Bedrifter bruker mye penger på å kjøpe datautstyr. Maskinvarekjøp kan være i form av både sluttbrukerenheter som bærbare datamaskiner, stasjonære datamaskiner og mobiltelefoner, men inkluderer også annen maskinvare som servere og nettverksutstyr. Bedrifter kan også bruke enorme summer på programvare for å kjøre på maskinvaren. Samlet er dette offisiell infrastruktur, da selskapet har godkjent bruken til forretningsformål.
Shadow IT er navnet på uoffisiell infrastruktur, der folk har begynt å bruke ikke-godkjente enheter, programvare eller skytjenester. Skyggeinfrastruktur trenger ikke nødvendigvis å ha en forretningsmessig bruk. For eksempel, hvis et selskap forbyr BYOD, også kalt Bring Your Own Device, og en ansatt kobler sin personlige mobiltelefon til bedriftsnettverket, regnes det fortsatt som skygge-IT. Dette er fordi enheten er koblet til et bedriftsnettverk der den kan spre skadelig programvare osv. hvis den hadde blitt kompromittert.
Ikke-godkjent programvare er også klassifisert som skygge-IT. Siden programvaren vil kjøre på bedriftens datamaskiner, kan det påvirke ytelsen eller sikkerheten til enhetene eller nettverkene negativt. Hovedrisikoen ved ikke-godkjent programvare er at den ikke blir oppdatert eller at brukeren får en uoffisiell kopi med skadelig programvare.
Cloud IT-tjenester er en relativt ny del av skygge-IT som kan brukes til å behandle data, problemet er disse tjenestene kan falle utenfor selskapets juridiske plikt til å beskytte dataene og ikke overføre dem til andre selskaper. Ikke-godkjente skytjenester har også betydelig mindre sannsynlighet for å gå gjennom en skikkelig herdeprosess, noe som gjør dem mer sannsynlige for å være sårbare for hackingforsøk.
Shadow IT er ikke en lett risiko å forberede seg på og håndtere fordi de eksakte problemene og risikoene de utgjør per definisjon er ukjente. Den eneste måten å forberede seg på er å lage prosedyrer og planer og ha klare konsekvenser for brudd på reglene. Det er også spesielt viktig å sikre at offisielle prosedyrer for å be om utstyr osv. er enkle å bruke, da dette reduserer sjansen for at ansatte tyr til å gjøre noe de ikke burde fordi det er det lettere.