חברות מוציאות הרבה כסף על רכישת ציוד מחשבים. רכישות חומרה יכולות להיות הן בצורת התקני משתמש קצה כגון מחשבים ניידים, שולחניים וטלפונים ניידים, אך כוללות גם חומרת מחשבים אחרת כגון שרתים וציוד רשת. חברות יכולות גם להוציא סכומי כסף אדירים על תוכנה להפעלה על החומרה. יחד, מדובר בתשתיות רשמיות, שכן החברה אישרה את השימוש בהן למטרות עסקיות.
Shadow IT הוא השם של תשתית לא רשמית, שבה אנשים התחילו להשתמש במכשירים, תוכנות או שירותי ענן לא מאושרים. תשתית צל לא חייבת בהכרח אפילו שימוש עסקי. לדוגמה, אם חברה אוסרת על BYOD, הלא היא Bring Your Own Device, ועובד מחבר את הטלפון הנייד האישי שלו לרשת הארגונית, זה עדיין נחשב כ-Shadow IT. הסיבה לכך היא שהמכשיר מחובר לרשת חברה שממנה הוא עלול להפיץ תוכנות זדוניות וכו' אם הוא היה נפגע.
תוכנה לא מאושרת מסווגת גם כ-Shadow IT. מכיוון שהתוכנה תפעל על מחשבי החברה, היא עלולה להשפיע לרעה על הביצועים או האבטחה של המכשירים או הרשתות. הסיכונים העיקריים של תוכנה לא מאושרת הם שהיא לא מתעדכנת או שהמשתמש מקבל עותק לא רשמי ועמוס בתוכנות זדוניות.
שירותי IT בענן הם חלק חדש יחסית ב-Shadow IT שניתן להשתמש בו לעיבוד נתונים, הבעיה היא שירותים אלה עשויים לצאת מחוץ לחובתה המשפטית של החברה להגן על הנתונים ולא להעבירם לאחר חברות. שירותי ענן לא מאושרים גם הם בעלי סיכוי נמוך יותר באופן משמעותי לעבור תהליך הקשחה ראוי, מה שגורם להם להיות חשופים יותר לניסיונות פריצה.
Shadow IT הוא סיכון לא קל להתכונן אליו ולטפל בו מכיוון שבהגדרה הבעיות המדויקות והסיכונים שהם מהווים אינם ידועים. הדרך היחידה להיערך אליהם היא ליצור נהלים ותוכניות ולהשלכות ברורות לשבירת הכללים. כמו כן, חשוב במיוחד להבטיח שהנהלים הרשמיים לבקשת ציוד וכו' כראוי יהיו קלים להשתמש, מכיוון שזה מקטין את הסיכוי שעובדים יפנו לעשות משהו שהם לא צריכים כי זה קל יותר.