Apa itu Shadow IT? Penyebab, Bahaya, dan Solusinya

Shadow IT adalah praktik pengguna yang menggunakan sumber daya teknologi secara ilegal untuk menghindari departemen IT mereka. Ketika pengguna percaya bahwa peraturan IT yang ada terlalu membatasi atau mengganggu kemampuan mereka untuk melakukan pekerjaan mereka secara efektif, mereka mungkin beralih menggunakan praktik Shadow IT.

Sebuah Fenomena Klasik

Shadow IT bukanlah hal baru. Selama bertahun-tahun, ada beberapa contoh penggunaan Shadow IT yang tersebar luas selama bertahun-tahun. Misalnya, banyak organisasi ragu-ragu untuk mengadopsi Wi-Fi di awal tahun 2000-an, karena khawatir hal itu akan merusak upaya keamanan mereka. Pengguna, di sisi lain, menginginkan kenyamanan penggunaan perangkat nirkabel dan sering membuat titik akses nirkabel tanpa sepengetahuan atau persetujuan departemen IT.

Ketika iPad awalnya menjadi populer, hal yang sama terjadi. Departemen IT sering kali melarang penggunaan iPad dengan data perusahaan karena ketidakmampuan perangkat untuk menerapkan pengaturan kebijakan grup dan kontrol keamanan lainnya. Meskipun demikian, pengguna sering mengabaikan IT dan terus menggunakan iPad.

Tentu saja, para profesional IT akhirnya menemukan cara untuk melindungi iPad dan Wi-Fi dan akhirnya menggunakan teknologi tersebut. Namun, tidak semua contoh penggunaan Shadow IT berakhir dengan bahagia. Pengguna Shadow IT mungkin tanpa disadari melakukan bencana besar pada perusahaan.

Meskipun demikian, masalah penggunaan Shadow IT tetap ada hingga hari ini. Penggunaan Shadow IT benar-benar meningkat selama beberapa tahun sebelumnya. Gartner memperkirakan bahwa antara 30% dan 40% dari semua pengeluaran IT (di perusahaan besar) akan digunakan untuk membiayai Shadow IT pada tahun 2021.

Shadow IT Meningkat Tahun 2022

Work From Home Pasca Pandemi

Work From Home (WFH) adalah salah satu penyebab meningkatnya penggunaan Shadow IT. Ketika pengguna Work From Home, mereka cenderung menghindari pemberitahuan departemen IT dibandingkan jika mereka mencoba menggunakan peralatan terlarang dari dalam kantor perusahaan. Menurut penelitian Core, Work From Home akibat peraturan COVID-19 mendorong penggunaan Shadow IT sebesar 59%.

Teknologi yang Lebih Ramah Pengguna

Alasan lain munculnya Shadow IT adalah bahwa sekarang lebih mudah bagi pengguna untuk menghindari departemen IT. Asumsikan sebentar bahwa pengguna ingin menyebarkan beban kerja tertentu, tetapi departemen IT menolak permintaan tersebut.

Pengguna yang termotivasi dapat dengan mudah membuat akun cloud dengan kartu kredit perusahaan mereka. Karena akun ini adalah penyewa mandiri, IT tidak akan memiliki wawasan tentangnya dan mungkin tidak menyadari keberadaannya. Ini memberi pengguna kebebasan untuk melakukan beban kerja mereka yang melanggar hukum.

Faktanya, menurut penelitian tahun 2020, 80% pekerja mengaku menggunakan aplikasi SaaS yang tidak sah. Menurut laporan yang sama, rata-rata Shadow IT cloud perusahaan mungkin 10X lebih besar dari penggunaan cloud yang disetujui perusahaan.

Pahami Jaringan Anda Sendiri

Mengingat kemudahan pengguna untuk menginstal sumber daya Shadow IT, tidak masuk akal bagi IT untuk percaya bahwa Shadow IT tidak terjadi atau akan terdeteksi. Akibatnya, mengedukasi pengguna tentang ancaman yang dihadirkan oleh Shadow IT mungkin merupakan pilihan terbaik. Seseorang dengan pengalaman IT yang tidak memadai dapat secara tidak sengaja menyebabkan masalah keamanan dengan terlibat dalam Shadow IT. Menurut Forbes Insights, 60% perusahaan tidak mempertimbangkan Shadow IT dalam penilaian keamanan mereka.

Demikian pula, menggunakan Shadow IT dapat membuat perusahaan terkena sanksi peraturan. Pada kenyataannya, auditor kepatuhan, bukan departemen IT, yang sering kali mendeteksi penggunaan Shadow IT.

Faktanya, hanya melatih pengguna tidak cukup untuk mencegah penggunaan Shadow IT. Akan selalu ada pengguna yang mengabaikan peringatan. Demikian pula, menyerah pada tuntutan pengguna untuk teknologi tertentu mungkin tidak selalu menjadi kepentingan terbaik perusahaan. Lagi pula, tidak ada kekurangan aplikasi yang ditulis dengan buruk atau usang yang mungkin merupakan ancaman besar bagi perusahaan Anda.

Solusi Zero Trust Untuk Shadow IT

Mengadopsi zero trust mungkin merupakan salah satu alternatif terbaik untuk menangani risiko Shadow IT. Zero-trust adalah pola pikir di mana tidak ada apa pun di perusahaan Anda yang dianggap dapat dipercaya secara default. Setiap kali pengguna atau perangkat mencoba mengakses sumber daya, identitas mereka harus divalidasi.

Arsitektur zero trust memiliki banyak aspek yang berbeda, dan setiap perusahaan menerapkan zero-trust secara berbeda. Beberapa organisasi, misalnya, menggunakan kebijakan akses bersyarat untuk mengontrol akses sumber daya. Dengan cara ini, organisasi tidak hanya mengizinkan pengguna mengakses sumber daya secara tak terbatas, tetapi juga mempertimbangkan bagaimana pengguna mencoba mengakses sumber daya. Menetapkan pengaturan batas berdasarkan lokasi geografis pengguna, jenis perangkat, waktu, atau faktor lain yang mungkin diperlukan.

Zero Trust di Helpdesk

Salah satu hal terpenting yang dapat dilakukan perusahaan untuk menerapkan zero trust adalah meningkatkan keamanan helpdesk-nya. Mayoritas helpdesk rentan terhadap serangan social engineering.

Ketika seorang pengguna menelepon dan menginginkan pengaturan ulang kata sandi, teknisi helpdesk berpikir bahwa pengguna adalah siapa yang mereka klaim, padahal kenyataannya, penelepon mungkin adalah peretas yang mencoba mendapatkan akses ke jaringan melalui permintaan pengaturan ulang kata sandi. Mengizinkan permintaan pengaturan ulang kata sandi tanpa terlebih dahulu mengonfirmasi identitas pengguna bertentangan dengan apa yang dimaksud dengan zero trust.

Dengan mempersulit pekerja helpdesk untuk mereset kata sandi pengguna sebelum identitas pengguna itu terbukti, Specops Software's Secure Service Desk dapat menghilangkan kerentanan ini. Anda dapat menggunakannya untuk mengurangi ancaman Shadow IT di jaringan Anda secara gratis.