TI bayangan adalah perangkat lunak, perangkat keras, atau sumber daya teknologi informasi (TI) yang digunakan di jaringan perusahaan tanpa persetujuan, pengetahuan, atau pengawasan departemen TI.
Contoh TI bayangan mencakup berbagi file kerja di akun penyimpanan cloud pribadi, mengadakan rapat melalui platform konferensi video tidak sah saat perusahaan menggunakan layanan lain yang disetujui, atau membuat obrolan grup tidak resmi tanpa persetujuan TI.
TI bayangan tidak termasuk malware atau aset berbahaya lainnya yang ditanam oleh peretas. Ini hanya mengacu pada aset yang tidak disetujui yang digunakan oleh pengguna akhir resmi jaringan.
Pengguna akhir dan tim biasanya mengadopsi TI bayangan karena mereka dapat mulai menggunakannya tanpa menunggu persetujuan TI, atau karena mereka merasa TI bayangan menawarkan fungsionalitas yang lebih baik untuk tujuan mereka dibandingkan dengan TI alternatif lainnya. Namun terlepas dari manfaat ini, TI bayangan dapat menimbulkan risiko keamanan yang signifikan. Karena tim TI tidak menyadari TI bayangan, mereka tidak memantau aset tersebut atau mengatasi kerentanan mereka. TI bayangan sangat rentan terhadap eksploitasi oleh peretas.
Menurut Cisco, 80% karyawan perusahaan menggunakan TI bayangan. Karyawan perorangan sering kali mengadopsi TI bayangan demi kenyamanan dan produktivitas mereka. Mereka merasa bisa bekerja lebih efisien atau efektif menggunakan perangkat pribadi dan perangkat lunak pilihan mereka, alih-alih menggunakan sumber daya TI yang disetujui perusahaan. Studi lain, dikutip oleh IBM Institute for Business Value, menemukan bahwa 41% karyawan memperoleh, memodifikasi, atau menciptakan teknologi tanpa sepengetahuan tim IT/IS mereka.
Hal ini semakin meningkat seiring dengan konsumerisasi TI dan, yang terbaru, dengan maraknya pekerjaan jarak jauh. Perangkat lunak sebagai layanan (SaaS) memungkinkan siapa pun yang memiliki kartu kredit dan pengetahuan teknis minimal untuk menerapkan sistem TI canggih untuk kolaborasi, manajemen proyek, pembuatan konten, dan banyak lagi. Kebijakan bawa perangkat Anda sendiri (BYOD) di organisasi mengizinkan karyawan untuk menggunakan komputer dan perangkat seluler mereka sendiri di jaringan perusahaan. Namun bahkan dengan adanya program BYOD formal, tim TI sering kali kurang memiliki visibilitas terhadap perangkat lunak dan layanan yang digunakan karyawan pada perangkat keras BYOD, dan mungkin sulit untuk menerapkan kebijakan keamanan TI pada perangkat pribadi karyawan.
Tetapi TI bayangan tidak selalu merupakan hasil dari karyawan yang bertindak sendiri, aplikasi IT bayangan juga diadopsi oleh tim. Menurut Gartner, 38% pembelian teknologi dikelola, ditentukan, dan dikendalikan oleh para pemimpin bisnis, bukan oleh TI. Tim ingin mengadopsi layanan cloud baru, aplikasi SaaS, dan teknologi informasi lainnya, namun sering kali merasa proses pengadaan yang dilakukan oleh departemen TI dan CIO terlalu membebani atau lambat. Jadi mereka menghindari TI untuk mendapatkan teknologi baru yang mereka inginkan. Sebagai contoh, tim pengembangan perangkat lunak dapat mengadopsi lingkungan pengembangan terintegrasi yang baru tanpa berkonsultasi dengan departemen TI, karena proses persetujuan formal akan menunda pengembangan dan menyebabkan perusahaan kehilangan peluang pasar.
Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.
Perangkat lunak, aplikasi, dan layanan pihak ketiga yang tidak disetujui mungkin merupakan bentuk TI bayangan yang paling tertanam. Contoh umum meliputi:
Aplikasi produktivitas seperti Trello dan Asana
Penyimpanan cloud, berbagi file, dan aplikasi pengeditan dokumen seperti Dropbox, Google Docs, Google Drive, dan Microsoft OneDrive
Aplikasi komunikasi dan perpesanan termasuk Skype, Slack, WhatsApp, Zoom, Signal, Telegram, dan akun email pribadi
Layanan cloud dan penawaran SaaS ini sering kali mudah diakses, intuitif untuk digunakan, dan tersedia secara gratis atau dengan biaya yang sangat rendah, sehingga memungkinkan tim untuk dengan cepat menggunakannya sesuai kebutuhan. Seringkali, karyawan membawa aplikasi TI bayangan ini ke tempat kerja karena mereka sudah menggunakannya dalam kehidupan pribadi mereka. Karyawan juga dapat diundang untuk menggunakan layanan ini oleh pelanggan, mitra, atau penyedia layanan, misalnya, tidak jarang karyawan bergabung dengan aplikasi produktivitas klien untuk berkolaborasi dalam proyek.
