Kom Enkelt I Gang med Ressursstyring

Mikael Korsholm Poulsen
By: Mikael Korsholm Poulsen Cybersikkerhet | 2 desember

Det kan være en krevende jobb å holde styr på alle IT-ressursene i en bedrift. Dette omfatter bærbare datamaskiner, stasjonære datamaskiner, mobiltelefoner, skytjenester og mye mer. Det er nettopp denne utfordringen faget ressursstyring (asset management) forsøker å håndtere. I denne bloggposten gir vi deg en introduksjon til hva ressursstyring er, fulgt av en praktisk guide til hvordan du kommer i gang med ressursstyring i din bedrift.

Hva er ressursstyring (asset management)?

Kort sagt er ressursstyring et system for å holde styr på de ulike IT-ressursene som finnes i din bedrift. Dette innebærer alle datamaskinene som er tilknyttet din organisasjon, programmer som er installert på disse og hvilke skytjenester du bruker. Ressursstyring innebærer også at du forsikrer deg om at kun godkjente tjenester og programmer blir brukt av ansatte som jobber på bedriftens maskiner. Det er viktig å understreke at ressursstyring ikke betyr at du overvåker dine ansatte. Det har ikke noe med ansattes bruk av ressursene å gjøre, men det handler heller om hvorvidt de er tilkoblet eller ikke. Med andre ord betyr det at ressursstyring viser deg om den ansatte har installert Word på sin maskin, men ikke om vedkommende bruker programmet eller ikke. Dersom du ønsker et slikt system, kan du i stedet se på logstyringssystemer (log management).

 

Hvorfor trenger jeg ressursstyring?

Før vi går videre til implementering av ressursstyring i bedrifter, skal vi først komme med tre gode grunner for å prioritere implementeringen av ressursstyring:

  1. Ressursstyring krever ikke em stor investering, noe som gjør det til en form for et «løsthengende frukt» for mange bedrifter.

  2. Når du har implementert ressursstyring i din bedrift, trenger du ikke å bekymre deg for at ansatte installerer Limewire på sin jobbmaskin.

  3. Du vil få en god oversikt over IT-ressursene dine, noe som kan brukes til å implementere et loggstyringssystem på en god måte.

Nå som vi har presentert tre gode grunner for å implementere et ressursstyringssystem, kan vi gå videre til selve implementeringen og hvordan et slikt system kan hjelpe deg i ditt IT-sikkerhetsarbeid.

Smart CTA IT-security-policy NO

Ressursstyring vs. loggstyring (log management)

Så bør du ha loggstyring eller ressursstyring? Heldigvis trenger du ikke å velge den ene fremfor den andre siden disse to systemene utfyller hverandre ganske godt.

I vårt arbeid med loggstyring har vi funnet at det er en veldig god idé å begynne denne prosessen ved å implementere ressursstyring. Det er her du finner ut hvilke ressurser du ønsker å loggføre data fra. Uten ressursstyring risikerer du å overse noen av kildene som kan være relevant å føre logg om, og dermed blir ikke loggen som du fører fullstendig utfyllende. På samme måte kan også loggstyring utfylle ditt arbeid innen ressursstyring. For eksempel kan du plutselig finne ut av alle de ulike skytjenestene du bruker, og deretter registrere dem som IT-ressurser.

 

Hva trengs for ressursstyring?

Nå som vi vet at ressursstyring kan hjelpe deg med å holde styr på både de fysiske og immaterielle IT-ressursene dine, er det på tide å tenke over hva man trenger for å implementere et ressursstyringssystem. Kort sagt, trenger man egentlig bare god tid. Det finnes mange forskjellige systemer for ressursstyring, men vi har valgt å se nærmere på en løsning som ikke koster penger, og som vi faktisk bruker selv. Prisen vil da være den tiden du bruker på å implementere systemet. Det første du bør gjøre før du setter i gang med ressursstyring, er å lage deg en foreløpig oversikt over de ulike nettjenestene bedriften din bruker, siden systemet ikke fanger opp disse automatisk.

Hvordan kommer jeg i gang?

Før du begynner arbeidet med å implementere IT-ressursstyring, er det en god idé å skaffe seg et oversikt over hvilke online tjenester bedriften din bruker, fordi disse ikke kan skannes automatisk.

