Kom Enkelt Igång Med Asset Management

Mikael Korsholm Poulsen
By: Mikael Korsholm Poulsen Cybersäkerhet | 7 december

Att hålla reda på alla dina IT-tillgångar i ett företag kan vara en överväldigande uppgift. Det inkluderar bärbara datorer, stationära datorer, mobiltelefoner, molntjänster och mycket mer. Denna utmaning är precis vad Asset Management försöker hantera. I det här blogginlägget ger vi dig en introduktion till vad Asset Management är, följt av en praktisk guide om hur du kommer igång med Asset Managementet i ditt företag.

Det här är Asset Management

Kort sagt, är Asset Management ett system som används för att hålla reda på vilka IT-tillgångar som ingår i ditt företag. Det vill säga vilka datorer du har anslutit, vilka programvaror som är installerade på dessa och vilka molntjänster du använder. Det gör det också möjligt att säkerställa att endast godkända tjänster och applikationer kommer att användas på de anställdas arbetsdatorer. Det är viktigt att påpeka att Asset Management inte involverar de anställdas användning av dessa tillgångar, utan bara om de är anslutna eller inte. Alltså är det möjligt att se om de anställda har Word installerat, men inte om de anställda använder den specifika applikationen. Om du är intresserad av ett sådant system borde du ha ett logghanteringssystem istället.

Varför du behöver Asset Management

Innan du fortsätter med implementeringen av Asset Managementet kommer jag att ge dig tre skäl till varför detta initiativ bör prioriteras: 

  1. Det krävs inte en stor resursinvesteringvilket gör de till ett "lågthängande frukt", för många företag.

  2. Med implementeringen av Asset Management kan du sova säkert med vetskapen om att ingen av fina anställda har installerat en bit Limewire på en av företagets datorer.

  3. Du får en bra översikt över dina IT-tillgångar, som kan användas för att framgångsrikt implementera ett logghanteringssystem. 

Efter att ha diskuterat dessa goda grunder, låt oss fortsätta och titta på implementeringen av Asset Management och vilken roll ett sådant system kan spela i din IT-säkerhetsinstallation.

Smart CTA Risk SE

Asset Management vs. Logghantering

Ska du ha ett logghantering system eller Asset Management? Som tur är behöver du inte välja mellan dem, eftersom dessa två typer av system kompletterar varandra mycket bra. I vår erfarenhet av att arbeta med logghantering har vi funnit att det är en riktigt bra idé att starta den här processen genom att implementera Asset Management, för det är här du får reda på vilka källor du vill logga data från. Utan Asset Management riskerar du att missa några av de källor du vill logga data från när du implementerar logghantering och därmed inte logga all relevant information. Logghantering kan berika Asset Management på samma sätt, eftersom implementeringen av logghantering kan hjälpa till att identifiera de olika molntjänster som ska registreras som tillgångar.

Vad som krävs för att få det att fungera

Nu vet vi att Asset Management kan hjälpa till att hålla reda på både dina fysiska och digitala IT-tillgångar, men vad krävs det? Kort sagt tar det bara tid. Det finns olika system för denna uppgift, men systemet vi kommer att granska i det här blogginlägget, vilket är det vi använder själva, kan användas helt utan betalning. Priset blir den tid det tar att implementera systemet.

Så kommer du igång

Innan du börjar implementera Asset Management är det en bra idé att skapa en första översikt för dig själv över vilka onlinetjänster ditt företag använder, eftersom systemet inte kan skanna dessa automatiskt.

Det första steget i denna process är naturligtvis att skapa en användare på systemet som vi kommer att rekommendera i detta blogginlägg, som är Spiceworks Inventory.

SpiceWorks

Detta system behöver en server att köra på, vilket du naturligtvis kan behöva hantera själv, men om du vill undvika detta har SpiceWorks också en molnlösning där de tar hand om att ställa in en server åt dig. Om du har olika platser kan dessa ställas in som ”Remote Sites”, vilket är nödvändigt för att köra genomsökningarna, som vi kommer att ta upp senare i detta blogginlägg.

 RemoteSites

Agenter

Agenten ska installeras på tillgången, men därifrån kan du följa tillgången utanför din arbetsmiljö. Det betyder att det är en bra idé att installera en agent på mobila enheter, till exempel en bärbar dator, som medarbetaren kan ta med hem. Du kan helt enkelt ladda ner agenten från SpiceWorks och installera den på de olika tillgångarna. När agenten är installerad på enheten kommer den att granska applikationerna som är installerade på datorns enhet och sedan lägga till dessa applikationer i SpiceWorks-systemet. Tyvärr finns SpiceWorks agent endast för Windows-maskiner, så Mac- eller Ubuntu-maskiner bör registreras med skanning istället.

RemoteAgents

Skanning

Skanning fungerar enkelt via ditt nätverk på din arbetsplats. På grund av detta kan den täcka alla tillgångar som inte lämnar arbetsplatsen och de som inte är lämpliga för att ha en agent installerad. Denna process täcker vad som inte kan registreras via en agent. Naturligtvis kräver denna typ av registrering lite mindre administration, eftersom agenter inte ska installeras på enskilda enheter, men det krävs mer arbete för att identifiera de olika enheterna korrekt. 

Scanning

Online-tillgångar

Registreringen av vilka online tillgångar som används är lite mer utmanande än registreringen av redan insallerade applikationer. Installerade applikationer registreras automatiskt av antingen agenten eller skanningen som granskar datorns enhet och därmed registrerar allt som är installerat på den. Men att ta reda på vilka tjänster som nås, händer istället genom att skanna webbläsarhistoriken för URL:er som du själv kan definiera. Om jag till exempel vet att vi använder Office365 i vår organisation kan jag be systemet leta efter en del av webbadressen som innehåller ”Office”. Efter detta kommer jag att kunna se om de olika tillgångarna har besökt en sådan URL. Även om detta också betyder att om jag som IT-chef inte är medveten om att en online-molntjänst används och därför inte har matat in webbadressen till den i SpiceWorks, kommer jag inte att kunna se om den här tjänsten visas på IT-tillgångarna i organisationen. Detta är ett exempel på en av fördelarna med att ha både Asset Management och logghantering. I ett sådant fall skulle du kunna se i logghanteringssystemet att den oregistrerade molntjänsten hade nåtts och sedan be vår Asset Management att leta efter detta och därigenom se vilka enheter som har tillgång till tjänsten.

Vad händer nu?

När du har registrerat alla företagets tillgångar och registrerat vilka molntjänster du ska leta efter, bör du ha en översikt över både dina företags fysiska och digitala IT-tillgångar. Härifrån kommer du, som tidigare nämnts, att ha en tydlig, transparent översikt av huruvida dina kollegor använder applikationer eller tjänster som inte har godkänts för säkerhet. I framtiden kommer underhållet av systemet bara att bestå av att installera nya agenter på nya tillgångar samt att registrera nya molntjänster som du väljer att använda.

Jag hoppas att det här inlägget har gjort att Asset Management verkar som en mer genomförbar uppgift som kan implementeras i din organisation. Ofta kan det vara en låghängande frukt på ett sätt, på grund av att resursefterfrågan är så låg, och för att du bygger upp en översikt genom implementeringsprocessen, som ändå borde vara en del av en stark IT-säkerhetsinstallation.

Smart CTA_e-book SE