Apa yang dimaksud dengan TI bayangan?

Apa yang dimaksud dengan TI bayangan?

TI bayangan adalah perangkat lunak, perangkat keras, atau sumber daya teknologi informasi (TI) yang digunakan di jaringan perusahaan tanpa persetujuan, pengetahuan, atau pengawasan departemen TI.

Contoh TI bayangan mencakup berbagi file kerja di akun penyimpanan cloud pribadi, mengadakan rapat melalui platform konferensi video tidak sah saat perusahaan menggunakan layanan lain yang disetujui, atau membuat obrolan grup tidak resmi tanpa persetujuan TI.

TI bayangan tidak termasuk malware atau aset berbahaya lainnya yang ditanam oleh peretas. Ini hanya mengacu pada aset yang tidak disetujui yang digunakan oleh pengguna akhir resmi jaringan.

Pengguna akhir dan tim biasanya mengadopsi TI bayangan karena mereka dapat mulai menggunakannya tanpa menunggu persetujuan TI, atau karena mereka merasa TI bayangan menawarkan fungsionalitas yang lebih baik untuk tujuan mereka dibandingkan dengan TI alternatif lainnya. Namun terlepas dari manfaat ini, TI bayangan dapat menimbulkan risiko keamanan yang signifikan. Karena tim TI tidak menyadari TI bayangan, mereka tidak memantau aset tersebut atau mengatasi kerentanan mereka. TI bayangan sangat rentan terhadap eksploitasi oleh peretas. 

Penyebab TI bayangan

Menurut Cisco, 80% karyawan perusahaan menggunakan TI bayangan. Karyawan perorangan sering kali mengadopsi TI bayangan demi kenyamanan dan produktivitas mereka. Mereka merasa bisa bekerja lebih efisien atau efektif menggunakan perangkat pribadi dan perangkat lunak pilihan mereka, alih-alih menggunakan sumber daya TI yang disetujui perusahaan. Studi lain, dikutip oleh IBM Institute for Business Value, menemukan bahwa 41% karyawan memperoleh, memodifikasi, atau menciptakan teknologi tanpa sepengetahuan tim IT/IS mereka. 

Hal ini semakin meningkat seiring dengan konsumerisasi TI dan, yang terbaru, dengan maraknya pekerjaan jarak jauh. Perangkat lunak sebagai layanan (SaaS) memungkinkan siapa pun yang memiliki kartu kredit dan pengetahuan teknis minimal untuk menerapkan sistem TI canggih untuk kolaborasi, manajemen proyek, pembuatan konten, dan banyak lagi. Kebijakan bawa perangkat Anda sendiri (BYOD) di organisasi mengizinkan karyawan untuk menggunakan komputer dan perangkat seluler mereka sendiri di jaringan perusahaan. Namun bahkan dengan adanya program BYOD formal, tim TI sering kali kurang memiliki visibilitas terhadap perangkat lunak dan layanan yang digunakan karyawan pada perangkat keras BYOD, dan mungkin sulit untuk menerapkan kebijakan keamanan TI pada perangkat pribadi karyawan.

Tetapi TI bayangan tidak selalu merupakan hasil dari karyawan yang bertindak sendiri, aplikasi IT bayangan juga diadopsi oleh tim. Menurut Gartner, 38% pembelian teknologi dikelola, ditentukan, dan dikendalikan oleh para pemimpin bisnis, bukan oleh TI. Tim ingin mengadopsi layanan cloud baru, aplikasi SaaS, dan teknologi informasi lainnya, namun sering kali merasa proses pengadaan yang dilakukan oleh departemen TI dan CIO terlalu membebani atau lambat. Jadi mereka menghindari TI untuk mendapatkan teknologi baru yang mereka inginkan. Sebagai contoh, tim pengembangan perangkat lunak dapat mengadopsi lingkungan pengembangan terintegrasi yang baru tanpa berkonsultasi dengan departemen TI, karena proses persetujuan formal akan menunda pengembangan dan menyebabkan perusahaan kehilangan peluang pasar.

Buletin Think

Apakah tim Anda akan mampu mendeteksi zero-day berikutnya tepat waktu?

Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.

https://www.ibm.com/id-id/privacy

Contoh TI bayangan

Perangkat lunak, aplikasi, dan layanan pihak ketiga yang tidak disetujui mungkin merupakan bentuk TI bayangan yang paling tertanam. Contoh umum meliputi:

  • Aplikasi produktivitas seperti Trello dan Asana
     

  • Penyimpanan cloud, berbagi file, dan aplikasi pengeditan dokumen seperti Dropbox, Google Docs, Google Drive, dan Microsoft OneDrive
     

  • Aplikasi komunikasi dan perpesanan termasuk Skype, Slack, WhatsApp, Zoom, Signal, Telegram, dan akun email pribadi

Layanan cloud dan penawaran SaaS ini sering kali mudah diakses, intuitif untuk digunakan, dan tersedia secara gratis atau dengan biaya yang sangat rendah, sehingga memungkinkan tim untuk dengan cepat menggunakannya sesuai kebutuhan. Seringkali, karyawan membawa aplikasi TI bayangan ini ke tempat kerja karena mereka sudah menggunakannya dalam kehidupan pribadi mereka. Karyawan juga dapat diundang untuk menggunakan layanan ini oleh pelanggan, mitra, atau penyedia layanan, misalnya, tidak jarang karyawan bergabung dengan aplikasi produktivitas klien untuk berkolaborasi dalam proyek.

