Bisnis itu kompetitif, dan terkadang memerlukan risiko untuk mencapai kesuksesan – namun penelitian baru mengungkapkan bahwa beberapa karyawan mungkin mengambil risiko lebih besar daripada yang mereka sadari.
Shadow IT, atau perangkat lunak dan layanan yang digunakan karyawan tanpa izin dari departemen TI, dapat mengancam data bisnis dan pelanggan dan bahkan meningkatkan risiko serangan siber.
Bukan rahasia lagi bahwa karyawan sangat membutuhkan layanan yang dapat menghemat waktu dan meningkatkan produktivitas – namun jika perusahaan tidak menyediakan layanan tersebut, karyawan akan mencarinya sendiri.
Perjuangan melawan Shadow IT
Kecerdasan buatan, baik atau buruk, telah menjadi bagian dari kehidupan sehari-hari banyak pekerja. Ini dapat membantu mengubah email kemarahan menjadi email yang lebih ramah perusahaan, atau membantu mengatur tugas untuk meningkatkan manajemen waktu dan produktivitas.
Tapi apakah ini alat AI disetujui oleh bisnis bukanlah pertanyaan yang terlintas di benak banyak orang, karena sering kali pemikiran utama adalah menghemat waktu, terutama jika suatu layanan dapat mempermudah pekerjaan. Kebijakan dan tata kelola seringkali bukan bagian dari proses berpikir.
Nyatanya, Laporan Tahunan 1Password 2025 menemukan bahwa lebih dari separuh (52%) karyawan pernah mengunduh aplikasi tanpa persetujuan TI, dan meskipun hampir tiga perempat (73%) karyawan didorong untuk menggunakan alat AI, sebanyak 33% tidak mengikuti kebijakan AI bisnis.
Banyak alat dan perangkat lunak AI akan mengambil data dan masukan pengguna untuk digunakan sebagai materi pelatihan sangat berbahaya bagi data perusahaan dan pelanggan. Misalnya, jika alat AI diberi tabel nama, alamat, email, dan data lainnya, alat tersebut dapat mengembalikannya ke perintah yang dibuat dengan cermat.
Namun itu bukan satu-satunya bahaya yang dihadirkan oleh Shadow IT. Perangkat lunak keamanan saat ini kesulitan mengatasi banyaknya alat yang digunakan oleh karyawan selama hari kerja, dan dalam beberapa kasus tidak dapat memberikan perlindungan – terutama jika karyawan menggunakan aplikasi yang tidak sah.
“Orang-orang akan selalu menghindari gesekan, menciptakan solusi mereka sendiri ketika dukungan tidak jelas. Saat ini hal tersebut terlihat dalam kompleksitas implementasi SaaS dan AI,” kata Dave Lewis, Global Advisory CISO di 1Password.
“Masalahnya bukan pada alat SaaS dan AI yang digunakan perusahaan di lingkungan perusahaan mereka; melainkan pada asumsi kami. Banyak organisasi yang meminta alat identitas masa lalu untuk mengatur tempat kerja yang berbasis cloud dan berakselerasi AI. Keterputusan ini telah menyebabkan Kesenjangan Akses-Kepercayaan. Jika organisasi menginginkan ketahanan dan kecepatan, industri harus memperlakukan akses sebagai hal yang berkelanjutan, sadar konteks, dan sebagian besar tidak terlihat, melindungi setiap aplikasi, setiap alat, dan setiap identitas sambil membiarkan karyawan melanjutkan pekerjaan.”
Teka-teki CISO
Masalah Shadow IT lebih dari sekedar masalah bisnis, dalam beberapa kasus ini adalah masalah mata pencaharian.
Penelitian telah menunjukkan profesional keamanan siber semakin stres Mengingat luasnya ancaman yang dihadapi bisnis dari luar, maka menghadapi ancaman dari dalam juga tidak membantu.
Hal ini terutama berlaku bagi CISO, yang kini dihadapkan pada tantangan untuk menyetujui serangkaian alat baru untuk digunakan perusahaan sambil melanjutkan perjuangan abadi mereka melawan kekuatan jahat.
