Bayangkan situasi berikut ini. Anda bekerja sama dengan agen yang membantu Anda membuat koleksi brosur yang akan Anda bawa ke sebuah pameran dagang. Pencetak membutuhkan file-file tersebut besok, namun tautan yang Anda berikan kepada agensi ke area unggahan aman Anda tidak berfungsi. Perancang menyarankan agar Anda mengunduh sebuah aplikasi yang memudahkan untuk berbagi file berukuran besar. Karena tekanan dari manajemen, Anda mengunduh aplikasi tersebut karena Anda benar-benar harus memenuhi tenggat waktu cetak tersebut.
Terdengar tidak asing? Jika situasi ini tidak sulit untuk dibayangkan, itu karena hal ini sering terjadi di perusahaan-perusahaan di mana saja. Meskipun kebanyakan orang jarang mengakui bahwa mereka tidak memperhatikan departemen TI perusahaan mereka dan menginstal malware, mereka melakukannya. Secara statistik 82% pelanggaran melibatkan unsur manusia. Kesalahan seperti mengunduh perangkat lunak berisiko, mengklik tautan phishing, atau kesalahan manusia yang sederhana memainkan peran utama dalam insiden dan pelanggaran keamanan siber.
Hal yang sulit adalah sering kali, tidak ada yang terjadi saat karyawan berbuat curang. Perangkat lunak yang Anda gunakan untuk membagikan brosur tersebut adalah sah, vendor Anda mencetak jaminan, Anda tidak menimbulkan risiko baru, dan tidak ada yang berubah. Jangan khawatir.
Namun di lain waktu, karyawan tidak seberuntung itu. Istilah bayangan itu, perangkat keras atau perangkat lunak apa pun yang tidak didukung oleh departemen TI perusahaan dapat menimbulkan risiko keamanan.
Yang diperlukan hanyalah satu unduhan perangkat lunak yang berisi malware atau mengakses satu aplikasi SaaS dengan keamanan cloud yang buruk untuk menginfeksi sistem penting. Namun, bahkan dengan adanya peluang risiko yang selalu ada, sebagian besar organisasi tidak memperhitungkan TI bayangan saat mengembangkan strategi keamanan mereka.
Untuk mengurangi risiko, penting untuk memikirkan mengapa karyawan menggunakan TI bayangan. TI bayangan paling sering mengisi kesenjangan yang tidak dapat diatasi oleh perangkat keras atau perangkat lunak yang disetujui oleh TI atau tidak bekerja dengan baik. Atau terkadang orang menggunakan solusi ad hoc karena untuk mendapatkan persetujuan membutuhkan waktu yang lama sehingga mereka tidak mau repot-repot. Dari sudut pandang karyawan, jauh lebih mudah untuk memuat beberapa perangkat lunak dan menghindari dimarahi karena melewatkan tenggat waktu daripada berurusan dengan birokrasi atau berdebat dengan TI tentang pengadaan dan anggaran.
Jika karyawan dipaksa untuk menemukan solusi mereka sendiri untuk masalah TI, hal ini mengindikasikan masalah yang lebih besar daripada aplikasi atau sumber daya TI bayangan. Sebaliknya, hal ini mengindikasikan adanya gangguan komunikasi antara departemen TI dan tim lain di dalam organisasi.
Departemen TI seharusnya tidak menjadi musuh. Manajer harus menyelidiki hambatan dan mendorong komunikasi antara departemen TI dan pengguna. Di tingkat eksekutif, mengedukasi pengguna tentang risiko yang terkait dengan TI bayangan juga harus menjadi prioritas. Bagi pengguna, mendapatkan alat untuk melakukan pekerjaan mereka haruslah mulus sehingga mereka tidak perlu mencari solusi. Selalu ingat pepatah: keamanan terbaik adalah yang akan digunakan orang. Teknologi berubah dengan cepat dan organisasi juga harus membuat prosedur untuk merampingkan proses melakukan tinjauan keamanan dan menyediakan solusi teknologi baru dengan cepat.
Memahami siapa yang memiliki akses ke apa sangatlah penting, jadi organisasi perlu memastikan bahwa mereka memiliki tata kelola yang baik. Keamanan dimulai dari identitas, dan dengan autentikasi modern dan opsi tanpa kata sandi, membuktikan bahwa Anda adalah orang yang Anda katakan seharusnya tidak merepotkan. Solusi identitas harus berpusat pada praktik keamanan terbaik di kelasnya seperti standar FIDO2, otentikasi berbasis risiko, dan wawasan real-time cerdas yang terus memitigasi risiko.
Menyelesaikan permintaan akses rutin tidak harus selalu membutuhkan keterlibatan TI, dan kemampuan layanan mandiri serta sistem masuk tunggal memberdayakan pengguna untuk bekerja tanpa gangguan. Di sisi TI, administrator juga membutuhkan solusi tanpa batas yang mencakup tata kelola identitas dan alat administrasi.
Arsitektur tata kelola akses data Tata Kelola & Siklus Hidup kami memberikan visibilitas di seluruh perusahaan sehingga Anda dapat mengetahui siapa yang memiliki data perusahaan, siapa yang memiliki akses ke sumber daya data, bagaimana mereka mendapatkan akses, dan apakah mereka harus memiliki akses di seluruh berbagi file. Proses sertifikasi otomatis menghasilkan tinjauan yang dapat ditindaklanjuti yang sederhana, intuitif, dan efektif bagi pengguna bisnis untuk memberikan bukti bagi tim audit.
Tidak semua ancaman berasal dari luar dan tim TI perlu menemukan cara baru untuk memastikan mereka mengamankan akses dan memastikan kepatuhan sambil terus mendukung kebutuhan teknologi pengguna. Dengan menyederhanakan operasi TI, mengedukasi pengguna, serta menerapkan tata kelola identitas dan akses, organisasi dapat mengurangi risiko TI bayangan.
