Gemakkelijk Aan De Slag Met Asset Management

Mikael Korsholm Poulsen
By: Mikael Korsholm Poulsen Cybersecurity | 7 december

Het bijhouden van al je IT-middelen binnen een bedrijf kan een overweldigende taak zijn. Het omvat laptops, desktopcomputers, mobiele telefoons, clouddiensten, en zoveel meer. Deze uitdaging is precies waar asset management om de hoek komt kijken. In deze blogpost geven we je een inleiding over wat asset management is, gevolgd door een praktische gids over hoe je aan de slag kunt met asset management in jouw bedrijf.

Wat is IT asset management?

In het kort, IT asset management is een systeem waarmee wordt bijgehouden welke IT-middelen in jouw bedrijf zijn opgenomen. D.w.z. welke computers je hebt aangesloten, welke softwareapplicaties hierop zijn geïnstalleerd en welke clouddiensten je gebruikt. Dit maakt het ook mogelijk om ervoor te zorgen dat alleen goedgekeurde diensten en applicaties worden gebruikt op de bedrijfscomputers van de werknemers. Hierbij is het belangrijk erop te wijzen dat bij asset management niet het gebruik van deze middelen door de medewerkers wordt bedoeld, maar alleen of ze al dan niet zijn aangesloten. Het zou dus mogelijk zijn om te zien of de medewerker Word heeft geïnstalleerd, maar niet of de medewerker deze applicatie ook echt gebruikt. Als je geïnteresseerd bent in een dergelijk systeem, moet je in plaats daarvan een logboekbeheersysteem (log management) hebben.

Waar wordt IT asset management voor gebruikt?

Voordat ik verder ga met de implementatie van asset management, zal ik je drie goede redenen geven waarom dit initiatief prioriteit zou moeten krijgen:

  1. Er zijn geen grote investeringen in middelen voor nodig, waardoor het voor veel bedrijven een soort ‘laaghangend fruit’ is.

  2. Met de implementatie van IT asset management kun je veilig slapen wetende dat geen van je medewerkers niet-goedgekeurde software geïnstalleerd op een bedrijfscomputer.

  3. Je krijgt een goed overzicht van je IT-middelen, wat gebruikt kan worden om een log-managementsysteem te implementeren.

Nu we die goede redenen hebben besproken, gaan we verder en kijken we naar de implementatie van IT asset management en welke rol een systeem als dit zou kunnen spelen in jouw IT-beveiligingsconfiguratie.

Smart CTA IT-security-policy NL

IT asset management vs. log-management

Moet je dan log-management of IT asset management hebben? Gelukkig hoef je er niet tussen te kiezen, aangezien deze twee soorten systemen elkaar erg goed aanvullen.

In onze ervaring met log-management hebben we gemerkt dat het een goed idee is om dit proces te starten door IT asset management te implementeren, omdat je hier ontdekt uit welke bronnen je gegevens wilt loggen. Zonder IT asset management loop je het risico om bij het implementeren van log-management een aantal van de bronnen over het hoofd te zien waaruit je data wilt loggen en daardoor niet alle relevante data kunt loggen. Log-management kan asset management op dezelfde manier verrijken, aangezien de implementatie van log-management kan helpen bij het identificeren van de verschillende clouddiensten die als assets moeten worden geregistreerd.

Wat is er voor nodig?

Nu weten we dat IT asset management kan helpen bij het bijhouden van zowel je fysieke als digitale IT-middelen, maar wat is ervoor nodig? Simpel gezegd kost het alleen tijd. Er bestaan verschillende systemen voor deze taak, maar het systeem dat we in deze blogpost zullen bespreken, en dat we zelf gebruiken, kan volledig kosteloos worden gebruikt.

Hoe begin ik ermee?

Voordat je aan de slag gaat met het implementeren van IT asset management, is het een goed idee om voor jezelf een eerste overzicht te maken van welke online diensten je bedrijf gebruikt, aangezien het systeem deze niet automatisch kan scannen.

Daarna is de eerste stap in dit proces natuurlijk om een account aan te maken op het systeem dat we zullen aanbevelen in deze blogpost, namelijk bij SpiceWorks Inventory.

