Las empresas gastan mucho dinero en la compra de equipos informáticos. Las compras de hardware pueden realizarse en forma de dispositivos de usuario final, como computadoras portátiles, de escritorio y teléfonos móviles, pero también incluye otro hardware de computadora, como servidores y equipos de red. Las empresas también pueden gastar enormes sumas de dinero en software para ejecutar en el hardware. En conjunto, se trata de infraestructura oficial, ya que la empresa ha aprobado su uso con fines comerciales.
Shadow IT es el nombre de la infraestructura no oficial, donde las personas han comenzado a utilizar dispositivos, software o servicios en la nube no aprobados. La infraestructura en la sombra no necesita necesariamente tener un uso comercial. Por ejemplo, si una empresa prohíbe BYOD, también conocido como Traiga su propio dispositivo, y un empleado conecta su teléfono móvil personal a la red corporativa, eso sigue contando como TI en la sombra. Esto se debe a que el dispositivo está conectado a una red de la empresa desde donde podría propagar malware, etc. si se hubiera visto comprometido.
El software no aprobado también se clasifica como Shadow IT. Dado que el software se ejecutará en las computadoras de la empresa, podría afectar negativamente el rendimiento o la seguridad de los dispositivos o redes. Los principales riesgos del software no aprobado son que no se actualice o que el usuario obtenga una copia no oficial y cargada de malware.
Los servicios de TI en la nube son una parte relativamente reciente de la TI en la sombra que se puede utilizar para procesar datos, el problema es Estos servicios pueden quedar fuera del deber legal de la empresa de proteger los datos y no transferirlos a otros compañías. Los servicios en la nube no aprobados también tienen menos probabilidades de pasar por un proceso de endurecimiento adecuado, lo que los hace más vulnerables a los intentos de piratería.
La TI en la sombra no es un riesgo fácil de preparar y manejar porque, por definición, se desconocen los problemas exactos y los riesgos que plantean. La única forma de prepararse para ellos es crear procedimientos y planes y tener claras consecuencias por romper las reglas. También es particularmente importante asegurarse de que los procedimientos oficiales para solicitar equipos, etc. de manera adecuada sean fáciles usar, ya que esto reduce la posibilidad de que los empleados recurran a hacer algo que no deberían porque es más fácil.