Sådan Kommer Du Let Igang Med IT Asset-Management

Mikael Korsholm Poulsen
By: Mikael Korsholm Poulsen IT-sikkerhed | 9 december

At holde et overblik over alle ens IT-aktiver i en virksomhed kan være en uoverskuelig opgave. Der kan være bærbare computere, stationære computere, mobiltelefoner, cloud-services og meget mere. Det er netop denne udfordring som Asset-management forsøger at tackle. I den her blogpost vil vi give en introduktion til asset-management og bagefter give en praktisk introduktion til, hvordan I kan komme i gang med asset-management i jeres virksomhed.

Hvad er IT asset management?

Asset-management er kort sagt et system, hvori du kan holde overblikket over, hvilke IT-aktiver der indgår i din virksomhed. Et eksempel er hvilke computere i har tilkoblet, hvilke programmer, der er installeret på disse, og hvilke cloud-services disse benytter sig af. Dette giver altså mulighed for at kontrollere, at det kun er godkendte services eller programmer, der benyttes på medarbejdernes arbejdscomputere. Her er det vigtigt at pointere, at Asset-management ikke vedrører medarbejdernes brug af disse aktiver, men kun hvorvidt de er tilkoblet. Man vil altså kunne se om f.eks. medarbejderen har installeret Word, men ikke hvorvidt medarbejderen bruger dette program. Hvis det er et sådant system, man er interesseret i, skal man i stedet have et Log-management system.

Asset-management lader dig sove trygt om natten

Inden vi går videre til, hvordan man implementerer Asset-management, vil jeg lige hurtigt give tre gode grunde til at prioritere dette initiativ:

  1. Det kræver ikke nogen stor ressource-investering og er derved lidt en “lavt hængende frugt” for mange virksomheder.

  2. Med Asset-management implementeret kan du sove trygt med den viden, at en af dine medarbejdere ikke lige har valgt at installere en omgang Limewire på sin arbejdscomputer.

  3. Du får et godt overblik over jeres IT-aktiver, som kan bruges til at implementere et succesfuldt Log-management system.

Så lad os gå videre med de gode grunde på plads, og se på hvordan man implementerer Asset-management og hvilken rolle et sådan system vil kunne have i jeres IT-sikkerheds-setup.

Billede af Risiko-analyse skabelon

IT asset management vs. log management

Skal man så have Log-management eller Asset-management?

Det behøver heldigvis ikke at være en enten/eller-situation, da disse to typer systemer komplimenterer hinanden rigtig fint. I vores erfaring med Log-management har vi fundet, at det er en rigtig god idé at starte denne proces med at implementere asset-management, da man her finder ud af, hvilke kilder, man gerne vil logge data fra. Uden asset-management kan man altså overse nogle af de kilder man vil logge data fra, når man implementerer log-management, og derved ikke logge alt den relevante data. På samme måde kan Log-management også berige asset-management i og med, at implementeringen af log-management kan hjælpe med at identificere de forskellige cloud-tjenester, der skal registreres som aktiver.

Det kræver ikke andet end tid

Nu ved vi altså, at asset-management kan skabe overblik over både jeres fysiske og digitale IT-aktiver, men hvad kræver det så?

Kort sagt kræver det kun tid. Der findes forskellige systemer til denne opgave, men det system vi vil gennemgå i denne blogpost, og som vi selv bruger, kan bruges helt uden betaling. Prisen bliver altså den tid, det tager at implementere systemet. Inden man går i gang med at implementere Asset-management, er det også smart at skabe sig et indledende overblik over hvilke online services, din organisation benytter sig af, da systemet ikke kan scanne disse automatisk.

Guide: Sådan kommer du igang

Første skridt i denne proces er selvfølgelig at oprette en bruger på det system, som vi i denne blogpost vil anbefale, nemlig SpiceWorks Inventory.