SpiceWorks

Dit systeem heeft een server nodig om op te draaien, waar je natuurlijk zelf voor moet zorgen, maar als je dit wilt vermijden heeft SpiceWorks ook een Cloud-oplossing, waar ze zorgen voor het opzetten van een server. Als je verschillende locaties hebt, kunnen deze worden ingesteld als ‘Remote Sites’, wat nodig is om de scannings uit te voeren, waar we later in deze blogpost op in zullen gaan.

 RemoteSites

Agents

De agent dient op de asset te zijn geïnstalleerd, maar vanaf daar kun je de asset ook buiten je werkplek volgen. Dit betekent dat het een goed idee is om een agent te installeren op mobiele apparaten zoals een laptop, die de werknemer mee naar huis kan nemen. Je kunt de agent eenvoudig downloaden van SpiceWorks en deze op verschillende apparaten installeren. Wanneer de agent op het apparaat is geïnstalleerd, beoordeelt het de applicaties die op het computerstation zijn geïnstalleerd en voegt deze vervolgens toe aan het SpiceWorks-systeem. Helaas bestaat de agent van SpiceWorks alleen voor Windows-machines, dus Mac- of Ubuntu-machines moeten in plaats daarvan worden geregistreerd via scanning.

RemoteAgents

Scanning

Scannen werkt heel eenvoudig via het netwerk op je werkplek. Hierdoor kan het alle apparatuur dekken die de werkplek niet verlaten en die niet geschikt zijn om een agent op te installeren. Dit proces omvat wat niet via een agent kan worden geregistreerd. Uiteraard vergt dit soort registratie wat minder administratie, aangezien er geen agents op individuele apparaten geïnstalleerd hoeven worden, maar het vergt meer werk om de verschillende apparaten correct te identificeren.

Scanning

Online assets

De registratie van welke online middelen worden gebruikt, is iets uitdagender dan de registratie van reeds geïnstalleerde applicaties. Geïnstalleerde applicaties worden automatisch geregistreerd door de agent of de scan die het computerstation beoordeelt en daarbij alles registreert dat erop is geïnstalleerd.

Erachter te komen welke diensten worden gebruikt, gebeurt door de browsergeschiedenis te scannen op URL’s die je zelf kunt definiëren. Als ik bijvoorbeeld weet dat we Office365 in onze organisatie gebruiken, kan ik het systeem vragen om een deel van de URL te zoeken, die ‘Office’ bevat. Hierna kan ik zien of de verschillende assets zo’n URL hebben bezocht. Hoewel dit ook kan betekenen dat als ik, als IT-manager, niet weet dat er een online clouddienst wordt gebruikt en daarom de URL niet heb ingevoerd in SpiceWorks, ik niet kan zien of deze dienst voorkomt op de IT-assets van de organisatie. Dit is een voorbeeld van zowel IT asset management als log-management.

In dit geval zou je in het log-managementsysteem kunnen zien dat de niet-geregistreerde clouddienst geopend is en vervolgens ons IT asset management vragen om dit op te zoeken en daardoor zien welke apparaten toegang hebben gehad tot de dienst.

Wat nu?

Als je alle apparatuur van je bedrijf hebt geregistreerd en ook hebt geregistreerd naar welke clouddiensten je moet zoeken, moet je een overzicht hebben van zowel de fysieke als digitale IT-middelen van jouw bedrijf. Vanaf hier heb je, zoals eerder verteld, een mooi transparant overzicht of je collega’s al dan niet applicaties of diensten gebruiken die niet zijn goedgekeurd voor beveiliging. Het toekomstig onderhoud van het systeem omvat alleen het installeren van nieuwe agents op nieuwe apparatuur en het registreren van nieuwe clouddiensten die je wilt gebruiken.

Ik hoop dat deze blog ervoor heeft gezorgd dat Asset management een uitvoerbare taak lijkt en geïmplementeerd kan worden in jouw organisatie. Vaak kan het in zekere zin ‘laaghangend fruit’ zijn, omdat het zo weinig middelen vereist, en omdat je een overzicht opbouwt tijdens het implementatieproces, wat sowieso een onderdeel zou moeten zijn van een sterke IT-beveiligingsopzet.

Smart CTA_e-book NL