Shadow AI di Kantor, Waspada Data Bisa Bocor!

Ditulis oleh :

rexy

Satu prompt sederhana bisa terlihat tidak berbahaya, “Tolong ringkas kontrak vendor ini.”

Masalahnya, isi kontrak tersebut mungkin memuat harga, data pelanggan, klausul hukum, strategi negosiasi, atau informasi internal yang tidak seharusnya keluar dari lingkungan perusahaan.

Di banyak organisasi, penggunaan AI di perusahaan sudah berjalan lebih cepat daripada kebijakan resminya. Tim marketing memakai AI untuk membuat draft konten. Tim finance menggunakannya untuk merapikan laporan. Tim HR meminta bantuan AI untuk menyusun evaluasi kandidat. Tim legal menguji ringkasan kontrak. Tim sales memasukkan data prospek untuk membuat email follow-up.

Produktivitas memang naik. 

Namun pertanyaan besarnya: apakah perusahaan benar-benar tahu data apa saja yang sedang diproses, tools AI apa yang digunakan, dan siapa yang bertanggung jawab jika terjadi kebocoran?

Inilah yang disebut shadow AI, penggunaan aplikasi atau tools AI oleh karyawan tanpa persetujuan, pengawasan, kebijakan, atau kontrol resmi dari perusahaan. Isu ini bukan lagi sekadar urusan teknologi. Shadow AI sudah masuk ke wilayah keamanan data AI, compliance, manajemen risiko, dan terutama Data Governance.

Masalah utamanya bukan AI. Masalahnya adalah AI yang digunakan tanpa arah, tanpa batas, dan tanpa tata kelola.

 

Apa Itu Shadow AI?

Shadow AI adalah penggunaan tools, aplikasi, model, atau layanan berbasis AI oleh individu maupun tim kerja tanpa persetujuan resmi dari fungsi IT, security, compliance, legal, atau manajemen perusahaan.

Bentuknya bisa sangat sederhana. Karyawan memakai ChatGPT, Gemini, Copilot personal, Claude, atau tools AI lain dengan akun pribadi. Ada juga yang mengunggah file pelanggan ke platform AI untuk diringkas, meminta AI membaca dokumen legal, mengecek potongan source code, atau menganalisis data internal tanpa proses review keamanan.

Dalam praktiknya, shadow AI sering tidak dimulai dari niat buruk. Banyak karyawan hanya ingin bekerja lebih cepat. Mereka ingin mengurangi pekerjaan administratif, mencari ide, membuat draft, menyusun laporan, atau mempercepat analisis.

Namun dari sudut pandang perusahaan, niat baik tidak otomatis membuat praktik tersebut aman.

Data tetap bisa terekspos. Informasi rahasia tetap bisa keluar dari kontrol organisasi. Output AI tetap bisa salah. Dan ketika masalah muncul, pertanyaan auditnya biasanya sangat sederhana: siapa yang mengizinkan, siapa yang mengawasi, dan bagaimana perusahaan memastikan datanya aman?

Jika jawabannya “belum ada”, berarti shadow AI sudah berubah dari alat bantu produktivitas menjadi risiko bisnis.

 

Baca juga : Jebakan Investasi IT: Bakar Uang Berujung Minim Nilai yang Ditawarkan 

 

Mengapa Shadow AI Cepat Menyebar di Kantor?

Shadow AI tumbuh karena ada jarak antara kebutuhan kerja sehari-hari dan kesiapan organisasi dalam mengatur penggunaan AI.

Karyawan melihat AI sebagai jalan pintas yang membantu mereka menyelesaikan pekerjaan lebih cepat. Sementara itu, perusahaan sering masih sibuk menentukan platform resmi, menyusun kebijakan, atau menunggu arahan dari manajemen.

Akibatnya, karyawan bergerak lebih dulu.

Beban Kerja Makin Tinggi

Banyak pekerjaan kantor hari ini dipenuhi laporan, email, meeting, dashboard, presentasi, analisis data, hingga permintaan mendadak yang datang bertubi-tubi. Dalam situasi seperti ini, AI terasa seperti asisten instan.

Tinggal masukkan prompt, tunggu beberapa detik, lalu hasilnya muncul.

