บริษัทใช้เงินเป็นจำนวนมากในการซื้ออุปกรณ์คอมพิวเตอร์ การซื้อฮาร์ดแวร์สามารถอยู่ในรูปแบบของอุปกรณ์ของผู้ใช้ปลายทาง เช่น แล็ปท็อป เดสก์ท็อป และโทรศัพท์มือถือ แต่ยังรวมถึงฮาร์ดแวร์คอมพิวเตอร์อื่นๆ เช่น เซิร์ฟเวอร์และอุปกรณ์เครือข่าย บริษัทยังสามารถใช้เงินจำนวนมหาศาลไปกับซอฟต์แวร์เพื่อใช้งานบนฮาร์ดแวร์ได้ โดยรวมแล้วสิ่งเหล่านี้เป็นโครงสร้างพื้นฐานอย่างเป็นทางการ เนื่องจากบริษัทได้อนุมัติการใช้งานเพื่อวัตถุประสงค์ทางธุรกิจ
Shadow IT เป็นชื่อสำหรับโครงสร้างพื้นฐานที่ไม่เป็นทางการ ซึ่งผู้คนเริ่มใช้อุปกรณ์ ซอฟต์แวร์ หรือบริการคลาวด์ที่ไม่ได้รับอนุมัติ โครงสร้างพื้นฐานเงาไม่จำเป็นต้องมีการใช้งานทางธุรกิจด้วยซ้ำ ตัวอย่างเช่น หากบริษัทแบน BYOD หรือที่รู้จักว่า Bring Your Own Device และพนักงานเชื่อมต่อโทรศัพท์มือถือส่วนตัวกับเครือข่ายขององค์กร ซึ่งยังคงนับเป็นเงาไอที ทั้งนี้เนื่องจากอุปกรณ์เชื่อมต่อกับเครือข่ายของบริษัทที่สามารถแพร่กระจายมัลแวร์ ฯลฯ หากถูกบุกรุก
ซอฟต์แวร์ที่ไม่ได้รับการอนุมัติยังถูกจัดประเภทเป็นเงาไอที เนื่องจากซอฟต์แวร์จะทำงานบนคอมพิวเตอร์ของบริษัท จึงอาจส่งผลเสียต่อประสิทธิภาพหรือความปลอดภัยของอุปกรณ์หรือเครือข่าย ความเสี่ยงหลักของซอฟต์แวร์ที่ไม่ได้รับอนุมัติคือไม่มีการอัพเดตหรือผู้ใช้ได้รับสำเนาที่ไม่เป็นทางการและมีมัลแวร์
บริการ Cloud IT นั้นเป็นส่วนหนึ่งของ Shadow IT ที่ค่อนข้างใหม่ ซึ่งสามารถใช้ในการประมวลผลข้อมูลได้ ปัญหาคือ บริการเหล่านี้อาจอยู่นอกเหนือหน้าที่ทางกฎหมายของบริษัทในการปกป้องข้อมูลและไม่ถ่ายโอนไปยังผู้อื่น บริษัท. บริการคลาวด์ที่ไม่ได้รับอนุมัติยังมีโอกาสน้อยที่จะผ่านกระบวนการชุบแข็งที่เหมาะสม ทำให้พวกเขาเสี่ยงต่อความพยายามในการแฮ็คมากขึ้น
Shadow IT ไม่ใช่ความเสี่ยงที่ง่ายในการเตรียมตัวและจัดการ เพราะตามคำจำกัดความแล้ว ปัญหาที่แน่นอนและความเสี่ยงที่เกิดขึ้นนั้นไม่เป็นที่รู้จัก วิธีเดียวในการเตรียมตัวสำหรับพวกเขาคือสร้างขั้นตอนและแผนและมีผลที่ตามมาที่ชัดเจนสำหรับการละเมิดกฎ สิ่งสำคัญอย่างยิ่งคือต้องตรวจสอบให้แน่ใจว่าขั้นตอนอย่างเป็นทางการในการขออุปกรณ์และอื่น ๆ อย่างถูกต้องนั้นง่าย มาใช้ เนื่องจากเป็นการลดโอกาสที่พนักงานหันไปทำในสิ่งที่ไม่ควรทำเพราะเป็น ง่ายขึ้น.