Etter dette er det første steget å opprette en bruker i systemet som vi kommer til å anbefale i dette blogginnlegget: Spiceworks Inventory.

SpiceWorks.png

Dette systemet trenger en server å kjøre på, noe du selvfølgelig vil kunne måtte håndtere selv, men hvis du ønsker å unngå dette har SpiceWorks også en skyløsning hvor de påtar seg å sette opp en server. Hvis du har forskjellige lokasjoner kan disse konfigureres som «Fjernlokasjoner», noe som er nødvendig for å kjøre skanningene vi skal se nærmere på senere i denne bloggposten.

RemoteSites.png


Installering av agenter

Agenter er som apper som installeres på mobiltelefoner eller datamaskiner. De skal installeres på direkte på den enkelte ressurs, men deretter kan du følge ressursen utenfor arbeidsområdet ditt. Agenter gir altså deg tilgang til å se hva som er installert på den enkelte ressurs. Dette betyr at det er en god idé å installere en agent på mobile enheter, som f.eks. en bærbar datamaskin som en ansatt kanskje tar med seg hjem. Du kan ganske enkelt laste ned agenten fra Spiceworks og installere den på de forskjellige ressursene. Når agenten er installert på enheten, vil den se gjennom applikasjonene som er installert på harddisken, og så legge disse applikasjonene til i SpiceWorks-systemet. Dessverre finnes SpiceWorks’ agent kun til Windows-maskiner, så Mac- eller Ubuntu-maskiner må registreres ved hjelp av skanning i stedet.

RemoteAgents.png

Skanning

Skanning fungerer ganske nkelt gjennom nettverket du har på arbeidsplassen. Derfor kan det dekke alle ressursene som ikke forlater arbeidsplassen, og de som ikke er egnet for installasjon av en agent. Denne typen registrering krever selvfølgelig litt mindre administrativt arbeid, da agenter ikke skal installeres på enkeltenheter, men det er mer arbeid å identifisere de forskjellige enhetene korrekt.

Scanning.png

Nettressurser

Registreringen av hvilke nettressurser som brukes er litt mer utfordrende enn registreringen av applikasjoner som allerede er installert. Installerte applikasjoner registreres automatisk, enten av agenten eller av skanningen som søker i harddisken, og slik registrerer alt som er installert på den.

Men det å finne ut hvilke tjenester som brukes skjer isteden ved å skanne nettleserhistorikken for URL-er du kan definere selv. Dersom jeg f.eks. vet at vi bruker Office365 i organisasjonen vår, kan jeg be systemet om å se etter en del av URL-en som inneholder «Office». Etter dette vil jeg kunne se hvorvidt de forskjellige ressursene har besøkt en slik URL. Men dette betyr også at dersom jeg, som IT-ansvarlig, ikke kjenner til at en skytjeneste brukes – og derfor ikke har lagt inn URL-en dens i SpiceWorks, ikke vil kunne se om denne tjenesten vises blant organisasjonens IT-ressurser. Dette er et eksempel på en fordel ved å ha både ressursstyring og loggstyring.

I et slikt tilfelle vil du kunne se i Loggstyringssystemet at noen hadde vært inne på den uregistrerte skytjenesten, og deretter be vår ressursstyring om å lete etter dette, og gjennom dette se hvilke enheter som har brukt tjenesten.

Hva nå?

Når du har registrert alle ressursene til bedriften din, og også registrert hvilke skytjenester en skal se etter, bør du ha en oversikt over både de fysiske og de digitale ressursene til selskapet ditt. Fra nå av vil du ha en komplett og gjennomsiktig oversikt over hvorvidt kollegene dine bruker applikasjoner eller tjenester som ikke er sikkerhetsgodkjente. I fremtiden vil vedlikeholdet av sikkerhetssystemet kun bestå av å installere nye agenter på nye ressurser og å registrere nye skytjenester, som du velger å bruke.

Vi håper denne bloggen har ført til at ressursstyring virker som en gjennomførbar oppgave som kan innføres i din organisasjon. Ofte kan det være en «løsthengende frukt» på en måte, både fordi det krever så lite i form av ressurser, og at du gjennom implementeringsprosessen bygger opp en oversikt som bør være en del av alle sterke IT-sikkerhetsopplegg.

Smart CTA_e-book NO