Bagi karyawan, ini terasa efisien. Bagi perusahaan, ini bisa menjadi celah apabila data yang dimasukkan tidak dikontrol.

Kebijakan AI Belum Jelas

Banyak organisasi belum memiliki aturan praktis tentang penggunaan AI di kantor. Misalnya, data apa yang boleh dimasukkan ke tools AI, tools apa yang disetujui, siapa yang boleh menggunakannya, bagaimana hasil AI harus divalidasi, dan siapa yang bertanggung jawab jika output AI keliru.

Ketika kebijakan kosong, karyawan akan membuat aturan sendiri. Biasanya aturannya sederhana: kalau membantu pekerjaan, maka dipakai.

Di titik inilah risiko AI di kantor mulai terbentuk.

Tools AI Terlalu Mudah Diakses

Berbeda dengan software enterprise yang biasanya membutuhkan instalasi, procurement, approval, dan konfigurasi, banyak tools AI bisa langsung digunakan lewat browser. Tidak perlu izin IT. Tidak perlu onboarding. Tidak perlu integrasi resmi.

Inilah yang membuat shadow AI sulit terlihat. Dari luar, karyawan hanya tampak membuka website biasa. Padahal, bisa saja ia sedang memasukkan dokumen internal ke sistem eksternal yang tidak pernah dievaluasi perusahaan.

Perusahaan Lambat Menyediakan Alternatif Resmi

Larangan total terhadap AI jarang efektif. Karyawan tetap akan mencari cara, apalagi jika mereka merasa AI membantu mereka bekerja lebih cepat.

Masalahnya, semakin keras perusahaan melarang tanpa menyediakan alternatif yang aman, semakin besar peluang penggunaan AI berpindah ke ruang yang tidak terlihat.

Pendekatan yang lebih matang bukan sekadar melarang. Perusahaan perlu menyediakan jalur penggunaan AI yang aman, jelas, dan sesuai kebutuhan bisnis.

 

Baca juga : Serangan Siber Canggih 2026: AI dan Deepfake Biang Kerok Hancurkan Bisnis Anda dari Dalam

 

5 Risiko Shadow AI bagi Perusahaan

Shadow AI bukan hanya tentang karyawan yang memakai tools gratis. Dampaknya bisa menyentuh keamanan informasi, kepatuhan regulasi, kualitas keputusan, reputasi, hingga perlindungan aset intelektual.

  • Risiko Kebocoran Data

Risiko paling jelas dari shadow AI adalah kebocoran data. Karyawan bisa saja memasukkan data internal ke platform AI yang tidak dikendalikan perusahaan.

Data tersebut dapat berupa data pelanggan, data karyawan, dokumen kontrak, laporan keuangan, strategi bisnis, source code, hasil audit, dokumen legal, data operasional, atau informasi rahasia lainnya.

Bahkan jika platform AI memiliki klaim perlindungan privasi, perusahaan tetap perlu memahami bagaimana data diproses, disimpan, digunakan, dan diakses oleh pihak ketiga. Tanpa proses review, organisasi sebenarnya sedang menyerahkan data ke ruang yang tidak sepenuhnya mereka pahami.

Di sinilah keamanan data AI menjadi isu yang jauh lebih serius dibanding sekadar penggunaan tools digital biasa.

  • Risiko Compliance dan Perlindungan Data Pribadi

Shadow AI juga berbahaya jika berkaitan dengan data pribadi pelanggan, karyawan, vendor, atau pengguna layanan digital.

Jika data pribadi dimasukkan ke tools AI tanpa dasar pemrosesan yang jelas, tanpa kontrol akses, dan tanpa pemahaman soal lokasi pemrosesan data, perusahaan dapat menghadapi risiko compliance.

Pertanyaannya bukan hanya apakah data itu bocor. Pertanyaan yang lebih mendasar adalah: apakah perusahaan tahu data itu diproses di mana, oleh siapa, untuk tujuan apa, dan dengan kontrol seperti apa?

Dalam konteks Data Governance, ketidaktahuan bukan posisi yang aman. Jika data perusahaan diproses pihak ketiga tanpa mekanisme yang jelas, risikonya tetap kembali ke organisasi.

