Virksomheder bruger mange penge på indkøb af computerudstyr. Hardwarekøb kan være i form af både slutbrugerenheder såsom bærbare computere, desktops og mobiltelefoner, men omfatter også anden computerhardware såsom servere og netværksudstyr. Virksomheder kan også bruge enorme summer på software til at køre på hardwaren. Tilsammen er der tale om officiel infrastruktur, da virksomheden har godkendt deres anvendelse til forretningsformål.
Shadow IT er navnet på uofficiel infrastruktur, hvor folk er begyndt at bruge ikke-godkendte enheder, software eller cloud-tjenester. Skyggeinfrastruktur behøver ikke nødvendigvis engang at have en forretningsmæssig anvendelse. For eksempel, hvis en virksomhed forbyder BYOD, også kaldet Bring Your Own Device, og en medarbejder forbinder deres personlige mobiltelefon til virksomhedens netværk, tæller det stadig som skygge-IT. Dette skyldes, at enheden er forbundet til et firmanetværk, hvorfra den kunne sprede malware osv., hvis den var blevet kompromitteret.
Ikke-godkendt software er også klassificeret som skygge-IT. Da softwaren vil køre på virksomhedens computere, kan det påvirke ydeevnen eller sikkerheden af enhederne eller netværkene negativt. De største risici ved ikke-godkendt software er, at den ikke bliver opdateret, eller at brugeren får en uofficiel og malware-ladet kopi.
Cloud IT-tjenester er en relativt ny del af skygge-IT, som kan bruges til at behandle data, problemet er disse tjenester kan falde uden for virksomhedens juridiske pligt til at beskytte dataene og ikke overføre dem til andre virksomheder. Ikke-godkendte cloud-tjenester er også betydeligt mindre tilbøjelige til at gennemgå en ordentlig hærdningsproces, hvilket gør dem mere tilbøjelige til at være sårbare over for hackingforsøg.
Shadow IT er ikke en nem risiko at forberede sig på og håndtere, fordi de præcise problemer og de risici, de udgør, per definition er ukendte. Den eneste måde at forberede sig på dem er at lave procedurer og planer og få klare konsekvenser for at bryde reglerne. Det er også særligt vigtigt at sikre, at officielle procedurer for at rekvirere udstyr osv. er nemme at bruge, da dette mindsker chancen for, at medarbejderne tyer til at gøre noget, de ikke burde, fordi det er nemmere.