Perangkat pribadi karyawan (smartphone, laptop, dan perangkat penyimpanan seperti drive USB dan hard drive eksternal) adalah sumber umum lain dari TI bayangan. Karyawan dapat menggunakan perangkat mereka untuk mengakses, menyimpan, atau mengirimkan sumber daya jaringan dari jarak jauh, atau mereka dapat menggunakan perangkat ini on premises sebagai bagian dari program BYOD resmi. Apa pun itu, sering kali sulit bagi departemen TI untuk menemukan, memantau, dan mengelola perangkat-perangkat ini dengan sistem manajemen aset tradisional.

Risiko TI bayangan

Meskipun karyawan biasanya mengadopsi TI bayangan karena manfaat yang dirasakan, aset TI bayangan menimbulkan potensi risiko keamanan bagi organisasi. Risiko-risiko tersebut meliputi:

Kehilangan visibilitas dan kontrol TI

Karena tim TI umumnya tidak menyadari adanya aset TI bayangan tertentu, kerentanan keamanan pada aset-aset ini tidak tertangani. Pengguna akhir atau tim departemen mungkin tidak memahami pentingnya pembaruan, penginstalan patch, konfigurasi, izin, dan kontrol keamanan dan peraturan yang penting untuk aset-aset ini, sehingga semakin memperburuk eksposur organisasi.

Ketidakamanan data

Data sensitif dapat disimpan, diakses, atau ditransmisikan melalui perangkat dan aplikasi TI bayangan yang tidak aman, sehingga perusahaan berisiko mengalami pelanggaran atau kebocoran data. Data yang disimpan dalam aplikasi TI bayangan tidak akan tertangkap selama pencadangan sumber daya TI yang resmi, sehingga sulit untuk memulihkan informasi setelah kehilangan data. Dan TI bayangan juga dapat berkontribusi pada inkonsistensi data: ketika data tersebar di berbagai aset TI bayangan tanpa manajemen terpusat, karyawan mungkin bekerja dengan informasi yang tidak resmi, tidak valid, atau sudah tidak berlaku.

Masalah kepatuhan

Peraturan seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan, Standar Keamanan Data Industri Kartu Pembayaran, dan Peraturan Perlindungan Data Umum memiliki persyaratan ketat untuk memproses informasi identifikasi pribadi. Solusi TI bayangan yang dipintal oleh karyawan dan departemen tanpa keahlian kepatuhan mungkin tidak memenuhi standar keamanan data ini, yang menyebabkan denda atau tindakan hukum terhadap organisasi.

Inefisiensi bisnis

Aplikasi TI bayangan mungkin tidak dapat berintegrasi dengan mudah dengan infrastruktur TI yang telah disetujui, sehingga menghalangi alur kerja yang mengandalkan informasi atau aset bersama. Tim TI tidak mungkin memperhitungkan sumber daya TI bayangan saat memperkenalkan aset baru yang disetujui atau menyediakan infrastruktur TI untuk departemen tertentu. Akibatnya, departemen TI dapat membuat perubahan pada jaringan atau sumber daya jaringan dengan cara yang mengganggu fungsionalitas aset TI bayangan yang diandalkan oleh tim.

Manfaat TI bayangan

Di masa lalu, organisasi sering mencoba mengurangi risiko ini dengan melarang TI bayangan sepenuhnya. Namun, para pemimpin TI semakin menerima TI bayangan sebagai sebuah keniscayaan, dan banyak yang mulai menerima manfaat bisnis dari TI bayangan. Manfaatnya meliputi:

  • Memungkinkan tim menjadi lebih tangkas dalam merespons perubahan lingkungan bisnis dan evolusi teknologi baru
     

  • Mengizinkan karyawan menggunakan alat terbaik untuk pekerjaan mereka
     

  • Merampingkan operasi TI dengan mengurangi biaya dan sumber daya yang diperlukan untuk mendapatkan aset TI baru

Untuk mengurangi risiko TI bayangan tanpa mengorbankan manfaat ini, banyak organisasi sekarang bertujuan untuk menyelaraskan TI bayangan dengan protokol keamanan TI standar daripada melarangnya secara langsung. Untuk itu, tim TI sering menerapkan teknologi keamanan siber seperti alat manajemen permukaan serangan, yang terus memantau aset TI organisasi yang terhubung ke internet untuk menemukan dan mengidentifikasi TI bayangan saat diadopsi. Aset bayangan ini kemudian dapat dievaluasi untuk kerentanan dan diperbaiki. 

Organisasi juga dapat menggunakan perangkat lunak pialang keamanan aset cloud (CASB), yang memastikan koneksi aman antara karyawan dan aset cloud apa pun yang mereka gunakan, termasuk aset yang diketahui dan tidak diketahui. CASB dapat menemukan layanan cloud bayangan dan menerapkan langkah-langkah keamanan seperti enkripsi, kebijakan kontrol akses, dan deteksi malware. 
Solusi terkait
Solusi keamanan perusahaan

Transformasikan program keamanan Anda dengan solusi dari penyedia keamanan perusahaan terbesar

 Jelajahi solusi keamanan siber
Layanan keamanan siber

Transformasikan bisnis Anda dan kelola risiko dengan konsultasi keamanan siber, cloud, dan layanan keamanan terkelola.

         Jelajahi layanan keamanan siber
    Keamanan siber dengan kecerdasan buatan (AI)

    Tingkatkan kecepatan, akurasi, dan produktivitas tim keamanan dengan solusi keamanan siber yang didukung AI.

         Jelajahi keamanan siber AI
    Ambil langkah selanjutnya

    Baik Anda memerlukan solusi keamanan data, manajemen titik akhir, maupun solusi manajemen identitas dan akses (IAM), pakar kami siap untuk bekerja bersama Anda demi mencapai postur keamanan yang kuat. Mentransformasi bisnis Anda dan mengelola risiko bersama pemimpin industri global dalam konsultasi keamanan siber, cloud, dan layanan keamanan terkelola.

         Jelajahi solusi keamanan siber Temukan layanan keamanan siber