  • Risiko Intellectual Property

Tidak semua kebocoran terlihat seperti insiden besar. Kadang risikonya muncul dari hal yang tampak kecil: ide produk dimasukkan ke AI, strategi pemasaran diringkas oleh tools eksternal, blueprint teknologi diperiksa melalui chatbot, atau materi pelatihan internal dipakai untuk membuat draft baru.

Informasi seperti ini mungkin tidak selalu dikategorikan sebagai data pribadi, tetapi tetap bernilai tinggi bagi perusahaan.

Kehilangan kontrol atas intellectual property bisa merugikan secara strategis. Apalagi jika informasi tersebut berkaitan dengan inovasi produk, strategi bisnis, atau keunggulan kompetitif.

  • Risiko Kualitas Keputusan

AI bisa menghasilkan jawaban yang terlihat rapi, masuk akal, dan meyakinkan. Namun bukan berarti jawabannya selalu benar.

AI dapat membuat ringkasan yang keliru, menyederhanakan konteks secara berlebihan, melewatkan informasi penting, atau memberikan rekomendasi yang tidak sesuai dengan realitas bisnis.

Jika output AI digunakan untuk keputusan tanpa validasi manusia, dampaknya bisa merembet ke banyak area: legal, audit, investasi, rekrutmen, pengadaan, operasional, hingga layanan pelanggan.

Masalahnya, semakin rapi sebuah jawaban, semakin mudah orang percaya. Di situlah bahayanya.

  • Risiko Reputasi

Kepercayaan pelanggan dan mitra bisnis bisa rusak ketika perusahaan terlihat tidak mampu mengelola penggunaan AI oleh internalnya sendiri. Apalagi jika yang terdampak adalah data pelanggan, informasi transaksi, data finansial, atau dokumen sensitif.

Reputasi tidak selalu rusak karena serangan besar. Kadang cukup karena perusahaan terlihat tidak siap menjaga data yang dipercayakan kepadanya.

 

Baca juga : Peretas Kini Incar Riset Kampus, Bukan Cuma Data Mahasiswa

 

Kesalahan Umum Perusahaan dalam Menghadapi Shadow AI

Banyak perusahaan merespons shadow AI dengan cara yang terlalu ekstrem. Ada yang membiarkan sepenuhnya karena ingin terlihat inovatif. Ada juga yang langsung melarang semua penggunaan AI karena takut risiko.

Dua-duanya sama-sama lemah.

  • Melarang AI Tanpa Memberi Alternatif

Larangan total biasanya hanya membuat penggunaan AI berpindah ke bawah permukaan. Karyawan tetap memakai AI, tetapi tidak mengakuinya. Akibatnya, perusahaan kehilangan visibilitas.

Jika organisasi ingin mengurangi shadow AI, larangan saja tidak cukup. Harus ada jalur resmi yang aman, mudah digunakan, dan relevan dengan pekerjaan karyawan.

  • Membebaskan Semua Tools AI

Sebaliknya, membiarkan semua orang memakai tools AI apa pun juga berbahaya. Tidak semua penggunaan AI memiliki tingkat risiko yang sama.

Membuat ide caption umum tentu berbeda dengan memasukkan data pelanggan, source code, kontrak vendor, atau laporan audit ke tools eksternal.

Perusahaan perlu membedakan penggunaan AI berdasarkan tingkat risiko, bukan memperlakukan semuanya dengan pendekatan yang sama.

  • Menganggap Shadow AI Hanya Urusan IT

Shadow AI memang terlihat seperti masalah teknologi. Namun akar risikonya lintas fungsi.

Ada aspek legal, compliance, procurement, HR, data ownership, security, risk management, hingga business process. Karena itu, penanganannya tidak cukup dengan memblokir situs tertentu atau menambah tools keamanan.

Perusahaan perlu tata kelola yang disepakati lintas fungsi.

  • Tidak Memiliki Klasifikasi Data

Tanpa klasifikasi data, karyawan sulit memahami data mana yang boleh digunakan, dibagikan, atau diproses oleh AI.

Semua data terlihat sama. Tinggal copy, paste, dan prompt.

Padahal, perusahaan perlu membedakan data publik, internal, rahasia, sangat rahasia, data pribadi, data finansial, data regulatori, dan data strategis. Tanpa pemisahan ini, kebijakan AI akan sulit diterapkan secara nyata.