SpiceWorks.png

Dette system kræver en server, det kan køre på, hvilket man selvfølgelig selv kan håndtere, men hvis man gerne vil undgå dette, har SpiceWorks også en Cloud-løsning, hvor de står for serveropsætning. Hvis man har flere forskellige lokationer, kan disse opsættes som “Remote Sites”, hvilket er nødvendigt for at kunne køre de scanninger, som vi kommer ind på senere i blogposten.

RemoteSites.png

Agenter

Agenten skal installeres på aktivet, men kan derefter følge aktivet udenfor arbejdspladsen. Dette betyder, at det er en god idé at installere en agent på mobile enheder, som f.eks. den bærbare arbejdscomputer, som muligvis tages med hjem af medarbejderen. Agenten downloader man simpelthen bare fra Spiceworks og installerer på de forskellige aktiver. Når Agenten er installeret på enheden, vil den kunne gennemgå de installerede programmer på computerens drev og derefter indføre disse programmer i SpiceWorks-systemet. Desværre findes SpiceWorks’ agent kun til Windows-maskiner, og Mac- eller Ubuntu-maskiner vil derfor skulle registreres igennem scanning i stedet.

RemoteAgents.png

Scanning

Scanninger foregår helt simpelt vha. jeres netværk på arbejdspladsen. Derfor kan dette dække alle de aktiver, som ikke forlader arbejdspladsen, og dem der ikke egner sig til at få installeret en agent. Dette dækker altså alt det, som ikke kan registreres via en agent. Denne type registrering er selvfølgelig også lidt mindre administrations-tung, da der ikke skal installeres agenter på de individuelle enheder, men kræver et større udredningsarbejde i at få identificeret de forskellige enheder korrekt.

Scanning.png

Online aktiver

Registreringen af hvilke online aktiver, der benyttes er lidt mere udfordrende end registreringen af installerede programmer. Installerede programmer registreres nemlig automatisk ved at enten agenten eller scanningen gennemgår computerens drev, og derved registreret alt der er installeret. Men hvilke services der tilgås, foregår i stedet ved at browserhistorikken gennemsøges for URL’er, som man selv skal definere. Hvis jeg f.eks. ved, at vi i vores organisation benytter os af Office365 vil jeg kunne bede systemet om at søge efter URL-bidden ”Office”.

Derefter vil jeg kunne se, om de forskellige aktiver har besøgt en sådan URL. Dette betyder dog også, at hvis jeg, som IT-ansvarlig, ikke ved, at en online cloud-tjeneste benyttes og derfor ikke har indsat dens URL i SpiceWorks, så vil jeg ikke kunne se, hvorvidt denne tjeneste optræder på organisationens IT-aktiver. Her ser vi altså et eksempel på en af fordelene ved at have både Asset-management og Log-management. I en sådan situation ville det kunne ses i Log-management-systemet, at den uregistrerede cloud-tjeneste var blevet tilgået og derefter bede vores Asset-management om at lede efter denne, og derved se hvilke enheder, der har tilgået tjenesten.

Du har nu et overblik over IT-aktiver

Når du har registreret alle din virksomheds aktiver og registreret hvilke cloud-tjenester, som der skal søges efter, skulle du altså gerne have et overblik over både din virksomheds fysiske og digitale IT-aktiver. Herefter vil du altså som tidligere nævnt have et dejligt overskueligt overblik over, hvorvidt dine kollegaer benytter sig af programmer eller services, som du ikke har sikkerhedsgodkendt. Fremadrettet vil vedligeholdelsen af systemet bare handle om at få installeret agenter på nye aktiver og registrere nye cloud-tjenester, som I vælger at benytte.

Jeg håber, at den her blog har fået Asset-management til at virke som en overkommelig opgave, som du kan implementere i din organisation . Det kan ofte være lidt en ”lavt-hængende”-frugt, da ressource-kravet er lavt, og at man igennem implementeringen skaber sig et overblik, som alligevel burde være en del af enhver stærk IT-sikkerhedsopsætning.

 

Smart CTA_e-book DK