As empresas gastam muito dinheiro na compra de equipamentos de informática. As compras de hardware podem ser na forma de dispositivos de usuário final, como laptops, desktops e telefones celulares, mas também inclui outro hardware de computador, como servidores e equipamentos de rede. As empresas também podem gastar grandes somas de dinheiro em software para rodar no hardware. Coletivamente, essas são infraestruturas oficiais, pois a empresa aprovou seu uso para fins comerciais.
Shadow IT é o nome da infraestrutura não oficial, onde as pessoas começaram a usar dispositivos, software ou serviços em nuvem não aprovados. A infraestrutura de sombra não precisa necessariamente ter um uso comercial. Por exemplo, se uma empresa proíbe BYOD, também conhecido como Traga seu próprio dispositivo, e um funcionário conecta seu telefone celular pessoal à rede corporativa, isso ainda conta como sombra de TI. Isso ocorre porque o dispositivo está conectado a uma rede da empresa, de onde poderia espalhar malware, etc., se tivesse sido comprometido.
O software não aprovado também é classificado como shadow IT. Como o software será executado em computadores da empresa, ele pode afetar negativamente o desempenho ou a segurança dos dispositivos ou redes. Os principais riscos de um software não aprovado são não ser atualizado ou o usuário obter uma cópia não oficial com malware.
Os serviços de TI em nuvem são uma parte relativamente recente da shadow IT, que pode ser usada para processar dados, o problema é esses serviços podem estar fora do dever legal da empresa de proteger os dados e não transferi-los para outro empresas. Os serviços de nuvem não aprovados também têm uma probabilidade significativamente menor de passar por um processo de proteção adequado, tornando-os mais vulneráveis a tentativas de hackers.
O Shadow IT não é um risco fácil de se preparar e lidar porque, por definição, os problemas exatos e os riscos que eles representam são desconhecidos. A única maneira de se preparar para eles é criar procedimentos e planos e ter consequências claras por quebrar as regras. Também é particularmente importante garantir que os procedimentos oficiais para solicitar equipamentos, etc., sejam fáceis usar, pois isso reduz a chance de os funcionários recorrerem a fazer algo que não deveriam, porque é mais fácil.