Bagaimana Shadow IT Bisa Mengancam Kepatuhan di Perusahaan ?


Dalam upaya untuk menjadi lebih produktif dan terhubung, para karyawan berusaha sendiri untuk mencari solusi teknologi yang sesuai dengan kebutuhan di tempat kerja mereka. Sebagai hasilnya, secara tidak sengaja menciptakan tantangan serius bagi tim TI mereka. Jumlah karyawan yang membawa perangkat mobile pribadi ke tempat kerja dan menggunakannya sebagai perangkat bisnis telah meledak.

Jumlah orang yang mendownload aplikasi, program dan sistem yang tidak di izinkan untuk berada di komputer kerja mereka terus bertambah. Integrasi perangkat yang tidak disetujui ini dan penggunaan program TI yang tidak disetujui, atau dikenal dengan Shadow IT, menyebabkan masalah privasi dan keamanan untuk infrastruktur IT Perusahaan dan kemampuan mereka untuk memenuhi peraturan kepatuhan pemerintah dan badan terkait.

Risiko Shadow IT untuk Perusahaan


Menurut survei yang dilakukan oleh Aliansi Keamanan Cloud tahun 2015, hanya 8 persen perusahaan yang mengetahui lingkup Shadow IT di dalam organisasinya. Meski mengkhawatirkan, tidak mengherankan jika perusahaan kehilangan kendali atas data sensitif mereka.

Bangkitnya Layanan Mandiri Di Tempat Kerja


Teknologi mobile dan cloud telah memiliki dampak yang luar biasa pada kehidupan pribadi dan profesional orang Amerika dan atasan mereka. Menurut Pew Research Center, 68% orang dewasa di Amerika Serikat memiliki smartphone pada tahun 2015, naik dari 35% di tahun 2011. Sementara kepemilikan komputer tablet meningkat hingga 45% di antara orang dewasa. Karyawan berharap dapat membawa dan menggunakan smartphone, tablet, atau teknologi yang dapat mereka pakai di tempat kerja. Entah itu untuk berbagi file, komunikasi, pengembangan atau penyimpanan, karyawan mengadopsi layanan yang belum tentu aman untuk melakukan pekerjaan mereka dengan lebih baik.

Apa itu Arti Shadow IT

Shadow IT adalah Aplikasi atau perangkat lunak yang digunakan oleh pengguna bisnis tanpa konsultasi atau persetujuan departemen TI. Ini disebut sebagai penerapan bayangan. Istilah Shadow IT telah mulai digunakan karena penyebaran ini bukan bagian dari infrastruktur TI yang disetujui namun berada dalam bayang-bayang. Misalnya, ketika sekelompok karyawan mengunduh layanan obrolan baru dan menggunakannya untuk membahas urusan bisnis, atau Departemen Pemasaran menghubungkan API analisis mereka ke perangkat lunak di cloud tanpa memberi tahu TI. Hal tersebut memberikan potensi lebih tinggi terhadap kemungkinan infrastruktur TI rusak secara keseluruhan. Shadow IT dapat menyebabkan konsekuensi yang tidak diinginkan, seperti hilangnya data pribadi, pelanggaran kepatuhan, dan kerentanan keamanan.

Risiko Penyebaran Shadow IT Terhadap Kepatuhan

Penempatan bayangan berbahaya bagi bisnis dari semua ukuran. Bisnis tidak lagi memiliki kontrol penuh terhadap arus datanya, terutama karena banyak penyebaran yang tidak jelas terjadi di luar firewall perusahaan dan melalui cloud (seperti Google Documents dan Dropbox). Sistem dan solusi IT yang tidak diatur dapat menyebabkan organisasi melanggar standar kepatuhan Standar Keamanan Data PCI, Basel II, dan HIPAA. Shadow IT juga dapat mencakup penggunaan perangkat lunak yang tidak diatur dan lisensi yang tidak terdaftar. Hal ini dianggap sebagai risiko keamanan dan menciptakan kerentanan yang memicu insiden keamanan dan audit kepatuhan.

Tetap Berpijak Pada Hukum

Hal ini sangat membingungkan bahwa penggunaan Shadow IT dapat menumbangkan beberapa peraturan di seluruh dunia. Misalnya, sektor keuangan harus mematuhi Undang-Undang Sarbanes-Oxley tahun 2002. Sarbanes-Oxley berusaha untuk menjaga akurasi dan integritas data yang disajikan dalam laporan keuangan dengan menetapkan langkah-langkah internal yang memastikan informasi ini dapat diverifikasi. Kontrol ini ditolak jika informasinya tidak diatur dengan benar di dalam Departemen IT perusahaan.

Bisnis yang mengelola informasi kesehatan yang dilindungi harus mematuhi Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), sebagaimana tersebut di atas. Seperti Sarbanes-Oxley, HIPAA berusaha untuk mengendalikan dan melindungi arus Informasi Kesehatan Terlindungi secara Elektronik (ePHI) dan menyimpan informasi tersebut dari tangan pihak yang tidak sah. Banyak aplikasi dan perangkat lunak populer tidak memiliki kapasitas untuk memenuhi standar kepatuhan finansial atau kesehatan.

Mempersiapkan E-Discovery

E-Discovery mengacu pada proses dimana data elektronik diamankan dengan maksud menggunakannya sebagai alat bukti dalam kasus hukum perdata atau pidana. Bayangkan kebingungan departemen IT Anda saat mereka menerima panggilan pengadilan untuk menyerahkan semua informasi dan data mereka dari perangkat lunak yang bahkan tidak mereka ketahui tentang bisnis Anda.

Sulit untuk menentukan jenis penyebaran tidak sah dalam perjanjian tingkat layanan (SLA). Ketika perusahaan Anda diaudit, Anda secara hukum diharuskan mengirimkan informasi tertentu dalam jangka waktu tertentu. SLA Anda menyatakan bahwa informasi tersebut akan diberikan kepada Anda, namun jika karena alasan apa pun Anda tidak dapat mengumpulkan data, organisasi Anda dapat terjerat masalah hukum, finansial, dan reputasi. Persiapan yang benar mengharuskan organisasi untuk menyelaraskan IT dan Hukum, karena kedua belah pihak tunduk untuk menghasilkan informasi selama proses e-Discovery.

Berjuang Melawan Shadow IT

Penggunaan aplikasi dan sistem IT secara independen akan terus berkembang. Ini memaksa departemen IT untuk menangani masalah privasi dan keamanan secara berkelanjutan. Komunikasi adalah kunci untuk memastikan penyebaran tidak sah sehingga tidak menempatkan Anda pada risiko. Bagian IT Anda, eksekutif C-suite, dan kepala departemen harus menentukan kebutuhan teknologi organisasi Anda dan memutuskan bagaimana risiko Anda dapat berkurang. Sangat penting bahwa Anda mengembangkan kebijakan perusahaan yang jelas dan ringkas tentang bagaimana memberi tahu, membeli, dan menerapkan teknologi baru dan menentukan tingkat penggunaan teknologi mobile dan pemakaian pribadi yang dapat di gunakan di tempat kerja.

Komentar