 

Mengapa Shadow AI Erat Kaitannya dengan Data Governance?

Shadow AI tidak bisa diselesaikan hanya dengan tools keamanan. Masalah utamanya adalah ketidakjelasan tata kelola data.

Data Governance membantu perusahaan menjawab pertanyaan mendasar: data apa yang dimiliki perusahaan, siapa pemiliknya, siapa yang boleh mengakses, untuk tujuan apa data boleh digunakan, dan bagaimana penggunaan data tersebut diawasi.

Dalam konteks penggunaan AI di perusahaan, Data Governance juga membantu menentukan:

  • data apa yang boleh diproses menggunakan AI;
  • data apa yang tidak boleh masuk ke tools eksternal;
  • siapa yang berhak memberi persetujuan;
  • bagaimana output AI harus divalidasi;
  • bagaimana penggunaan AI dicatat dan diaudit;
  • bagaimana risiko pemrosesan data dikendalikan.

Tanpa Data Governance, kebijakan AI mudah berubah menjadi dokumen yang bagus di atas kertas tetapi lemah di lapangan.

Dengan tata kelola data yang lebih matang, perusahaan dapat membuat aturan AI yang lebih operasional. Bukan hanya mengatakan “jangan memasukkan data sensitif”, tetapi menjelaskan apa yang dimaksud data sensitif, contohnya seperti apa, siapa pemiliknya, dan bagaimana proses approval-nya.

 

Baca juga : Data Governance: Rahasia Sukses Pengelolaan Data yang Harus Anda Ketahui!

 

Strategi Mengendalikan Shadow AI di Perusahaan

Mengendalikan shadow AI bukan berarti mematikan inovasi. Justru sebaliknya, perusahaan perlu membuat AI bisa digunakan secara aman, produktif, dan bertanggung jawab.

Petakan Penggunaan AI yang Sudah Terjadi

Jangan mulai dari asumsi. Mulailah dari realitas lapangan.

Perusahaan perlu mengetahui tools AI apa saja yang sudah digunakan, unit kerja mana yang paling aktif, jenis pekerjaan apa yang dibantu AI, data apa yang sering dimasukkan, dan apakah penggunaan tersebut memakai akun pribadi atau akun perusahaan.

Pemetaan ini bisa dilakukan melalui survei internal, wawancara, review procurement, diskusi lintas fungsi, dan assessment risiko.

Tujuannya bukan mencari siapa yang salah. Tujuannya memahami pola penggunaan AI yang sudah terjadi agar perusahaan bisa membuat kontrol yang realistis.

Klasifikasikan Penggunaan AI Berdasarkan Risiko

Tidak semua penggunaan AI harus diperlakukan sama.

Penggunaan rendah risiko misalnya brainstorming ide, membuat outline presentasi umum, atau merapikan gaya bahasa tanpa data sensitif. Penggunaan menengah risiko bisa berupa meringkas dokumen internal non-rahasia atau membantu membuat draft SOP. Sementara penggunaan tinggi risiko mencakup pemrosesan data pelanggan, data pribadi, kontrak, source code, laporan audit, informasi keuangan, atau dokumen strategis.

Dengan klasifikasi ini, perusahaan dapat menetapkan kontrol yang proporsional. Tidak semua hal perlu dilarang. Namun penggunaan berisiko tinggi harus memiliki batas dan mekanisme approval yang jelas.

Buat Kebijakan AI yang Praktis

Kebijakan AI tidak perlu terdengar rumit agar terlihat serius. Justru kebijakan yang terlalu abstrak biasanya tidak dipakai.

Karyawan perlu panduan yang mudah dipahami: tools AI apa yang boleh digunakan, data apa yang dilarang, kapan perlu persetujuan, siapa approver-nya, bagaimana hasil AI harus diverifikasi, dan apa konsekuensinya jika aturan dilanggar.

Bahasanya harus jelas. Jangan membuat kebijakan yang hanya bisa dipahami oleh auditor dan tiga orang di ruang compliance.

Sediakan Platform AI Resmi

Jika perusahaan ingin mengurangi shadow AI, berikan alternatif yang aman.

