Le aziende spendono molti soldi per l'acquisto di apparecchiature informatiche. Gli acquisti di hardware possono essere sotto forma di entrambi i dispositivi dell'utente finale come laptop, desktop e telefoni cellulari, ma includono anche altro hardware per computer come server e apparecchiature di rete. Le aziende possono anche spendere ingenti somme di denaro in software da eseguire sull'hardware. Nel loro insieme, queste sono infrastrutture ufficiali, poiché l'azienda ha approvato il loro utilizzo per scopi commerciali.
Shadow IT è il nome dell'infrastruttura non ufficiale, in cui le persone hanno iniziato a utilizzare dispositivi, software o servizi cloud non approvati. L'infrastruttura shadow non deve necessariamente avere un uso aziendale. Ad esempio, se un'azienda vieta il BYOD, noto anche come Bring Your Own Device, e un dipendente collega il proprio telefono cellulare personale alla rete aziendale, ciò conta ancora come shadow IT. Questo perché il dispositivo è connesso a una rete aziendale da cui potrebbe diffondere malware, ecc. se fosse stato compromesso.
Anche il software non approvato è classificato come IT ombra. Poiché il software verrà eseguito sui computer aziendali, potrebbe influire negativamente sulle prestazioni o sulla sicurezza dei dispositivi o delle reti. I principali rischi di software non approvato sono che non venga aggiornato o che l'utente riceva una copia non ufficiale e carica di malware.
I servizi IT cloud sono una parte relativamente recente dell'IT ombra che può essere utilizzata per elaborare i dati, il problema è che questi servizi possono esulare dall'obbligo legale della società di proteggere i dati e di non trasferirli ad altri aziende. È inoltre molto meno probabile che i servizi cloud non approvati vengano sottoposti a un adeguato processo di rafforzamento, il che li rende più vulnerabili ai tentativi di hacking.
Shadow IT non è un rischio facile da preparare e gestire perché per definizione i problemi esatti e i rischi che comportano sono sconosciuti. L'unico modo per prepararsi è creare procedure e piani e avere chiare conseguenze per la violazione delle regole. È anche particolarmente importante garantire che le procedure ufficiali per richiedere correttamente le attrezzature ecc. siano semplici da utilizzare, poiché ciò riduce la possibilità che i dipendenti ricorrano a qualcosa che non dovrebbero perché è Più facile.