Perusahaan menghabiskan banyak uang untuk membeli peralatan komputer. Pembelian perangkat keras dapat berupa perangkat pengguna akhir seperti laptop, desktop, dan ponsel, tetapi juga mencakup perangkat keras komputer lain seperti server dan peralatan jaringan. Perusahaan juga dapat menghabiskan banyak uang untuk perangkat lunak agar dapat berjalan di perangkat keras. Secara kolektif, ini adalah infrastruktur resmi, karena perusahaan telah menyetujui penggunaannya untuk tujuan bisnis.
Shadow IT adalah nama untuk infrastruktur tidak resmi, tempat orang mulai menggunakan perangkat, perangkat lunak, atau layanan cloud yang tidak disetujui. Infrastruktur bayangan tidak perlu harus digunakan secara bisnis. Misalnya, jika sebuah perusahaan melarang BYOD, alias Bawa Perangkat Anda Sendiri, dan seorang karyawan menghubungkan ponsel pribadi mereka ke jaringan perusahaan, itu masih dianggap sebagai TI bayangan. Ini karena perangkat terhubung ke jaringan perusahaan dari mana ia dapat menyebarkan malware, dll jika telah disusupi.
Perangkat lunak yang tidak disetujui juga digolongkan sebagai TI bayangan. Karena perangkat lunak akan berjalan di komputer perusahaan, hal itu dapat berdampak negatif pada kinerja atau keamanan perangkat atau jaringan. Risiko utama dari perangkat lunak yang tidak disetujui adalah tidak diperbarui atau pengguna mendapatkan salinan tidak resmi dan sarat malware.
Layanan Cloud IT adalah bagian yang relatif baru dari shadow IT yang dapat digunakan untuk memproses data, masalahnya adalah layanan ini mungkin berada di luar kewajiban hukum perusahaan untuk melindungi data dan tidak mentransfernya ke pihak lain perusahaan. Layanan cloud yang tidak disetujui juga secara signifikan lebih kecil kemungkinannya untuk melalui proses pengerasan yang tepat sehingga membuat mereka lebih rentan terhadap upaya peretasan.
Shadow IT bukanlah risiko yang mudah untuk dipersiapkan dan ditangani karena menurut definisi masalah pasti dan risiko yang ditimbulkannya tidak diketahui. Satu-satunya cara untuk mempersiapkannya adalah dengan membuat prosedur dan rencana dan memiliki konsekuensi yang jelas untuk melanggar aturan. Juga sangat penting untuk memastikan bahwa prosedur resmi untuk meminta peralatan dll dengan benar adalah mudah untuk digunakan, karena ini mengurangi kemungkinan karyawan melakukan sesuatu yang seharusnya tidak mereka lakukan karena itu lebih mudah.