Platform AI resmi dapat memiliki kontrol seperti akun enterprise, akses berbasis role, logging, audit trail, konfigurasi retensi data, integrasi identity management, serta pengaturan perlindungan data yang lebih jelas.

Pendekatan ini lebih efektif dibanding hanya mengirim email larangan yang akhirnya diabaikan.

Bangun AI Literacy untuk Karyawan

Karyawan perlu memahami bahwa AI bukan mesin ajaib yang selalu benar. Mereka perlu tahu risiko hallucination, bias, kebocoran data, pelanggaran hak cipta, kesalahan analisis, dan penggunaan output tanpa validasi.

Edukasi ini tidak harus berat. Perusahaan bisa membuat microlearning, panduan singkat, contoh kasus, checklist, atau simulasi prompt yang aman.

Semakin paham karyawan terhadap risiko, semakin kecil peluang mereka memakai AI secara sembarangan.

Integrasikan AI ke Kerangka Data Governance

Agar tidak berjalan sendiri-sendiri, penggunaan AI perlu masuk ke kerangka Data Governance perusahaan.

Ini berarti setiap inisiatif AI harus dikaitkan dengan data ownership, data classification, access control, data quality, consent atau dasar pemrosesan jika terkait data pribadi, retention policy, vendor risk, audit trail, risk assessment, dan incident response.

Inilah yang membedakan perusahaan yang hanya memakai AI dengan perusahaan yang benar-benar mampu mengelola AI.

 

Checklist Awal untuk Menilai Risiko Shadow AI

Perusahaan dapat memulai evaluasi dengan beberapa pertanyaan sederhana:

  • Apakah perusahaan sudah memiliki kebijakan penggunaan AI?
  • Apakah karyawan tahu data apa yang tidak boleh dimasukkan ke tools AI?
  • Apakah perusahaan memiliki daftar tools AI yang disetujui?
  • Apakah penggunaan AI sudah terhubung dengan klasifikasi data?
  • Apakah output AI wajib divalidasi sebelum dipakai untuk keputusan penting?
  • Apakah vendor AI telah melewati assessment keamanan dan compliance?
  • Apakah penggunaan AI dapat dicatat dan diaudit?
  • Apakah ada edukasi rutin mengenai penggunaan AI yang aman?

Jika sebagian besar jawabannya masih “belum”, maka shadow AI bukan sekadar kemungkinan. Besar peluangnya, praktik tersebut sudah terjadi tanpa terlihat jelas.

 

Tren Dari Shadow AI ke Shadow Agent

Tantangan berikutnya tidak berhenti pada chatbot. Perusahaan akan mulai menghadapi AI agent yang bukan hanya memberi jawaban, tetapi juga bisa melakukan tindakan.

AI agent dapat membantu membuat jadwal, mengirim email, mengambil data, menjalankan workflow, mengakses aplikasi, bahkan memicu proses otomatis. Jika hal ini terjadi tanpa identity governance, kontrol akses, dan Data Governance yang kuat, risikonya akan jauh lebih besar.

Shadow AI hari ini mungkin berupa karyawan yang memasukkan dokumen ke chatbot. Besok, risikonya bisa berkembang menjadi sistem otonom yang mengambil tindakan dengan akses ke data perusahaan.

Karena itu, perusahaan tidak bisa menunggu sampai semua risiko terlihat jelas. Tata kelola perlu dibangun sejak sekarang.

 

Kesimpulan

Shadow AI adalah sinyal bahwa karyawan sudah melihat nilai AI, tetapi perusahaan belum tentu siap mengelolanya.

Melarang AI sepenuhnya bukan jawaban yang matang. Membiarkannya tanpa kontrol juga terlalu berisiko. Perusahaan perlu mengambil posisi yang lebih cerdas: memahami penggunaan AI yang sudah terjadi, mengklasifikasikan risikonya, menyusun kebijakan yang praktis, menyediakan tools resmi, melatih karyawan, dan mengintegrasikan semuanya ke dalam Data Governance.

AI bisa mempercepat pekerjaan. Namun tanpa tata kelola data yang kuat, kecepatan itu dapat berubah menjadi kebocoran, pelanggaran, dan keputusan yang sulit dipertanggungjawabkan.

Pada akhirnya, perusahaan yang unggul bukan hanya yang paling cepat memakai AI. Perusahaan yang lebih siap adalah yang mampu mengelola AI dengan aman, terukur, dan bertanggung jawab.

