusi tanpa kepercayaan untuk Shadow IT
Salah satu opsi terbaik untuk menghadapi ancaman TI bayangan mungkin adalah dengan mengadopsi kepercayaan nol. Zero-trust adalah filosofi di mana tidak ada dalam organisasi Anda yang secara otomatis dianggap dapat dipercaya. Identitas pengguna dan perangkat harus dibuktikan setiap kali digunakan untuk mengakses sumber daya.
Ada banyak aspek berbeda pada arsitektur zero-trust, dan setiap organisasi menerapkan zero-trust secara berbeda. Beberapa organisasi misalnya, menggunakan kebijakan akses bersyarat untuk mengontrol akses ke sumber daya. Dengan begitu, organisasi tidak hanya memberikan akses tak terbatas kepada pengguna ke sumber daya, tetapi juga mempertimbangkan bagaimana pengguna mencoba mengakses sumber daya. Ini mungkin melibatkan pengaturan pembatasan di sekitar lokasi geografis pengguna, jenis perangkat, waktu, atau faktor lainnya.
Tanpa kepercayaan di meja bantuan
Salah satu hal terpenting yang dapat dilakukan organisasi terkait penerapan zero trust adalah mengamankan helpdesknya dengan lebih baik. Sebagian besar meja bantuan organisasi rentan terhadap serangan rekayasa sosial.
Ketika seorang pengguna menelepon dan meminta pengaturan ulang kata sandi, teknisi helpdesk mengasumsikan bahwa pengguna adalah siapa yang mereka klaim, padahal pada kenyataannya, penelepon sebenarnya bisa menjadi peretas yang mencoba menggunakan permintaan pengaturan ulang kata sandi sebagai cara untuk mendapatkan akses ke jaringan. Memberikan permintaan pengaturan ulang kata sandi tanpa memverifikasi identitas pengguna bertentangan dengan semua yang diperjuangkan oleh zero trust.
Meja Layanan Aman Perangkat Lunak Specops dapat menghilangkan kerentanan ini dengan membuat teknisi helpdesk tidak mungkin mereset kata sandi pengguna sampai identitas pengguna tersebut terbukti. Anda dapat mengujinya secara gratis untuk mengurangi risiko bayangan TI di jaringan Anda.