DSPM: Apakah Ini Lagi-Lagi Masalah Shadow IT?

Oleh Tony Frum - Insinyur Terkemuka, Manajemen Produk

19 Maret 2026 5 Waktu Baca: 5 Menit

Pengelolaan Postur Keamanan Data (DSPM) agak membingungkan bagi banyak orang, termasuk saya. Saya sering terlibat dalam diskusi yang agak akademis mengenai apa, sebenarnya, sebenarnya DSPM itu. Setelah banyak perdebatan semacam itu, saya akhirnya menyimpulkan hal ini – pada intinya, DSPM tidak lebih dari sebuah solusi keamanan data yang menemukan data yang tidak Anda perintahkan untuk dicari. Anda tidak perlu mendefinisikan klasifikasi (yang merupakan cara Anda menentukan apa yang sensitif) atau kebijakan (yang menjelaskan di mana harus mencari data sensitif dan apa yang harus dilakukan saat menemukannya). Anda cukup menjalankannya, dan aplikasi ini akan menemukan data sensitif yang mungkin belum Anda ketahui, serta mendata semua yang ditemukannya. Sederhana.

Saya tetap berpegang pada definisi ini hingga hari ini, tetapi salah satu rekan saya, Suhaas Kodagali, menjelaskannya dengan cara yang jauh lebih mendalam, dan saya tak henti-hentinya memikirkannya. Dia berkata, “DSPM adalah Shadow IT yang terulang kembali,” dan pernyataan ini benar-benar membuat saya terkesima. Izinkan saya menjelaskan apa yang pada dasarnya merupakan lelucon internal.

Kembali ke sekitar 10 tahun yang lalu, pasar Secure Web Gateway SWG) sudah sangat mapan dan pada dasarnya sudah menjadi hal yang biasa. Solusi SWG dapat memantau seluruh lalu lintas web Anda, memblokir apa pun yang Anda inginkan, serta merekam setiap permintaan HTTP yang berasal dari hampir semua perangkat di lingkungan Anda.  Ini adalah teknologi yang sangat kuat dan umumnya dianggap sebagai elemen yang mutlak penting dalam setiap tumpukan keamanan yang lengkap. Kemudian muncul pasar Cloud Access Security Broker CASB), yang terutama dipelopori oleh Skyhigh Networks, salah satu perusahaan pendahulu kami, yang mengembangkan solusi yang hingga kini kami sebut sebagai “Shadow IT”.

Apa yang dilakukan oleh Shadow IT? Izinkan saya menjelaskannya dengan sebuah pertanyaan. Apakah Anda tahu apa itu domain twtimg.com itu? Mungkin tidak, tapi itu singkatan dari Twitter images – salah satu dari banyak domain yang terkait dengan X, yang sebelumnya bernama Twitter. Jika Anda melihatnya dalam data pelaporan dari solusi SWG, Anda mungkin tidak akan tahu apa itu. Mari kita ambil contoh acak lainnya, sanpdf.com. Jika Anda tidak familiar dengannya, pencarian cepat di Google akan memberitahu Anda bahwa SanPDF adalah kumpulan alat untuk mengonversi dokumen. Domainnya jelas, tapi seberapa mudah Anda bisa menjawab pertanyaan terkait keamanan tentang SanPDF? Apakah ketentuan hukum mereka memberi mereka hak untuk menggunakan data yang Anda konversi untuk kepentingan mereka sendiri? Apakah Anda tahu apakah mereka menyimpan data dengan aman? Singkatnya, apakah Anda tahu apakah Anda harus mengizinkan pengguna Anda menggunakannya?  Kemungkinan besar Anda tidak akan tahu. Inilah yang dilakukan oleh Shadow IT. Ini membantu Anda memahami laporan SWG Anda dan membantu Anda menyusun kebijakan yang masuk akal berdasarkan risiko bisnis.

Yang menarik di sini adalah bahwa Skyhigh Networks, sebagai penyedia layanan Shadow IT, tidak memiliki kemampuan dasar untuk memeriksa lalu lintas web apa pun atau memblokir apa pun.  Mereka akan mengimpor data log SWG dan menyusun laporan yang bermanfaat untuk menunjukkan di mana letak risiko Anda, dan kemudian Anda dapat menggunakannya untuk menentukan kebijakan. Shadow IT dapat menghasilkan blok-blok pembangun kebijakan web dengan memungkinkan Anda menentukan elemen risiko tertentu yang tidak dapat diterima, dan hal itu akan membuat daftar aplikasi yang harus diblokir beserta semua domain yang terkait dengannya. Inilah inti leluconnya – Shadow IT tidak dapat menegakkan kebijakannya sendiri. Mereka terpaksa harus terintegrasi dengan SWG yang bisa, atau mereka harus membuat proxy sendiri.  Shadow IT terpaksa harus tetap bergantung pada SWG atau menjadi proxy yang berlebihan, dan tidak ada satu pun opsi tersebut yang menarik bagi pelanggan mereka.

