Shadow IT vs Shadow AI, Mana Lebih Berbahaya?

Transformasi digital telah mendorong perusahaan untuk mengadopsi berbagai teknologi baru demi meningkatkan efisiensi dan daya saing. Namun di balik kemudahan tersebut, muncul fenomena yang kerap luput dari perhatian manajemen, yakni Shadow IT dan Shadow AI. Keduanya sering kali hadir tanpa niat jahat, tetapi tetap berpotensi menimbulkan risiko besar bagi keamanan data dan keberlangsungan bisnis.

Secara sederhana, Shadow IT adalah penggunaan perangkat keras, perangkat lunak, atau layanan teknologi di dalam perusahaan tanpa izin resmi dari tim TI. Sementara itu, Shadow AI merupakan bagian dari Shadow IT yang secara khusus merujuk pada penggunaan aplikasi Artificial Intelligence (AI) tanpa persetujuan atau pengawasan resmi. Meski terdengar serupa, keduanya memiliki karakteristik dan dampak yang perlu dipahami secara mendalam.

 
Memahami Konsep Shadow IT

Shadow IT mencakup segala bentuk teknologi yang digunakan karyawan tanpa sepengetahuan atau persetujuan departemen TI. Bentuknya bisa sangat beragam, mulai dari perangkat fisik hingga aplikasi berbasis cloud.

Contoh paling umum adalah karyawan yang menghubungkan laptop pribadi ke jaringan kantor, menggunakan aplikasi penyimpanan cloud gratis untuk berbagi dokumen kerja, atau menginstal perangkat lunak tertentu guna mempercepat tugas mereka. Dalam banyak kasus, tindakan ini dilakukan demi efisiensi kerja, bukan untuk merugikan perusahaan.

Masalahnya, setiap teknologi yang tidak terdaftar secara resmi akan menciptakan “titik buta” dalam sistem keamanan perusahaan. Tim TI tidak dapat mengawasi, memperbarui, atau melindungi sesuatu yang tidak mereka ketahui keberadaannya. Akibatnya, permukaan serangan (attack surface) organisasi menjadi lebih luas dan rentan terhadap ancaman siber.

Jika dibiarkan berkembang tanpa kendali, Shadow IT dapat mengganggu visibilitas sistem, memperumit pengelolaan keamanan, dan meningkatkan risiko pelanggaran data.

 
Bentuk-Bentuk Shadow IT di Lingkungan Kerja

Fenomena Shadow IT bukan sekadar konsep dalam dunia keamanan siber. Dalam praktiknya, hal ini sering terjadi di berbagai perusahaan, baik skala kecil maupun besar. Shadow IT biasanya muncul ketika karyawan menggunakan teknologi tertentu untuk mempermudah pekerjaan mereka tanpa melalui persetujuan atau pengawasan tim TI.

Sering kali tindakan ini dilakukan dengan niat baik, misalnya untuk meningkatkan produktivitas atau mempercepat proses kerja. Namun, tanpa disadari, penggunaan teknologi yang tidak terdaftar dapat membuka celah keamanan baru bagi perusahaan.

Berikut beberapa bentuk Shadow IT yang paling sering ditemukan di lingkungan kerja.

1. Shadow Applications (Aplikasi Bayangan)
   Shadow Applications merujuk pada penggunaan aplikasi atau perangkat lunak yang tidak disetujui oleh tim TI perusahaan. Contohnya adalah ketika karyawan mengunduh aplikasi manajemen proyek, platform kolaborasi tim, atau ekstensi browser yang dianggap dapat membantu menyelesaikan pekerjaan lebih cepat.

   Sebagai contoh, seorang karyawan mungkin menggunakan layanan penyimpanan cloud gratis untuk berbagi dokumen dengan rekan kerja, padahal perusahaan sudah memiliki sistem penyimpanan internal yang lebih aman. Hal ini terlihat praktis, tetapi sebenarnya dapat menimbulkan risiko keamanan.

   Aplikasi yang tidak diverifikasi oleh tim TI mungkin tidak memiliki standar perlindungan yang memadai. Selain itu, aplikasi tersebut bisa saja meminta akses ke data perusahaan atau menyimpan informasi penting di server pihak ketiga. Jika layanan tersebut mengalami kebocoran data atau diretas, informasi perusahaan juga berpotensi ikut terekspos.

2. Shadow Devices (Perangkat Bayangan)
   Jenis Shadow IT berikutnya adalah Shadow Devices, yaitu penggunaan perangkat pribadi yang tidak terdaftar secara resmi di sistem perusahaan. Perangkat ini bisa berupa laptop pribadi, ponsel, tablet, hingga perangkat Internet of Things (IoT).

