Příležitost, nebo hrozba? Kdy má firemní IT oddělení dávat od věci ruce pryč a kdy naopak vystupovat proaktivně? A jakým způsobem, aby to nebylo (jen) z pozice síly? Podle Gartneru představuje 30–40 % výdajů na IT stínové IT; tím se tedy primárně nemyslí soukromé mobilní přístroje zaměstnanců, ale především aplikace, které si celá oddělení koupila a využívá bez souhlasu/vědomí oddělení IT.
Stínové IT je vnímáno hlavně jako riziko, jehož výsledkem může být přímé narušení bezpečnosti nebo alespoň firemních standardů/regulačních požadavků. Mary E. Shacklett na InformationWeek naopak radí ředitelům IT, jak se ke stínovému IT stavět, aby z něj firma měla přínos. Některá doporučení jsou standardní: stínové IT šetří (alespoň v prvním plánu) rozpočty IT, protože je přenáší náklady na jednotlivá oddělení či přímo na zaměstnance. Vhodné je zapojit systémy pro monitoring sítí/řízení aplikací. Standardem by se měly stát „sítě s nulovou důvěrou“ (zero-trust), tedy přísné vynucování přístupových práv, svázání těchto oprávnění pouze s konkrétními aktivitami, detekce nezvyklého/podezřelého chování… Pokud se např. taková pravidla implementují i na úrovni dat, měla by tato být chráněna i na okrajích sítě (edge computing).
Nutností je pak segmentace, aby jakýkoliv problém zůstal omezen na lokalizovanou část infrastruktury IT.
IT oddělení by mělo zvážit, zda neposkytovat pro stínové IT i nějakou míru podpory – pokud tyto systémy generují nějaká data, zajistit, aby se k nim mohli dostat i další uživatelé v podniku, tj. aby všichni pracovali a jako podklad pro rozhodování používali stejná data. Obecně by nové technologie, ať už „oficiální“ nebo stínové, měly být hodnoceny právě na základě svého integračního potenciálu.
Rozhodující je podle Shacklettové však to, aby IT oddělení nevypadala, že si prostě jen hájí své pravomoci a moc – „my o tom máme rozhodovat a IT systémy jsou naše věc“. IT oddělení by měla proaktivně zjišťovat, jaké systémy zaměstnanci chtějí používat pro svou práci, a tyto se pak snažit i implementovat – i když to samozřejmě zní jako doporučení, které se míjí s reálnou situací ve firmách. Z druhé strany pak stojí za to opustit přístup „dokud to funguje, nevrtat do toho“; právě kvůli zastaralým, i když funkčním systémům, se pak mj. začíná stínové IT rozmáhat.
Problémem dnes také že, že část používaných technologií zasahuje do systémů dodavatelů a partnerů, obvykle jde o cloudové služby mimo samotnou podnikovou infrastrukturu. IT oddělení za jejich fungování odmítají převzít zodpovědnost, čímž se tyto blíží stínovému IT. Nicméně samotní zaměstnanci, kteří s těmito systémy pracují, zase nemají potřebné technické dovednosti, ať už jde o provoz nebo samotné uzavírání kontraktů na tyto systémy (cenová relevance, obvyklé garance…). Zde by se IT oddělení neměla bránit přijmout svůj díl zodpovědnost a podílet se např. na definici vyžadované úrovně služeb (SLA).