Zvládnutí správy IT assetů patří k základním předpokladům úspěšného řízení provozu a bezpečnosti IT jakékoliv organizace. Definice wikipedie uvádí k tomuto tématu následující charakteristiku: „IT asset management (ITAM) je soubor obchodních postupů, které spojují finanční, smluvní a inventarizační funkce podporující řízení životního cyklu a strategické rozhodování v prostředí IT. Aktiva zahrnují všechny prvky softwaru a hardwaru, která se nacházejí v podnikovém prostředí.“

V praxi to zpravidla znamená shromažďování detailních informací o hardwaru a softwaru, které se pak používají při operativním řízení.

Oblast správy je také systematicky popsána v normách ISO nebo NIST. ISO norma tuto problematiku řeší celkem v pěti dílech standardu ISO/IEC 19770. Poslední 5. díl normy poskytuje volně dostupný přehled ITAM se slovníkem a je univerzálně použitelný pro jakoukoliv organizaci. Institut NIST řeší problematiku ITAM v rámci svého doporučení NIST SP 1800 5a-c v úzké vazbě na bezpečnost IT. Dokument je napsán jako průvodce implementace dostupných technologií pro sledování umístění a konfigurace síťových zařízení, serverů a aplikací napříč celou organizací.

Šedá je teorie a zelený strom života…

Teoretické popisy a příručky vypadají vždycky moc dobře. Nic proti nim, jsou ostatně skvělé pro pochopení dané problematiky, ale je to vždy jen výchozí bod praktického nasazení. Z výše uvedených doporučení je zřejmé, že ani pro ITAM nemusíme znovu vymýšlet „kolo“, ale můžeme se inspirovat pro praktické nasazení do konkrétního prostředí organizace.

Začněme úvahou, kdo má v dané organizaci o výstupy z ITAM zájem. Žhavými kandidáty jsou obvykle oddělení, jako je logistika, nákup, účtárna, řízení rizik a zejména pak provoz, rozvoj a bezpečnost IT. Ti všichni budou chtít nějakým způsobem využívat sebraná data. Každý však v jiném rozsahu a z jiného úhlu pohledu. Praktické zavedení správy IT assetů tedy musí splnit tato očekávání a zároveň bude muset poskytnout podklady alespoň pro některé z následujících oblastí:

• Optimalizace nákladů na nákup a provoz software a IT infrastrukturu
• Zajištění shody s legislativními požadavky
• Zvýšení zabezpečení majetku a duševního vlastnictví
• Snížení finančního, smluvního a reputačního rizika
• Snížení nákladů na podporu
• Snížení požadavků na zdroje

To vše navíc ve velmi dynamickém prostředí moderní organizace, které se neustále a velmi rychle vyvíjí. Mění se počet zákazníků, zavádějí se nové služby a s tím související technologie. Praktické zavedení ITAM musí umět akceptovat tyto „změny prostředí“ a poskytnout dostatečně aktuální obrázek o provozním stavu IT assetů a jejich zranitelnostech. Správně podchycená evidence IT assetů je vitální také pro úspěšné zvládnutí incident management procesu.

Vazba mezi provozem a bezpečností IT řadí inventarizaci assetů mezi klíčové procesy řízení provozu IT. Aby byl tento proces efektivní, musí být v maximální míře automatizován. Podívejme se na šestici požadavků, které by takový proces měl správně splnit:

• Kompletní přehled o IT prostředí
• Hluboká viditelnost aktiv bez ohledu na lokalitu nebo topologii sítě
• Průběžná a automatická aktualizace
• Nastavitelná kritéria pro kategorizaci a normalizaci assetů
• Dashboarding a reporting
• Integrace s CMDB

Pouze nepřetržitý proces shromažďování a zjišťování dat, který je prvním krokem k automatizovanému procesu inventarizace IT prostředků, poskytuje úplný a vždy aktuální pohled na IT prostředí. Systém, jehož procesy skenování a inventarizace musí být spouštěny ručně na vyžádání, tedy určitě není vhodný. Naopak, budeme hledat systém, který poskytne automatické „značkování“ a dynamickou organizaci assetů. Nepožadujeme inventarizační systém s úzkým rozsahem, protože nezjistí veškerý hardware a software. A pokud budeme následovat nejnovější trendy, vyhneme se i systému, který není nebo nemůže fungovat z cloudu.

Teorie vs. praxe a jak z toho ven

Kompletní přehled o IT prostředí vyžaduje neomezenou viditelnost všech IT prostředků, jak hardwaru, tak softwaru. Nemůžeme chránit něco, o čem nevíme, že existuje. Dnešní IT prostředí je přitom velmi komplexní a je potřeba obsáhnout starší HW a SW, virtuální prostředí, assety v cloudech a nejrůznější mobilní zařízení. Získávání dat z těchto prostředí vyžaduje instalaci snímačů/sond, které nepřetržitě a proaktivně sbírají informace o systémech. Případně doplněné o pasivní skenery, které sniffují síťová zařízení a provoz a detekují neoprávněná zařízení a podezřelou činnost. Důležitou součástí procesu zpracování je centrální a rozšiřitelný systém, kde jsou tyto informace agregovány, indexovány, korelovány a připraveny pro analýzu. Systém nám musí umožnit analýzu shromážděných dat a získání výstupů pomocí jednoduchých i složitých dotazů během několika málo sekund.Jedině tak získáme okamžité odpovědi na otázky typu:

• Kolik systémů od konkrétního výrobce máme ve svém prostředí?
• Které IT prostředky jsou ovlivněny konkrétní chybou zabezpečení?
• Které servery provozují operační systém, jejž dodavatel nedávno přestal podporovat?
• Které IT prostředky obsahují určitý software?

Od našeho budoucího systému inventarizace bude neméně důležitá podpora bezpečného provozu IT. Výsledkem propojení funkcí „inventarizace“ a „bezpečnost“ je mapování bezpečnostních hrozeb na assety, mapování zranitelných assetů na jejich umístění, podpora patch managementu nebo vazba na bezpečnostní dohled. Pro sdílení informací ITAM s dalšími týmy budeme potřebovat zavést mechanismus automatizace sledování změn a integraci s CMDB, případně otevřené API rozhraní pro tvorbu vlastních integrací. Seznam požadavků na systém můžeme završit potřebou rychlého uvedení do provozu, rozšiřitelností a dostupností online centrální konzole pro sdílený přístup k datům.

Aleš Mahdal Autor článku je bezpečnostní konzultant ve společnosti ANECT.