   Contohnya, seorang karyawan menggunakan laptop pribadi untuk mengakses email kantor atau mengunduh dokumen penting perusahaan. Meskipun terlihat praktis, perangkat pribadi biasanya tidak dilengkapi dengan sistem keamanan yang sama seperti perangkat resmi perusahaan.

   Perangkat yang tidak memiliki enkripsi, antivirus terbaru, atau sistem autentikasi yang kuat menjadi target empuk bagi serangan siber. Jika perangkat tersebut hilang, dicuri, atau terinfeksi malware, data perusahaan yang tersimpan di dalamnya bisa jatuh ke tangan yang salah.

   Karena itu, banyak perusahaan menerapkan kebijakan Bring Your Own Device (BYOD) yang mengatur penggunaan perangkat pribadi secara lebih aman dan terkontrol.

3. Shadow Infrastructure (Infrastruktur Bayangan)
   Shadow Infrastructure terjadi ketika seseorang atau tim dalam perusahaan membuat infrastruktur TI tambahan tanpa melalui prosedur resmi. Misalnya, membuat mesin virtual baru, menjalankan server tambahan, atau menggunakan layanan cloud tertentu tanpa sepengetahuan tim TI.

   Hal ini sering terjadi pada tim pengembang atau tim proyek yang membutuhkan sumber daya komputasi tambahan untuk menjalankan aplikasi atau melakukan pengujian sistem. Demi mempercepat pekerjaan, mereka mungkin langsung membuat layanan cloud sendiri tanpa meminta persetujuan terlebih dahulu.

   Masalahnya, infrastruktur yang dibuat secara tidak resmi sering kali tidak mengikuti standar keamanan perusahaan. Konfigurasi keamanan mungkin belum optimal, pembaruan sistem tidak dilakukan secara rutin, dan akses pengguna tidak dikontrol dengan baik.Jika terjadi celah keamanan pada sistem tersebut, peretas dapat memanfaatkannya untuk masuk ke jaringan perusahaan dan mengakses data sensitif.

4. Shadow AI
   Salah satu bentuk Shadow IT yang semakin berkembang saat ini adalah Shadow AI. Istilah ini merujuk pada penggunaan alat kecerdasan buatan tanpa izin atau pengawasan resmi dari perusahaan.

   Contohnya, karyawan menggunakan layanan AI seperti ChatGPT dari OpenAI atau Gemini dari Google untuk membantu membuat laporan, menganalisis data, atau menulis kode program.

   Teknologi ini memang dapat meningkatkan produktivitas. Namun, risiko muncul ketika karyawan memasukkan data internal perusahaan ke dalam platform AI tersebut. Data tersebut bisa berupa laporan keuangan, strategi bisnis, kode sumber aplikasi, atau informasi sensitif lainnya.

   Karena sebagian besar layanan AI berbasis cloud dan dimiliki pihak ketiga, data yang dimasukkan ke dalam sistem tersebut dapat tersimpan di server luar perusahaan. Jika tidak dikelola dengan hati-hati, hal ini dapat memicu kebocoran data atau pelanggaran kebijakan privasi perusahaan.

 
Risiko Besar di Balik Shadow IT

Walaupun Shadow IT sering muncul dari niat baik untuk meningkatkan efisiensi kerja, fenomena ini tetap membawa berbagai risiko serius bagi organisasi. Masalah utamanya adalah kurangnya visibilitas terhadap teknologi yang digunakan di dalam perusahaan.

Jika tim TI tidak mengetahui keberadaan suatu perangkat atau aplikasi, mereka tidak dapat menerapkan perlindungan yang memadai.

Berikut beberapa risiko utama yang dapat muncul akibat Shadow IT.

1. Visibilitas Terbatas
   Salah satu tantangan terbesar dari Shadow IT adalah berkurangnya visibilitas sistem. Tim keamanan tidak dapat melindungi perangkat atau aplikasi yang tidak terdaftar secara resmi.

   Perangkat atau layanan yang tidak diketahui keberadaannya dapat menjadi titik masuk bagi peretas. Tanpa pemantauan yang memadai, aktivitas mencurigakan mungkin tidak terdeteksi hingga terjadi insiden keamanan yang serius.

2. Masalah Kepatuhan (Compliance)
   Banyak perusahaan harus mematuhi berbagai regulasi terkait perlindungan data, seperti aturan privasi pelanggan atau standar keamanan industri.

