Компаниите харчат много пари за закупуване на компютърно оборудване. Покупките на хардуер могат да бъдат под формата на устройства за крайни потребители като лаптопи, настолни компютри и мобилни телефони, но също така включват друг компютърен хардуер като сървъри и мрежово оборудване. Компаниите могат също да харчат огромни суми пари за софтуер, който да работи на хардуера. Съвкупно това са официална инфраструктура, тъй като компанията е одобрила използването им за бизнес цели.
Shadow IT е името за неофициална инфраструктура, където хората са започнали да използват неодобрени устройства, софтуер или облачни услуги. Инфраструктурата в сянка не трябва непременно дори да има бизнес употреба. Например, ако компания забрани BYOD, известен още като Bring Your Own Device, и служител свърже личния си мобилен телефон към корпоративната мрежа, това все още се счита за сянка на IT. Това е така, защото устройството е свързано към фирмена мрежа, откъдето би могло да разпространява злонамерен софтуер и т.н., ако е било компрометирано.
Неодобреният софтуер също се класифицира като IT в сянка. Тъй като софтуерът ще работи на фирмени компютри, това може да повлияе негативно на производителността или сигурността на устройствата или мрежите. Основните рискове от неодобрения софтуер са, че той не се актуализира или потребителят получи неофициално копие, натоварено със злонамерен софтуер.
Облачните ИТ услуги са сравнително нова част от сенчестите ИТ, които могат да се използват за обработка на данни, проблемът е тези услуги може да са извън законовото задължение на компанията да защитава данните и да не ги прехвърля на други фирми. Също така е значително по-малко вероятно неодобрените облачни услуги да преминат през подходящ процес на втвърдяване, което ги прави по-уязвими за опити за хакване.
Shadow IT не е лесен риск за подготовка и справяне, тъй като по дефиниция точните проблеми и рисковете, които представляват, са неизвестни. Единственият начин да се подготвите за тях е да създадете процедури и планове и да имате ясни последствия за нарушаване на правилата. Също така е особено важно да се гарантира, че официалните процедури за правилното искане на оборудване и т.н. са лесни за използване, тъй като това намалява шанса служителите да прибягнат да правят нещо, което не трябва, защото е по-лесно.