Perangkat pribadi karyawan (smartphone, laptop, dan perangkat penyimpanan seperti drive USB dan hard drive eksternal) adalah sumber umum lain dari TI bayangan. Karyawan dapat menggunakan perangkat mereka untuk mengakses, menyimpan, atau mengirimkan sumber daya jaringan dari jarak jauh, atau mereka dapat menggunakan perangkat ini on premises sebagai bagian dari program BYOD resmi. Apa pun itu, sering kali sulit bagi departemen TI untuk menemukan, memantau, dan mengelola perangkat-perangkat ini dengan sistem manajemen aset tradisional.
Meskipun karyawan biasanya mengadopsi TI bayangan karena manfaat yang dirasakan, aset TI bayangan menimbulkan potensi risiko keamanan bagi organisasi. Risiko-risiko tersebut meliputi:
Karena tim TI umumnya tidak menyadari adanya aset TI bayangan tertentu, kerentanan keamanan pada aset-aset ini tidak tertangani. Pengguna akhir atau tim departemen mungkin tidak memahami pentingnya pembaruan, penginstalan patch, konfigurasi, izin, dan kontrol keamanan dan peraturan yang penting untuk aset-aset ini, sehingga semakin memperburuk eksposur organisasi.
Data sensitif dapat disimpan, diakses, atau ditransmisikan melalui perangkat dan aplikasi TI bayangan yang tidak aman, sehingga perusahaan berisiko mengalami pelanggaran atau kebocoran data. Data yang disimpan dalam aplikasi TI bayangan tidak akan tertangkap selama pencadangan sumber daya TI yang resmi, sehingga sulit untuk memulihkan informasi setelah kehilangan data. Dan TI bayangan juga dapat berkontribusi pada inkonsistensi data: ketika data tersebar di berbagai aset TI bayangan tanpa manajemen terpusat, karyawan mungkin bekerja dengan informasi yang tidak resmi, tidak valid, atau sudah tidak berlaku.
Peraturan seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan, Standar Keamanan Data Industri Kartu Pembayaran, dan Peraturan Perlindungan Data Umum memiliki persyaratan ketat untuk memproses informasi identifikasi pribadi. Solusi TI bayangan yang dipintal oleh karyawan dan departemen tanpa keahlian kepatuhan mungkin tidak memenuhi standar keamanan data ini, yang menyebabkan denda atau tindakan hukum terhadap organisasi.
Aplikasi TI bayangan mungkin tidak dapat berintegrasi dengan mudah dengan infrastruktur TI yang telah disetujui, sehingga menghalangi alur kerja yang mengandalkan informasi atau aset bersama. Tim TI tidak mungkin memperhitungkan sumber daya TI bayangan saat memperkenalkan aset baru yang disetujui atau menyediakan infrastruktur TI untuk departemen tertentu. Akibatnya, departemen TI dapat membuat perubahan pada jaringan atau sumber daya jaringan dengan cara yang mengganggu fungsionalitas aset TI bayangan yang diandalkan oleh tim.
Di masa lalu, organisasi sering mencoba mengurangi risiko ini dengan melarang TI bayangan sepenuhnya. Namun, para pemimpin TI semakin menerima TI bayangan sebagai sebuah keniscayaan, dan banyak yang mulai menerima manfaat bisnis dari TI bayangan. Manfaatnya meliputi:
Memungkinkan tim menjadi lebih tangkas dalam merespons perubahan lingkungan bisnis dan evolusi teknologi baru
Mengizinkan karyawan menggunakan alat terbaik untuk pekerjaan mereka
Merampingkan operasi TI dengan mengurangi biaya dan sumber daya yang diperlukan untuk mendapatkan aset TI baru
Untuk mengurangi risiko TI bayangan tanpa mengorbankan manfaat ini, banyak organisasi sekarang bertujuan untuk menyelaraskan TI bayangan dengan protokol keamanan TI standar daripada melarangnya secara langsung. Untuk itu, tim TI sering menerapkan teknologi keamanan siber seperti alat manajemen permukaan serangan, yang terus memantau aset TI organisasi yang terhubung ke internet untuk menemukan dan mengidentifikasi TI bayangan saat diadopsi. Aset bayangan ini kemudian dapat dievaluasi untuk kerentanan dan diperbaiki.
Organisasi juga dapat menggunakan perangkat lunak pialang keamanan aset cloud (CASB), yang memastikan koneksi aman antara karyawan dan aset cloud apa pun yang mereka gunakan, termasuk aset yang diketahui dan tidak diketahui. CASB dapat menemukan layanan cloud bayangan dan menerapkan langkah-langkah keamanan seperti enkripsi, kebijakan kontrol akses, dan deteksi malware.