Pokud hovoříme o systému na evidenci veškerých IT prostředků a uživatelů, tak tím myslíme systémy typu Asset Management nebo ještě lépe CMDB (Konfigurační databáze dle ITIL).

Kupodivu nejen IT týmy, ale dokonce i vedení některých firem považují investici do takového systému za zbytečnou. Je to často proto, že analýza návratnosti takového projektu je náročnější, než je obvyklé. Také vzniká diskuse, zda taková evidence již není součástí ERP systému – jako evidence majetku. Evidence v ERP systému ale málokdy nabídne něco víc, než co nabízí Excel. Tyto statické evidence se v reálném provozu neustále rozchází se skutečným stavem, protože IT prostředky se snadno přemístí. Snad jen ve chvílích inventury se dostávají tyto evidence do souladu s reálným stavem. Vše je silně závislé na lidském faktoru a byrokratických pravidlech, jako například na předávacích protokolech. Moderní štíhlé IT ale potřebuje systém, který si zjistí většinu informací automaticky z detekce po síti, jinak se utopí v administrativě.

Jak na to s minimální investicí?

Jak zajistit, že budete mít evidenci počítačů a dalších síťových zařízení vždy aktuální? Jak vylepšit pořádek v IT vybavení a tím zároveň vylepšit i bezpečnost sítě? Na obě otázky je prostá odpověď: v co největší míře zavést automatizaci a zpětnou vazbu, aby se minimalizovaly lidské chyby. Pojďme se podívat na konkrétních příkladech, které činnosti je vhodné zautomatizovat, jaké to má výhody i nevýhody a jak tím dosáhneme bezpečnější sítě.

Microsoft Active Directory jako výchozí zdroj informací

Ideálním zdrojem informací, který se využívá ve většině podnikových sítí, je Microsoft Active Directory. Zde je pouze nutné zajistit, aby zde byl pořádek. Často zde najdete „mrtvé“ účty vyřazených počítačů nebo bývalých zaměstnanců. Není nutné vysvětlovat, že tento nepořádek se velmi dotýká bezpečnosti. Zde velmi pomůže pravidelný automatický import dat z Active Directory do Asset Managementu. Ideálně i zpětné deaktivování účtů v Active Directory, které jsou v Asset Managementu vyřazené. Je nutné si ale uvědomit, že Active Directory obsahuje pouze zařízení na Windows platformě.

Detekce zařízení a komponent po síti

Druhým zásadním zdrojem je detekce zařízení a jejich komponent po síti. Dnes tyto systémy dokážou zjistit skutečně hodně informací – jak detaily o HW a všech komponentách počítačů, tak i veškeré instalované aplikace. Pro nás je zajímavé, že je možné také detekovat všechny síťové karty včetně MAC adres a poslední známé IP adresy. To nám při zvyšování bezpečnosti velmi pomůže.

Řízení DHCP serveru a síťových prvků

Pouze IT týmem schválená zařízení pak můžete z Asset Managementu importovat do nastavení DHCP serveru nebo i nastavení aktivních prvků sítě (např. VLAN). Zde často postačí pravidelně naplánovaný skript. Díky aktuálnímu seznamu MAC adres dostanou IP adresu pouze evidovaná síťová zařízení v Asset Managementu. V kombinaci s Active Directory a členstvím počítače v OU (Organisation Unit v Active Directory) a skupinách se nastaví, do jakého segmentu sítě se má připojit, jaké síťové disky a tiskárny se mají uživateli připojit. Díky tomu se do sítě nedostane žádné zařízení, které není v evidenci. Toto nejen výrazně zvýší bezpečnost sítě, ale současně vytvoří zpětnou vazbu, která zajistí pořádek v evidenci IT.

Zpětná vazba zajišťující pořádek v IT evidenci

Dnes nemůže téměř žádný pracovník nebo zařízení ve společnosti fungovat offline, tedy bez napojení do sítě. Pokud připojení nefunguje, okamžitě se uživatel ozve na IT oddělení (zpětná vazba), které zajistí okamžitou nápravu, a to doplnění daného zařízení (počítač, tablet, telefon, server, síťové zařízení…) do IT evidence včetně MAC adresy a zařazení do správného místa ve stromu (organizační jednotka / místnost, apod.). Vzhledem k tomu, že nikdo mimo odpovědné pracovníky IT nemá právo provádět změny v IT evidenci (Asset Managementu) nebo v Active Directory, je bezpečnost sítě zase o kus dál.

Doporučení na závěr

Zvyšování IT bezpečnosti se nevyřeší pouhým nákupem dalších technologických zařízení, ale je také nutné nastolit v IT pořádek. Pokud ale chcete mít pořádek efektivní a trvalý, že potřeba se podívat po moderních systémech typu Asset Management – ITAM nebo CMDB. Systémy, které umí snadno importovat data z Active Directory (nebo jiný LDAP server), z ERP systému (evidence majetku), a především umí také detekovat zařízení v síti a zjistit, jaký je uvnitř HW, SW a kdo dané zařízení používá (kdo se zde přihlašuje). Takový systém nejen zvýší bezpečnost, ale usnadní i provádění každodenního supportu.

	Ing. Jan Fiala Autor článku je konzultantem ve společnosti ALVAO. Pomáhá zákazníkům zavádět nejlepší praktiky v řízení IT. Řadu let se úspěšně staral o IT v několika společnostech. Získal certifikaci na procesy ITIL, Software Asset Management (SAM) a je také expertem na celou řadu Microsoft technologií.
	Ing. Aleš Studený Autor článku je ředitelem služeb ve společnosti ALVAO. Jeho tým konzultantů zlepšuje IT v českých i zahraničních firmách tak, aby fungovalo formou služby. Je aktivní v publikaci odborných článků na téma řízení IT (ITSM) a tuto problematiku přednáší na vysokých školách.