Tidak banyak orang yang paham mengenai resiko Shadow IT untuk perusahaan, karena dalam penyelenggaran kerja di perusahaan, hanya sebagian kecil saja yang mengerti tentang apa yang disebut Shadow IT. Umumnya perhatian lebih tercurah pada masalah lain yang lebih familiar seperti produktifitas atau sumber daya manusia. Padahal resiko Shadow IT untuk perusahaan tidak boleh diabaikan, jika tidak menghendaki terjadi hal-hal yang tidak diinginkan pada perusahaan.
Pengertian Shadow IT
Shadow IT atau dalam bahasa Indonesia adalah penerapan bayangan IT, merupakan aplikasi atau perangkat lunak yang dipergunakan oleh para pegawai perusahaan tanpa mendapatkan persetujuan atau berkonsultasi terlebih dahulu dengan Departemen IT di perusahaan tersebut. Sebagian besar pegawai tidak mengetahui apa resiko Shadow IT untuk perusahaan, sehingga mereka bebas mendownload berbagai macam aplikasi dari internet. Kegiatan tersebut ternyata bisa mengancam keamanan perusahaan. Privacy perusahaan bisa terancam dan Departemen IT pun memperoleh tantangan baru karena Shadow IT.
Berdasarkan survey yang dilakukan pada tahun 2015 oleh Aliansi Keamanan Cloud, ternyata hanya sekitar 8% saja perusahaan yang paham mengenai Shadow IT dan efeknya bagi keamanan perusahaan. Maka tak mengherankan jika banyak kasus mengenai pencurian data perusahaan. Selain itu efek lain dari Shadow IT adalah terjadinya pelanggaran kepatuhan dalam perusahaan.
Resiko Keamanan
Shadow IT jelas-jelas bisa membahayakan perusahaan dan bisnis. Perusahaan seakan tidak dapat mengontrol secara penuh mengenai keamanan datanya. Arus data mengalir tanpa terkendali melalui aplikasi, umumnya melalui Dropbox dan Google Document. Bagaimana Shadow IT bisa mengancam keamanan data perusahaan? Inilah gambaran yang terjadi; Beberapa pegawai perusahaan memiliki aplikasi atau cloud di smartphone mereka tanpa persetujuan tim IT perusahaan. Ketika mereka membuka file tertentu, terdapat kemungkinan bahwa smartphone akan mengcopy file perusahaan dan mengirimkannya ke tempat penyimpanan online yang tidak aman. Ini bisa terjadi saat smartphone melakukan backup data reguler secara otomatis.
Pelanggaran Kepatuhan
Bagaimana Shadow IT disebut bisa menyebabkan pelanggaran kepatuhan? Sistem IT yang tidak mengikuti aturan bisa menyebabkan suatu perusahaan atau organisasi melanggar standar kepatuhan Standar Keamanan Data PCI, Basel II, dan HIPAA. Selain penggunaan aplikasi tanpa izin dari departemen IT, Shadow IT juga termasuk penggunaan aplikasi yang tidak memiliki lisensi/illegal/tidak terdaftar. Hal inilah yang dinilai sebagai sebuah pelanggaran yang dapat menciptakan resiko kerentanan pada sistem keamanan dan audit kepatuhan.
Patuh pada Undang-Undang
Berdasarkan fakta, bahwa penggunaan Shadow IT dapat meruntuhkan peraturan-peraturan di dunia. Sebagai contoh, sektor keuangan harus patuh pada Undang-Undang Sarbanes-Oxley tahun 2002. Sarbanes-Oxley berupaya dalam menjaga keakuratan serta integrasi data yang disajikan pada laporan keuangan dengan cara menetapkan langkah-langkah internal serta memastikan bahwa informasi tersebut dapat diverifikasi. Kontrol tersebut akan ditolak apabila informasinya tidak diatur secara benar dalam Departemen IT perusahaan/organisasi.
Perusahaan/organisasi harus patuh pada Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) seperti yang tersebut di atas. Sebagaimana halnya pada Sarbanes-Oxley, HIPAA juga berupaya untuk melindungi serta mengendalikan arus Informasi Kesehatan Terlindungi secara Elektronik (ePHI) selanjutnya menyimpan informasi tersebut dari pihak-pihak yang tidak sah. Hal tersebut berdasarkan fakta bahwa terdapat banyak aplikasi serta perangkat lunak yang tidak mempunyai kapasitas yang memenuhi standar kepatuhan finansial atau pun kesehatan.
Mengatasi Shadow IT
Shadow IT tidak boleh diabaikan, karena efeknya bisa merugikan perusahaan. Bagaimana cara untuk mencegah resiko Shadow IT untuk perusahaan? Mencegah akses Shadow IT akan membuat tugas Departemen IT menjadi lebih berat. Secara teknis, pencegahan bisa dilakukan dengan enkripsi atau dengan alat monitoring jaringan serta pengelolaan keamanan. Setelah itu lakukan sosialisasi mengenai Shadow IT pada seluruh pegawai perusahaan. Departemen IT memberikan penjelasan secara rinci mengenai definisi Shadow IT serta dampak buruknya bagi perusahaan.
Selanjutnya Departemen IT harus memiliki peraturan yang ketat mengenai pelanggaran Shadow IT di perusahaan. Aplikasi apa saja yang diperbolehkan atau dilarang dalam lingkup pekerjaan. Itulah yang harus dilakukan agar resiko Shadow IT untuk perusahaan tidak terjadi di perusahaan Anda.