Компанії витрачають багато грошей на придбання комп’ютерної техніки. Придбання апаратного забезпечення може здійснюватися як у вигляді пристроїв кінцевих користувачів, таких як ноутбуки, настільні комп’ютери та мобільні телефони, так і іншого комп’ютерного обладнання, такого як сервери та мережеве обладнання. Компанії також можуть витрачати величезні суми грошей на програмне забезпечення для роботи на апаратному забезпеченні. Разом це офіційна інфраструктура, оскільки компанія схвалила їх використання в комерційних цілях.
Shadow IT – це назва неофіційної інфраструктури, де люди почали використовувати несанкціоновані пристрої, програмне забезпечення або хмарні сервіси. Тіньова інфраструктура не обов’язково має використовуватися навіть для бізнесу. Наприклад, якщо компанія забороняє BYOD, він же Bring Your Own Device, і співробітник підключає свій особистий мобільний телефон до корпоративної мережі, це все ще вважається тіньовим IT. Це пов’язано з тим, що пристрій під’єднано до мережі компанії, звідки він міг би поширювати шкідливе програмне забезпечення тощо, якби він був скомпрометований.
Несхвалене програмне забезпечення також класифікується як тіньове ІТ. Оскільки програмне забезпечення працюватиме на комп’ютерах компанії, це може негативно вплинути на продуктивність або безпеку пристроїв або мереж. Основні ризики несанкціонованого програмного забезпечення полягають у тому, що воно не оновлюється або користувач отримує неофіційну копію з шкідливим програмним забезпеченням.
Проблема полягає в тому, що хмарні ІТ-сервіси є відносно недавньою частиною тіньових ІТ, які можна використовувати для обробки даних ці послуги можуть виходити за рамки юридичного обов’язку компанії захищати дані та не передавати їх іншим особам компанії. Несхвалені хмарні сервіси також значно рідше проходять належний процес зміцнення, що робить їх більш вразливими до спроб злому.
Тіньові ІТ – це непростий ризик, до якого підготуватися та впоратися з ним, оскільки за визначенням точні проблеми та ризики, які вони представляють, невідомі. Єдиний спосіб підготуватися до них — створити процедури та плани та мати чіткі наслідки за порушення правил. Також особливо важливо переконатися, що офіційні процедури правильного запиту обладнання тощо були легкими використовувати, оскільки це зменшує ймовірність того, що співробітники вдадуться робити те, що їм не слід, тому що це так легше.