ITAM: Zjistěte skutečný stav svého IT vybavení a zajistěte jeho bezpečnost



IT ve firmách bývá mnohdy přebujelé, má několik systémů redundantních, něco málo duplicitního softwaru a nevyužité licence. Téměř vždy existuje příležitost a prostor pro jeho zlepšení, přičemž jako dobrý výchozí bod se nabízí inventarizace IT assetů. Pojďme se podívat, co nám může přinést a jak na ni.

Zvládnutí správy IT assetů patří k základním předpokladům úspěšného řízení provozu a bezpečnosti IT jakékoliv organizace. Definice wikipedie uvádí k tomuto tématu následující charakteristiku:

„IT asset management (ITAM) je soubor obchodních postupů, které spojují finanční, smluvní a inventarizační funkce podporující řízení životního cyklu a strategické rozhodování v prostředí IT. Aktiva zahrnují všechny prvky softwaru a hardwaru, která se nacházejí v podnikovém prostředí.“

V praxi to zpravidla znamená shromažďování detailních informací o hardwaru a softwaru, které se pak používají při operativním řízení.

Oblast správy je také systematicky popsána v normách ISO nebo NIST. ISO norma tuto problematiku řeší celkem v pěti dílech standardu ISO/IEC 19770. Poslední 5. díl normy poskytuje volně dostupný přehled ITAM se slovníkem a je univerzálně použitelný pro jakoukoliv organizaci. Institut NIST řeší problematiku ITAM v rámci svého doporučení NIST SP 1800 5a-c v úzké vazbě na bezpečnost IT. Dokument je napsán jako průvodce implementace dostupných technologií pro sledování umístění a konfigurace síťových zařízení, serverů a aplikací napříč celou organizací.

Šedá je teorie a zelený zase strom života…

Teoretické popisy a příručky vypadají vždycky moc dobře. Nic proti nim, jsou ostatně skvělé pro pochopení dané problematiky, ale je to vždy jen výchozí bod praktického nasazení. Z výše uvedených doporučení je zřejmé, že ani pro ITAM nemusíme znovu vymýšlet kolo, ale můžeme se inspirovat pro praktické nasazení do konkrétního prostředí organizace.

Začněme úvahou, kdo má v dané organizaci o výstupy z ITAM zájem. Žhavými kandidáty jsou obvykle oddělení, jako je logistika, nákup, účtárna, řízení rizik a zejména pak provoz, rozvoj a bezpečnost IT.

Ti všichni budou chtít nějakým způsobem využívat sebraná data. Každý však v jiném rozsahu a z jiného úhlu pohledu. Praktické zavedení správy IT assetů tedy musí splnit tato očekávání a zároveň bude muset poskytnout podklady alespoň pro některé z následujících oblastí:

  • Optimalizace nákladů na nákup a provoz software a IT infrastrukturu
  • Zajištění shody s legislativními požadavky
  • Zvýšení zabezpečení majetku a duševního vlastnictví
  • Snížení finančního, smluvního a reputačního rizika
  • Snížení nákladů na podporu
  • Snížení požadavků na zdroje

To vše navíc ve velmi dynamickém prostředí moderní organizace, které se neustále a velmi rychle vyvíjí. Mění se počet zákazníků, zavádějí se nové služby a s tím související technologie. Praktické zavedení ITAM musí umět akceptovat tyto „změny prostředí“ a poskytnout dostatečně aktuální obrázek o provozním stavu IT assetů a o jejich zranitelnostech. Správně podchycená evidence IT assetů je vitální také pro úspěšné zvládnutí incident management procesu.

Vazba mezi provozem a bezpečností IT řadí inventarizaci assetů mezi klíčové procesy řízení provozu IT. Aby byl tento proces efektivní, musí být v maximální míře automatizován. Podívejme se na šestici požadavků, které by takový proces měl správně splnit:

  • Kompletní přehled o IT prostředí
  • Hluboká viditelnost aktiv bez ohledu na lokalitu nebo topologii sítě
  • Průběžná a automatická aktualizace
  • Nastavitelná kritéria pro kategorizaci a normalizaci assetů
  • Dashboarding a reporting
  • Integrace s CMDB

Pouze nepřetržitý proces shromažďování a zjišťování dat, který je prvním krokem k automatizovanému procesu inventarizace IT prostředků, poskytuje úplný a vždy aktuální pohled na IT prostředí. Systém, jehož procesy skenování a inventarizace musí být spouštěny ručně na vyžádání, tedy určitě není vhodný. Naopak, budeme hledat systém, který poskytne automatické „značkování“ a dynamickou organizaci assetů. Nepožadujeme inventarizační systém s úzkým rozsahem, protože nezjistí veškerý hardware a software. A pokud budeme následovat nejnovější trendy, vyhneme se i systému, který není nebo nemůže fungovat z cloudu.

Teorie vs. praxe a jak z toho ven

Kompletní přehled o IT prostředí vyžaduje neomezenou viditelnost všech IT prostředků, jak hardwaru, tak softwaru. Nemůžeme chránit něco, o čem nevíme, že existuje. Dnešní IT prostředí je přitom velmi komplexní a je potřeba obsáhnout starší HW a SW, virtuální prostředí, assety v cloudech a nejrůznější mobilní zařízení.

Získávání dat z těchto prostředí vyžaduje instalaci snímačů/sond, které nepřetržitě a proaktivně sbírají informace o systémech. Případně doplněné o pasivní skenery, které sniffují síťová zařízení a provoz a detekují neoprávněné zařízení a podezřelou činnost. Důležitou součástí procesu zpracování je centrální a rozšiřitelný systém, kde jsou tyto informace agregovány, indexovány, korelovány a připravené pro analýzu. Systém nám musí umožnit analýzu shromážděných dat a získání výstupů pomocí jednoduchých i složitých dotazů během několika málo sekund. Jedině tak získáme okamžité odpovědi na otázky typu:

  • Kolik systémů od konkrétního výrobce máme ve svém prostředí?
  • Které IT prostředky jsou ovlivněny konkrétní chybou zabezpečení?
  • Které servery provozují operační systém, jejž dodavatel nedávno přestal podporovat?
  • Které IT prostředky obsahují určitý software?

Od našeho budoucího systému inventarizace bude neméně důležitá podpora bezpečného provozu IT. Výsledkem propojení funkcí „inventarizace“ a „bezpečnost“ je mapování bezpečnostních hrozeb na assety, mapování zranitelných assetů na jejich umístění, podpora patch managementu nebo vazba na bezpečnostní dohled.

Pro sdílení informací ITAM s dalšími týmy, budeme potřebovat zavést mechanismus automatizace sledování změn a integraci s CMDB, případně otevřené API rozhraní pro tvorbu vlastních integrací.

Seznam požadavků na systém můžeme završit potřebou rychlého uvedení do provozu, rozšiřitelností a dostupností online centrální konzole pro sdílený přístup k datům.

Aleš Mahdal, bezpečnostní konzultant ve společnosti Anect


(9. 7. 2018 | redakce2)


Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Tip - Konference: Mobilní řešení pro business - 20.9.2018!
Hledáme nové kolegy pro realizaci zajímavých projektů
v oblasti IT



NOVÉ: Druhá sada pozoruhodných IT produktů pro rok 2018
Ani tentokrát si nenechte ujít produkty, které vám mohou pomoci ve vaší práci v IT.

Pozoruhodné IT produkty pro rok 2018
I zde jistě najdete produkty, které si zaslouží vaši pozornost.





©2011-2018 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(6200)