   Jika karyawan menggunakan aplikasi atau layanan yang tidak memenuhi standar kepatuhan tersebut, perusahaan dapat menghadapi konsekuensi hukum. Pelanggaran regulasi dapat berujung pada denda finansial yang besar serta kerusakan reputasi perusahaan di mata pelanggan dan mitra bisnis.

3. Kebocoran dan Pencurian Data
   Shadow IT juga dapat menjadi pintu masuk bagi serangan siber. Aplikasi atau perangkat yang tidak memiliki sistem keamanan memadai lebih rentan terhadap malware, phishing, atau eksploitasi kerentanan sistem.

   Tanpa penerapan kebijakan Data Loss Protection (DLP), data sensitif perusahaan seperti informasi pelanggan, dokumen rahasia, atau kode sumber aplikasi dapat dicuri atau disalahgunakan oleh pihak yang tidak bertanggung jawab.

4. Advanced Persistent Threats (APT)
   Serangan siber modern sering kali tidak terjadi secara langsung. Dalam banyak kasus, penyerang menyusup ke dalam sistem dan bertahan di sana dalam waktu lama untuk mengumpulkan informasi penting.

   Serangan jenis ini dikenal sebagai Advanced Persistent Threats (APT). Jika perusahaan tidak memiliki visibilitas penuh terhadap semua sistem dan perangkat yang digunakan, ancaman semacam ini akan jauh lebih sulit dideteksi sejak awal.

5. Data Silo
   Penggunaan berbagai aplikasi yang berbeda tanpa koordinasi juga dapat menyebabkan terbentuknya data silo, yaitu kondisi ketika data tersimpan secara terpisah di berbagai sistem yang tidak saling terhubung.

   Akibatnya, pertukaran informasi antar tim menjadi lebih sulit. Proses kolaborasi terhambat, dan pengambilan keputusan bisnis bisa menjadi kurang efektif karena data tidak terintegrasi dengan baik.

Secara keseluruhan, Shadow IT merupakan tantangan serius dalam pengelolaan keamanan teknologi di perusahaan modern. Tanpa pengawasan yang tepat, teknologi yang seharusnya membantu produktivitas justru dapat membuka celah baru bagi ancaman siber dan kebocoran data. Oleh karena itu, perusahaan perlu meningkatkan kesadaran karyawan serta menerapkan kebijakan teknologi yang jelas agar inovasi tetap berjalan tanpa mengorbankan keamanan.

 
Mengenal Shadow AI: Evolusi Baru dari Shadow IT

Seiring pesatnya perkembangan teknologi kecerdasan buatan, muncul fenomena Shadow AI. Ini terjadi ketika karyawan menggunakan alat AI tanpa persetujuan resmi perusahaan.

Dalam praktiknya, Shadow AI sering muncul karena karyawan ingin bekerja lebih cepat. Mereka memanfaatkan AI generatif untuk menyusun laporan, menganalisis data, menulis kode, atau membuat konten.

Namun, risiko muncul ketika data internal perusahaan dimasukkan ke platform pihak ketiga. Misalnya, seorang karyawan mengunggah spreadsheet internal ke layanan AI untuk mendapatkan analisis. Tanpa disadari, data tersebut kini berada di luar kendali perusahaan.

Contoh Shadow AI yang Sering Terjadi

Seiring semakin populernya teknologi kecerdasan buatan, penggunaan alat berbasis AI di tempat kerja juga meningkat pesat. Banyak karyawan memanfaatkan AI untuk mempercepat pekerjaan, mengotomatiskan tugas rutin, atau mendapatkan ide baru dalam waktu singkat.

Namun, ketika penggunaan AI tersebut dilakukan tanpa persetujuan atau pengawasan dari tim TI perusahaan, praktik ini disebut sebagai Shadow AI. Fenomena ini sering terjadi karena karyawan merasa alat AI sangat membantu pekerjaan mereka, sementara perusahaan belum memiliki kebijakan yang jelas terkait penggunaannya.

Berikut beberapa contoh Shadow AI yang paling sering terjadi di lingkungan kerja.

1. Model AI Generatif Publik
   Salah satu bentuk Shadow AI yang paling umum adalah penggunaan model AI generatif publik. Saat ini, banyak karyawan menggunakan layanan AI untuk membantu menulis laporan, merangkum dokumen, membuat ide presentasi, hingga menganalisis data.

   Contohnya adalah penggunaan ChatGPT dari OpenAI atau Gemini dari Google. Kedua layanan ini sangat populer karena mampu memberikan jawaban cepat dan membantu menyelesaikan berbagai tugas pekerjaan.Namun, masalah muncul ketika karyawan memasukkan data sensitif perusahaan ke dalam sistem AI tersebut. Misalnya, seseorang mengunggah laporan keuangan internal, strategi bisnis, atau dokumen rahasia untuk dianalisis oleh AI.

