Bedrijven geven veel geld uit aan de aanschaf van computerapparatuur. Hardware-aankopen kunnen zowel in de vorm van apparaten voor eindgebruikers als laptops, desktops en mobiele telefoons zijn, maar omvatten ook andere computerhardware zoals servers en netwerkapparatuur. Bedrijven kunnen ook enorme sommen geld uitgeven aan software om op de hardware te draaien. Gezamenlijk zijn dit officiële infrastructuur, aangezien het bedrijf het gebruik ervan voor zakelijke doeleinden heeft goedgekeurd.
Shadow IT is de naam voor onofficiële infrastructuur, waar mensen niet-goedgekeurde apparaten, software of cloudservices zijn gaan gebruiken. Schaduwinfrastructuur hoeft niet per se een zakelijk gebruik te hebben. Als een bedrijf bijvoorbeeld BYOD, oftewel Bring Your Own Device, verbiedt en een medewerker zijn persoonlijke mobiele telefoon aansluit op het bedrijfsnetwerk, telt dat nog steeds als schaduw-IT. Dit komt omdat het apparaat is verbonden met een bedrijfsnetwerk van waaruit het malware, enz. zou kunnen verspreiden als het was gehackt.
Niet-goedgekeurde software valt ook onder schaduw-IT. Aangezien de software op bedrijfscomputers wordt uitgevoerd, kan dit een negatieve invloed hebben op de prestaties of beveiliging van de apparaten of netwerken. De belangrijkste risico's van niet-goedgekeurde software zijn dat deze niet wordt bijgewerkt of dat de gebruiker een niet-officiële en met malware beladen kopie krijgt.
Cloud-IT-services zijn een relatief recent onderdeel van schaduw-IT dat kan worden gebruikt om gegevens te verwerken, het probleem is: deze diensten kunnen buiten de wettelijke plicht van het bedrijf vallen om de gegevens te beschermen en niet over te dragen aan anderen bedrijven. Niet-goedgekeurde cloudservices zullen ook aanzienlijk minder snel door een goed verhardingsproces gaan, waardoor ze kwetsbaarder zijn voor hackpogingen.
Schaduw-IT is geen gemakkelijk risico om op voor te bereiden en te hanteren, omdat per definitie de exacte problemen en de risico's die ze met zich meebrengen onbekend zijn. De enige manier om je erop voor te bereiden, is door procedures en plannen te maken en duidelijke consequenties te hebben voor het overtreden van de regels. Het is ook bijzonder belangrijk om ervoor te zorgen dat officiële procedures om apparatuur enz. op de juiste manier aan te vragen, eenvoudig zijn gebruiken, omdat dit de kans verkleint dat werknemers hun toevlucht nemen tot iets wat ze niet zouden moeten doen omdat het gemakkelijker.