Dalam media briefing yang dihadiri oleh TechRadar ProMark Hazleton, CSO di Oracle Red Bull Racing, mencatat, “hanya gambaran sederhana tentang apa yang ada di luar sana dan apa yang dicari dan dicari oleh karyawan kami – sembilan puluh sembilan kali dari seratus, ini murni untuk tujuan bisnis dan akal sehat. Namun apakah situs tersebut seaman yang Anda inginkan, dan sebagainya. Ini adalah tantangan yang sulit.”
Dalam banyak kasus, seorang karyawan dapat menemukan alat yang dapat meningkatkan produktivitas mereka secara signifikan, namun alat tersebut harus diaudit, diuji, dan disetujui dalam proses yang dapat memakan waktu berminggu-minggu. Jadi, untuk segera mendapatkan manfaatnya, mereka mungkin hanya menggunakan alat tersebut tanpa mempertimbangkan risikonya.
Mark Hillick, CISO di Brex, senada dengan sentimen Hazleton, menambahkan, “hal ini sangat berbeda. Anda mencoba mengaktifkan bisnis, namun juga tidak mengambil risiko yang tidak semestinya. Dan mirip dengan Red Bull, kami memiliki karyawan yang sangat sadar akan keamanan. Jadi, meskipun mereka ingin berinovasi dan ingin pindah, kami memiliki masalah dalam mengimbanginya.”
Sebuah pelajaran yang bisa dipetik
Alat keamanan sering kali tidak memiliki visibilitas ke Shadow IT, terutama jika seorang karyawan memasukkan informasi perusahaan ke dalam aplikasi di perangkat pribadi. Faktanya, laporan 1Password menemukan 43% karyawan menggunakan aplikasi AI di perangkat pribadi, dan 25% menggunakan aplikasi AI yang tidak disetujui di tempat kerja.
Selain itu, 22% karyawan telah berbagi data perusahaan dengan alat AI, 24% telah berbagi rincian panggilan pelanggan, dan 19% telah berbagi data karyawan.
Terkait alat keamanan yang paling banyak digunakan oleh karyawan, seperti Sistem Masuk Tunggal (SSO), 74% profesional keamanan dan TI mengatakan bahwa hal tersebut tidak cukup untuk melindungi karyawan dan bisnis, dengan 30% aplikasi tertinggal di luar gelembung SSO. Karyawan juga beralih ke alat atau data yang disediakan oleh tempat kerja sebelumnya, dan 34% mengakui praktik tersebut.
Jadi apa yang bisa dilakukan?
Pemecahan masalah ini, seperti yang sering terjadi, bergantung pada pendidikan. Karyawan perlu memiliki pengetahuan yang jelas tentang alat apa yang dapat mereka gunakan, data apa yang dapat mereka masukkan ke dalamnya, dan cara mendapatkan alat atau aplikasi yang disetujui untuk digunakan di tempat kerja. Namun tim keamanan juga memiliki kesenjangan dalam pengetahuan mereka.
Susan Chiang, CISO di Headway berbicara mengenai hal ini pada konferensi pers, dengan menyatakan, “Saya rasa secara keseluruhan ada banyak faktor tradisional dan titik visibilitas yang sudah biasa kita andalkan, meskipun secara tidak sempurna, namun semakin tidak sesuai dengan era baru adopsi perangkat lunak ini.”
Alat AI semakin banyak digunakan oleh profesional TI dan keamanan untuk meningkatkan visibilitas dan deteksi ancaman, dan C-Suite perlu menyadari ancaman dan manfaat AI – khususnya CISO.
“Anda adalah seorang pemimpin bisnis, jadi begitulah cara Anda harus berpikir dan benar-benar mendorong tim Anda untuk melakukan pendekatan berdasarkan rasa ingin tahu dan pembelajaran,” jelas Hillick. “Saya pikir pada akhirnya, dengan menerapkan hal ini lebih jauh lagi kepada CISO generasi berikutnya, mereka akan mewarisi lanskap asli AI, jadi mereka perlu fokus pada bagaimana AI dapat menjadi solusi, bukan masalah.”