   Karena layanan ini dijalankan oleh pihak ketiga dan berbasis cloud, data yang dimasukkan bisa saja tersimpan atau diproses di server luar perusahaan. Jika tidak ada kebijakan keamanan yang jelas, tindakan ini berpotensi menyebabkan kebocoran data atau pelanggaran privasi perusahaan.

2. Asisten Kode Berbasis AI
   Shadow AI juga sering muncul di kalangan pengembang perangkat lunak melalui penggunaan asisten kode berbasis AI. Alat ini dirancang untuk membantu programmer menulis kode lebih cepat, memberikan saran perbaikan, atau bahkan menghasilkan potongan kode secara otomatis.

   Bagi pengembang, teknologi ini sangat membantu karena dapat menghemat waktu dan meningkatkan produktivitas. Namun, penggunaan tanpa pengawasan dapat menimbulkan risiko keamanan.Beberapa asisten kode AI memerlukan akses ke repositori proyek atau kode sumber yang sedang dikerjakan. Jika alat tersebut mengumpulkan atau memproses kode proprietary perusahaan, ada kemungkinan informasi sensitif tersimpan di sistem pihak ketiga.

   Selain itu, kode yang dihasilkan AI juga belum tentu aman atau sesuai dengan standar keamanan perusahaan. Jika digunakan tanpa proses verifikasi, kode tersebut dapat membuka celah keamanan dalam aplikasi yang sedang dikembangkan.

3. Model AI yang Dibangun Sendiri
   Selain menggunakan layanan AI publik, ada juga karyawan yang mencoba membangun atau menjalankan model AI sendiri. Hal ini biasanya dilakukan oleh tim teknis yang ingin bereksperimen dengan teknologi AI atau membuat alat khusus untuk kebutuhan tertentu.

   Sebagai contoh, seorang karyawan mengunduh model AI open-source dari internet dan menjalankannya di komputer pribadi atau server internal. Model tersebut kemudian digunakan untuk menganalisis data perusahaan, mengotomatisasi tugas tertentu, atau membuat sistem rekomendasi.

Meskipun terlihat inovatif, praktik ini dapat menimbulkan risiko jika tidak dikelola dengan benar. Model AI yang dibuat secara mandiri mungkin tidak memiliki sistem keamanan yang memadai, tidak diaudit secara menyeluruh, atau memiliki akses luas ke data internal perusahaan.

Jika konfigurasi keamanan tidak tepat, model tersebut bisa menjadi pintu masuk bagi serangan siber atau menyebabkan kebocoran data tanpa disadari.

 
Risiko Spesifik Shadow AI

Shadow AI memiliki risiko yang mirip dengan Shadow IT, tetapi dengan tingkat sensitivitas data yang lebih tinggi.

• Pertama, kebijakan privasi penyedia AI sering kali kurang transparan. Tidak semua perusahaan menjelaskan secara detail bagaimana data pengguna diproses atau disimpan. Ketidakpastian ini menimbulkan kekhawatiran bagi organisasi yang memegang data sensitif.
• Kedua, ketergantungan pada pihak ketiga berarti perusahaan ikut terdampak jika penyedia layanan mengalami pelanggaran keamanan. Insiden kebocoran pada platform eksternal dapat berdampak langsung pada data organisasi yang terhubung melalui API atau integrasi lainnya.
• Ketiga, tanpa visibilitas terhadap alat AI yang digunakan, tim TI tidak dapat menerapkan kebijakan keamanan seperti pembatasan akses, enkripsi, atau pemantauan aktivitas.

 
Strategi Mengatasi Shadow IT dan Shadow AI

Alih-alih hanya melarang penggunaan teknologi tertentu, perusahaan perlu pendekatan yang lebih strategis dan adaptif:

1. Meningkatkan Edukasi Karyawan
   Langkah pertama yang sangat penting adalah meningkatkan kesadaran dan pemahaman karyawan mengenai risiko keamanan digital. Banyak karyawan tidak menyadari bahwa tindakan sederhana seperti mengunggah dokumen ke platform AI atau menggunakan aplikasi pihak ketiga dapat berpotensi membahayakan keamanan data perusahaan.

   Perusahaan perlu secara rutin memberikan pelatihan mengenai keamanan siber, privasi data, serta praktik penggunaan teknologi yang aman. Pelatihan ini dapat dilakukan melalui workshop, webinar internal, atau modul e-learning.

