Firmy wydają dużo pieniędzy na zakup sprzętu komputerowego. Zakupy sprzętu mogą dotyczyć zarówno urządzeń użytkowników końcowych, takich jak laptopy, komputery stacjonarne i telefony komórkowe, jak i innego sprzętu komputerowego, takiego jak serwery i sprzęt sieciowy. Firmy mogą również wydawać ogromne sumy pieniędzy na oprogramowanie uruchamiane na sprzęcie. Łącznie są to oficjalna infrastruktura, ponieważ firma zatwierdziła ich wykorzystanie do celów biznesowych.
Shadow IT to nazwa nieoficjalnej infrastruktury, w której ludzie zaczęli korzystać z niezatwierdzonych urządzeń, oprogramowania lub usług w chmurze. Infrastruktura cienia niekoniecznie musi mieć nawet zastosowanie biznesowe. Na przykład, jeśli firma zablokuje BYOD, czyli Bring Your Own Device, a pracownik połączy swój osobisty telefon komórkowy z siecią firmową, to nadal liczy się jako shadow IT. Dzieje się tak, ponieważ urządzenie jest podłączone do sieci firmowej, z której może rozprzestrzeniać złośliwe oprogramowanie itp., jeśli zostało naruszone.
Niezatwierdzone oprogramowanie jest również klasyfikowane jako shadow IT. Ponieważ oprogramowanie będzie działać na komputerach firmowych, może to negatywnie wpłynąć na wydajność lub bezpieczeństwo urządzeń lub sieci. Główne zagrożenia związane z niezatwierdzonym oprogramowaniem to brak aktualizacji lub otrzymanie przez użytkownika nieoficjalnej i wyładowanej złośliwym oprogramowaniem kopii.
Usługi Cloud IT to stosunkowo nowa część shadow IT, która może być wykorzystywana do przetwarzania danych, problem polega na: usługi te mogą wykraczać poza prawny obowiązek firmy w zakresie ochrony danych i nieprzekazywania ich innym firm. Niezatwierdzone usługi w chmurze są również znacznie mniej narażone na próby włamania.
Shadow IT nie jest łatwym ryzykiem do przygotowania się i radzenia sobie, ponieważ z definicji dokładne problemy i związane z nimi ryzyko są nieznane. Jedynym sposobem na przygotowanie się do nich jest stworzenie procedur i planów oraz wyciągnięcie jasnych konsekwencji za łamanie zasad. Szczególnie ważne jest również upewnienie się, że oficjalne procedury dotyczące prawidłowego zamawiania sprzętu itp. są łatwe do użycia, ponieważ zmniejsza to prawdopodobieństwo, że pracownicy uciekną się do robienia czegoś, czego nie powinni, ponieważ jest łatwiej.