 

Perkuat Data Governance Sebelum AI Bergerak Terlalu Jauh

Shadow AI menunjukkan bahwa tantangan utama perusahaan bukan hanya memilih tools AI terbaik, tetapi memastikan data digunakan dengan aman, terkontrol, dan sesuai kebutuhan bisnis.

Bagi organisasi yang mulai melihat penggunaan AI berkembang di berbagai unit kerja, penguatan Data Governance dapat menjadi langkah penting untuk membangun aturan, klasifikasi data, kontrol akses, serta mekanisme pengawasan yang lebih jelas.

Melalui layanan Data Governance, PROXSIS IT dapat membantu perusahaan meninjau kesiapan tata kelola data, memetakan risiko penggunaan AI, dan menyusun pendekatan pengelolaan data yang lebih relevan dengan kebutuhan bisnis modern.

FAQ

  1. Apa itu shadow AI?
    Shadow AI adalah penggunaan tools atau aplikasi AI oleh karyawan tanpa persetujuan, pengawasan, atau kontrol resmi dari perusahaan.
  2. Mengapa shadow AI berbahaya bagi perusahaan?
    Shadow AI dapat memicu kebocoran data, pelanggaran compliance, risiko intellectual property, keputusan yang keliru, dan lemahnya kontrol atas penggunaan data.
  3. Apakah penggunaan ChatGPT di kantor termasuk shadow AI?
    Ya, jika digunakan untuk pekerjaan tanpa kebijakan, persetujuan, atau kontrol resmi dari perusahaan, maka penggunaan tersebut dapat termasuk shadow AI.
  4. Data apa yang tidak boleh dimasukkan ke tools AI publik?
    Data pelanggan, data pribadi, kontrak, laporan keuangan, source code, strategi bisnis, dokumen legal, hasil audit, dan informasi rahasia perusahaan sebaiknya tidak dimasukkan tanpa kontrol resmi.
  5. Bagaimana cara perusahaan mengurangi risiko shadow AI?
    Perusahaan dapat membuat kebijakan AI, melakukan klasifikasi data, menyediakan tools resmi, melatih karyawan, memantau penggunaan AI, dan memperkuat Data Governance.
  6. Apa hubungan shadow AI dengan Data Governance?
    Data Governance membantu mengatur siapa yang boleh menggunakan data, data apa yang boleh diproses, bagaimana data dilindungi, dan bagaimana penggunaan AI dapat dikontrol serta diaudit.
  7. Apakah perusahaan harus melarang AI sepenuhnya?
    Tidak selalu. Pendekatan yang lebih efektif adalah mengatur penggunaan AI secara aman melalui kebijakan, kontrol akses, edukasi, dan platform resmi.

 

Rate this post

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Artikel Lainnya

Ilustrasi konsep AI Governance untuk keamanan data perusahaan.

Jangan Sampai Bisnis Anda Tersingkir karena Buta Regulasi: Siapkan AI Governance sebagai Standar “ISO Baru” Perusahaan

Ilustrasi proses cyber security maturity assessment di perusahaan.

Jangan Terjebak ‘Ilusi Aman’: Mengapa Cyber Security Maturity Assessment Lebih Penting Ketimbang Borong Tools Mahal

Ilustrasi arsitektur zero trust security framework

Kebocoran Data Mengintai dari Dalam: Saatnya Mengadopsi Zero Trust Sebelum Terlambat

AI Pentest vs Penetration Testing Tradisional: Benarkah Mesin Sudah Menggeser Manusia?

Ilustrasi cara kerja ekosistem Ransomware as a Service

Ransomware-as-a-Service: Saat Kejahatan Siber Semudah Berlangganan Netflix

Ilustrasi konsep Continuous Threat Exposure Management CTEM

Jangan Cuma Tambal Celah! Ini Alasan CTEM Jadi Penyelamat Baru dari Hacker

Hubungi Kami

Contact Us

Roni Sulistyo Sutrisno

Andrianto Moeljono

Ajeng Diana Dewi Mursyidi

Dicky Tori Dwi Darmawan

Riska Oktaviani

Membership

    Pendaftaran Komunitas

    Contact Us