facebook LinkedIN LinkedIN - follow
IT SYSTEMS 10/2018 , ITSM (ITIL) - Řízení IT

ITAM: Jaký je skutečný stav vašeho IT vybavení a jeho bezpečnost?

Aleš Mahdal


anect01IT ve firmách bývá mnohdy přebujelé, má několik systémů redundantních, něco málo duplicitního softwaru a nevyužité licence. Téměř vždy existuje příležitost a prostor pro jeho zlepšení, přičemž jako dobrý výchozí bod se nabízí inventarizace IT assetů. Pojďme se podívat, co nám může přinést a jak na ni.


Zvládnutí správy IT assetů patří k základním předpokladům úspěšného řízení provozu a bezpečnosti IT jakékoliv organizace. Definice wikipedie uvádí k tomuto tématu následující charakteristiku: „IT asset management (ITAM) je soubor obchodních postupů, které spojují finanční, smluvní a inventarizační funkce podporující řízení životního cyklu a strategické rozhodování v prostředí IT. Aktiva zahrnují všechny prvky softwaru a hardwaru, která se nacházejí v podnikovém prostředí.“

V praxi to zpravidla znamená shromažďování detailních informací o hardwaru a softwaru, které se pak používají při operativním řízení.

Oblast správy je také systematicky popsána v normách ISO nebo NIST. ISO norma tuto problematiku řeší celkem v pěti dílech standardu ISO/IEC 19770. Poslední 5. díl normy poskytuje volně dostupný přehled ITAM se slovníkem a je univerzálně použitelný pro jakoukoliv organizaci. Institut NIST řeší problematiku ITAM v rámci svého doporučení NIST SP 1800 5a-c v úzké vazbě na bezpečnost IT. Dokument je napsán jako průvodce implementace dostupných technologií pro sledování umístění a konfigurace síťových zařízení, serverů a aplikací napříč celou organizací.

Šedá je teorie a zelený strom života…

Teoretické popisy a příručky vypadají vždycky moc dobře. Nic proti nim, jsou ostatně skvělé pro pochopení dané problematiky, ale je to vždy jen výchozí bod praktického nasazení. Z výše uvedených doporučení je zřejmé, že ani pro ITAM nemusíme znovu vymýšlet „kolo“, ale můžeme se inspirovat pro praktické nasazení do konkrétního prostředí organizace.

Začněme úvahou, kdo má v dané organizaci o výstupy z ITAM zájem. Žhavými kandidáty jsou obvykle oddělení, jako je logistika, nákup, účtárna, řízení rizik a zejména pak provoz, rozvoj a bezpečnost IT. Ti všichni budou chtít nějakým způsobem využívat sebraná data. Každý však v jiném rozsahu a z jiného úhlu pohledu. Praktické zavedení správy IT assetů tedy musí splnit tato očekávání a zároveň bude muset poskytnout podklady alespoň pro některé z následujících oblastí:

  • Optimalizace nákladů na nákup a provoz software a IT infrastrukturu
  • Zajištění shody s legislativními požadavky
  • Zvýšení zabezpečení majetku a duševního vlastnictví
  • Snížení finančního, smluvního a reputačního rizika
  • Snížení nákladů na podporu
  • Snížení požadavků na zdroje

To vše navíc ve velmi dynamickém prostředí moderní organizace, které se neustále a velmi rychle vyvíjí. Mění se počet zákazníků, zavádějí se nové služby a s tím související technologie. Praktické zavedení ITAM musí umět akceptovat tyto „změny prostředí“ a poskytnout dostatečně aktuální obrázek o provozním stavu IT assetů a jejich zranitelnostech. Správně podchycená evidence IT assetů je vitální také pro úspěšné zvládnutí incident management procesu.

Vazba mezi provozem a bezpečností IT řadí inventarizaci assetů mezi klíčové procesy řízení provozu IT. Aby byl tento proces efektivní, musí být v maximální míře automatizován. Podívejme se na šestici požadavků, které by takový proces měl správně splnit:

  • Kompletní přehled o IT prostředí
  • Hluboká viditelnost aktiv bez ohledu na lokalitu nebo topologii sítě
  • Průběžná a automatická aktualizace
  • Nastavitelná kritéria pro kategorizaci a normalizaci assetů
  • Dashboarding a reporting
  • Integrace s CMDB

Pouze nepřetržitý proces shromažďování a zjišťování dat, který je prvním krokem k automatizovanému procesu inventarizace IT prostředků, poskytuje úplný a vždy aktuální pohled na IT prostředí. Systém, jehož procesy skenování a inventarizace musí být spouštěny ručně na vyžádání, tedy určitě není vhodný. Naopak, budeme hledat systém, který poskytne automatické „značkování“ a dynamickou organizaci assetů. Nepožadujeme inventarizační systém s úzkým rozsahem, protože nezjistí veškerý hardware a software. A pokud budeme následovat nejnovější trendy, vyhneme se i systému, který není nebo nemůže fungovat z cloudu.

Teorie vs. praxe a jak z toho ven

Kompletní přehled o IT prostředí vyžaduje neomezenou viditelnost všech IT prostředků, jak hardwaru, tak softwaru. Nemůžeme chránit něco, o čem nevíme, že existuje. Dnešní IT prostředí je přitom velmi komplexní a je potřeba obsáhnout starší HW a SW, virtuální prostředí, assety v cloudech a nejrůznější mobilní zařízení. Získávání dat z těchto prostředí vyžaduje instalaci snímačů/sond, které nepřetržitě a proaktivně sbírají informace o systémech. Případně doplněné o pasivní skenery, které sniffují síťová zařízení a provoz a detekují neoprávněná zařízení a podezřelou činnost. Důležitou součástí procesu zpracování je centrální a rozšiřitelný systém, kde jsou tyto informace agregovány, indexovány, korelovány a připraveny pro analýzu. Systém nám musí umožnit analýzu shromážděných dat a získání výstupů pomocí jednoduchých i složitých dotazů během několika málo sekund.Jedině tak získáme okamžité odpovědi na otázky typu:

  • Kolik systémů od konkrétního výrobce máme ve svém prostředí?
  • Které IT prostředky jsou ovlivněny konkrétní chybou zabezpečení?
  • Které servery provozují operační systém, jejž dodavatel nedávno přestal podporovat?
  • Které IT prostředky obsahují určitý software?

Od našeho budoucího systému inventarizace bude neméně důležitá podpora bezpečného provozu IT. Výsledkem propojení funkcí „inventarizace“ a „bezpečnost“ je mapování bezpečnostních hrozeb na assety, mapování zranitelných assetů na jejich umístění, podpora patch managementu nebo vazba na bezpečnostní dohled. Pro sdílení informací ITAM s dalšími týmy budeme potřebovat zavést mechanismus automatizace sledování změn a integraci s CMDB, případně otevřené API rozhraní pro tvorbu vlastních integrací. Seznam požadavků na systém můžeme završit potřebou rychlého uvedení do provozu, rozšiřitelností a dostupností online centrální konzole pro sdílený přístup k datům.

anect-02 Aleš Mahdal
Autor článku je bezpečnostní konzultant ve společnosti ANECT.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.