Ini adalah analogi yang tepat untuk solusi DSPM murni saat ini. Vendor Security Service Edge SSE) saat ini memiliki semua visibilitas dan kendali yang diperlukan untuk melindungi data Anda di aplikasi cloud yang disetujui, lalu lintas web, aplikasi pribadi, dan sebagainya; jadi, apa yang ditawarkan DSPM kepada Anda?  DSPM membantu Anda memanfaatkan teknologi keamanan data SSE secara lebih efektif sama seperti Shadow IT membantu organisasi menggunakan teknologi SWG mereka secara lebih efektif. Dengan portofolio SSE modern, Anda dapat mengklasifikasikan dan melindungi data Anda secara akurat, tetapi apa pun yang Anda lakukan, Anda akan tetap merasa khawatir, “Apa yang tidak saya ketahui?”  Aplikasi apa saja yang digunakan pengguna Anda untuk mengirim data sensitif yang belum Anda buat kebijakannya untuk mencegahnya? Jenis data sensitif apa saja yang digunakan bisnis Anda yang belum pernah Anda pertimbangkan? Apakah Anda melanggar undang-undang tertentu yang sama sekali tidak Anda ketahui? DSPM bertujuan untuk menjawab pertanyaan-pertanyaan ini. DSPM mencari jenis jenis data sensitif di mana pun Anda mengizinkannya mencari. DSPM memberi tahu Anda hal-hal yang tidak Anda ketahui sehingga Anda dapat membuat kebijakan untuk melindungi diri Anda, sama seperti yang dilakukan Shadow IT.

Tantangannya adalah bahwa banyak penyedia layanan DSPM kini terjebak dalam situasi yang sama seperti yang dialami oleh Shadow IT – mereka terpaksa harus memilih antara tetap bergantung atau menjadi berlebihan. Sebagian besar solusi DSPM murni hanyalah alat penemuan yang tidak melindungi data. Kini, vendor-vendor tersebut harus bergantung pada vendor SSE mapan untuk menerapkan perlindungan terhadap data yang telah ditemukan, atau mereka harus membangun serangkaian kemampuan untuk mendapatkan kemampuan perlindungan yang telah diterapkan oleh banyak pelanggan mereka melalui investasi SSE mereka. Pilihan mereka tampaknya telah ditentukan karena banyak vendor telah membangun integrasi API dengan aplikasi IaaS dan SaaS yang sepenuhnya tumpang tindih dengan bagian CASB dari solusi SSE mapan.

Bayangkan diri Anda sebagai sebuah organisasi yang telah menerapkan solusi SSE yang andal dan juga telah berinvestasi pada vendor DSPM khusus. Solusi DSPM telah menunjukkan kepada Anda di mana data sensitif Anda tersimpan, tetapi Anda harus menggunakan solusi SSE untuk benar-benar melindungi data yang telah teridentifikasi tersebut.  Anda memiliki dua solusi terpisah yang terintegrasi dengan, misalnya, Microsoft 365, dan keduanya kemungkinan besar akan menabrak batas kuota API Microsoft saat kedua alat tersebut mencoba memindai data yang sama. Apakah pendekatan ini masuk akal? Dan, jika Anda adalah vendor DSPM murni, bagaimana Anda mengatasi masalah ini? Apakah Anda akan membangun solusi untuk masalah yang sebenarnya sudah diselesaikan oleh pasar CASB sekitar satu dekade yang lalu?

Saya bukan pakar pasar, tapi kesamaan antara DSPM dan Shadow IT memang tak terbantahkan. Menurut saya, setidaknya masuk akal untuk mempertimbangkan bahwa DSPM mungkin sedang menuju arah yang sama, yaitu terintegrasi ke dalam tumpukan teknologi yang ingin ditingkatkannya – terutama SSE. Mengapa organisasi harus dipaksa untuk menerapkan kedua DSPM dan solusi SSE untuk menemukan dan kemudian melindungi data mereka? Bukankah masuk akal jika pendekatan penemuan otomatis DSPM menjadi bagian integral dari tumpukan SSE yang pada akhirnya diperlukan untuk benar-benar melindungi data yang telah ditemukan? Saya menduga pasar pada akhirnya akan mencapai kesimpulan yang sama seperti yang terjadi pada Shadow IT: penemuan dan penegakan harus berada dalam platform yang sama.

Kembali ke Blog