   Selain itu, penting juga untuk menjelaskan contoh kasus nyata mengenai kebocoran data yang disebabkan oleh penggunaan aplikasi tanpa izin. Dengan memahami dampak nyata yang bisa terjadi, karyawan akan lebih berhati-hati sebelum menggunakan teknologi baru dalam pekerjaan mereka.

2. Menyediakan Alternatif Resmi
   Salah satu alasan utama munculnya Shadow IT adalah karena karyawan merasa alat yang disediakan perusahaan kurang memadai atau kurang praktis. Akibatnya, mereka mencari solusi lain yang dianggap lebih cepat dan efisien.

   Untuk mengatasi hal ini, perusahaan perlu menyediakan alternatif teknologi resmi yang aman namun tetap mudah digunakan. Misalnya, perusahaan dapat menyediakan platform kolaborasi resmi, layanan penyimpanan cloud yang telah diverifikasi, atau alat AI internal yang telah melewati proses audit keamanan.

   Jika karyawan memiliki akses ke alat yang sama praktisnya dengan aplikasi publik, mereka cenderung tidak perlu lagi mencari solusi bayangan. Dengan demikian, produktivitas tetap meningkat tanpa mengorbankan keamanan data perusahaan.

3. Menerapkan Kebijakan yang Jelas
   Perusahaan juga perlu memiliki kebijakan penggunaan teknologi yang jelas dan mudah dipahami oleh seluruh karyawan. Kebijakan ini harus menjelaskan jenis aplikasi atau perangkat yang diperbolehkan, prosedur penggunaan teknologi baru, serta tanggung jawab setiap pengguna.

   Selain itu, proses pengajuan alat baru juga harus dibuat transparan dan efisien. Jika proses persetujuan terlalu lama atau rumit, karyawan mungkin akan memilih menggunakan aplikasi tersebut secara diam-diam.

   Dengan menyediakan prosedur yang cepat dan terbuka, perusahaan dapat tetap mengontrol teknologi yang digunakan tanpa menghambat inovasi dan produktivitas karyawan.

4. Menggunakan Sistem Monitoring Modern
   Teknologi pemantauan jaringan modern juga dapat membantu perusahaan mendeteksi keberadaan Shadow IT dan Shadow AI. Sistem ini mampu memantau perangkat yang terhubung ke jaringan perusahaan, aplikasi yang digunakan karyawan, serta aktivitas data yang tidak biasa.

   Dengan bantuan sistem monitoring, tim keamanan dapat lebih cepat mengidentifikasi perangkat atau layanan yang tidak dikenal. Hal ini memungkinkan perusahaan untuk segera mengambil tindakan sebelum terjadi insiden keamanan yang lebih serius.

   Namun, penggunaan sistem pemantauan ini tetap perlu dilakukan dengan pendekatan yang transparan agar tidak menimbulkan rasa tidak percaya di kalangan karyawan.

5. Pendekatan Kolaboratif
   Strategi terakhir yang tidak kalah penting adalah membangun kolaborasi antara tim TI dan unit bisnis dalam perusahaan. Tim TI tidak seharusnya hanya berperan sebagai pengawas yang membatasi penggunaan teknologi, tetapi juga sebagai mitra yang membantu karyawan menemukan solusi terbaik.

   Dengan komunikasi yang terbuka, tim TI dapat memahami kebutuhan teknologi setiap departemen. Sebaliknya, karyawan juga dapat memahami alasan di balik kebijakan keamanan yang diterapkan perusahaan.

   Pendekatan kolaboratif ini membantu menciptakan lingkungan kerja yang seimbang, di mana inovasi tetap dapat berkembang tanpa mengorbankan keamanan sistem dan data perusahaan.

Penutup

Shadow IT dan Shadow AI adalah dua sisi dari tantangan keamanan digital modern. Shadow IT mencakup semua teknologi yang digunakan tanpa izin resmi, sedangkan Shadow AI secara khusus berkaitan dengan penggunaan kecerdasan buatan tanpa pengawasan.

Di era ketika inovasi bergerak sangat cepat, perusahaan tidak bisa hanya mengandalkan larangan. Yang dibutuhkan adalah keseimbangan antara keamanan dan fleksibilitas. Dengan visibilitas yang lebih baik, kebijakan yang jelas, serta edukasi yang tepat, organisasi dapat meminimalkan risiko tanpa menghambat kreativitas dan produktivitas karyawan.

Pada akhirnya, keamanan bukan hanya tanggung jawab tim TI, melainkan komitmen bersama seluruh elemen perusahaan dalam menjaga aset digital yang semakin berharga.