Wat is IT Asset Management?
IT Asset Management is een proces waarbij alle IT-middelen van een bedrijf effectief worden geïdentificeerd, geïnventariseerd, beheerd en geoptimaliseerd. Dit omvat zowel hardware zoals computers, servers en netwerkapparatuur, als softwarelicenties en digitale content.
Een voorbeeld van IT Asset Management is wanneer een bedrijf een centrale database of systeem (CMDB) gebruikt om al zijn IT-assets (configuration items) bij te houden, inclusief hun configuraties, onderhoudsplannen en licentie-informatie.
Beide werelden (IT en niet-IT) binnen assetmanagement profiteren van elkaar. Door gezamenlijke planning en effectief beheer kunnen organisaties kosten verlagen, efficiëntie en productiviteit verhogen en ervoor zorgen dat ze over de nodige middelen beschikken om hun bedrijfsdoelstellingen te behalen.
De beschermingsbehoefteanalyse binnen het ISMS vormt een belangrijk onderdeel van IT Asset Management. Deze helpt om IT-assets te prioriteren en zo een passend beveiligingsniveau voor IT-middelen vast te stellen. Hierbij wordt een top-downbenadering aanbevolen: te beginnen bij de managementprocessen, via de kernprocessen tot de ondersteunende processen. Eerst worden de primaire assets geïdentificeerd en vervolgens de ondersteunende secundaire assets. Verder “naar beneden” in deze assetstructuur kunnen indien nodig elementen uit de bestaande CMDB worden geïntegreerd.
Uw voordelen van IT Asset Management
Resource-optimalisatie
Verbeterde compliance
Verhoogde beveiliging
Kostenbeheersing
Wat is een asset?
Assets zijn informatiewaarden die een potentiële of daadwerkelijke waarde voor een organisatie vertegenwoordigen en worden gebruikt in de context van bedrijfsactiviteiten.
Een asset is dus elk financieel waardevol onderdeel dat kan bijdragen aan de levering van een IT-product of IT-dienst. Hierbij wordt onderscheid gemaakt tussen primaire en secundaire assets.
Primaire assets omvatten alle waarden en processen die informatie bevatten en daarom beschermd moeten worden. Primaire assets kunnen vastgelegde processen of knowhow zijn, maar ook fysieke objecten zoals documenten, prototypes of modellen. Ook puur digitale assets zijn mogelijk (bestanden, databases, enz.). De feitelijke waarde ligt in het primaire asset.
Secundaire assets daarentegen verwijzen naar systemen (logisch en fysiek), digitale componenten, inventarisitems of vergelijkbare middelen die nodig zijn voor de verwerking, opslag of levering van primaire assets. Dit kunnen bijvoorbeeld servers, applicaties of datacenters zijn.
Wat is assetmanagement volgens ITIL®?
Volgens het ITIL®-handboek is assetmanagement een best practice die de verwerving, werking, het onderhoud en de afstoting van de assets van een organisatie omvat – in het bijzonder die van kritieke infrastructuur.
Het verwijst dus naar het beheer en de optimalisatie van de assets van een bedrijf, zowel fysiek als financieel, met als doel hun waarde te maximaliseren en risico’s te minimaliseren. Dit bestrijkt domeinen zoals aanschaf, gebruik, onderhoud, opvolging en buitengebruikstelling van assets.
Welke typen assetmanagement zijn er?
Assetmanagement wordt binnen de informatietechnologie onderverdeeld in twee hoofdtypen: ITAM (Information Technology Asset Management) en SAM (Software Asset Management).
Information Technology Asset Management | ITAM
ITAM verwijst naar het beheer van alle fysieke en niet-fysieke IT-middelen van een bedrijf. Dit omvat hardware zoals computers, servers en netwerkapparaten, maar ook softwarelicenties, digitale content en andere technologische assets. Het belangrijkste doel van ITAM is ervoor te zorgen dat deze middelen efficiënt worden gebruikt, bewaakt, onderhouden en bijgewerkt.
Software Asset Management | SAM
SAM richt zich specifiek op het beheer van softwarelicenties en applicaties binnen een bedrijf. Het doel is ervoor te zorgen dat bedrijven over het juiste aantal licenties beschikken, deze correct gebruiken en dat de software voldoet aan de wettelijke vereisten. SAM omvat ook het monitoren van softwaregebruik, het identificeren van licentieopties en het optimaliseren van softwarekosten.
Beide vormen van assetmanagement zijn nauw met elkaar verbonden en zorgen in combinatie voor een allesomvattende controle over de IT-middelen van een organisatie. Waar ITAM de volledige IT-infrastructuur dekt, richt SAM zich specifiek op de softwarecomponent. Samen helpen ze om kosten te beheersen, de efficiëntie te verhogen, compliance te verbeteren en de beveiliging van IT-systemen te waarborgen.
De toonaangevende softwareoplossing voor IT Asset Management.
Het IT Asset Managementproces
IT Asset Lifecycle Management is het proces waarbij IT-assets gedurende hun volledige levenscyclus effectief worden beheerd – van aanschaf tot buitengebruikstelling. Het IT Asset Managementproces bestaat uit verschillende fasen, die elk specifieke taken omvatten:
Planning: In deze fase worden de doelstellingen en vereisten van IT Asset Management gedefinieerd. Dit omvat het opstellen van richtlijnen, het vastleggen van verantwoordelijkheden en het opzetten van processen voor het beheer van IT-middelen.
Procurement (aanschaf): Hier worden de benodigde IT-middelen geïdentificeerd, aangeschaft en beschikbaar gesteld. Dit omvat de selectie van hardware, software en andere technologische assets op basis van de bedrijfsbehoeften.
Deployment (implementatie): In deze fase worden de aangeschafte IT-middelen geïntegreerd in de IT-infrastructuur en in gebruik genomen. Dit omvat de installatie, configuratie en implementatie van hardware en software volgens de vastgelegde vereisten.
Maintenance (onderhoud): De IT-middelen worden continu onderhouden en ondersteund om hun prestaties en beveiliging te waarborgen. Dit omvat regelmatige updates, patchmanagement, probleemoplossing en technische ondersteuning.
Shutdown (buitengebruikstelling): Aan het einde van hun levenscyclus worden IT-middelen uit de infrastructuur verwijderd. Dit omvat de correcte afvoer of hergebruik van hardware, het beëindigen of teruggeven van softwarelicenties en het archiveren van data volgens de geldende richtlijnen en regelgeving.
Deze fasen vormen samen een doorlopende cyclus binnen IT Asset Management. Ze stellen organisaties in staat om hun IT-assets effectief te beheren en te optimaliseren, risico’s te minimaliseren en tegelijkertijd hun bedrijfsdoelstellingen te ondersteunen.
Wat is een beschermingsbehoefteanalyse?
De beschermingsbehoefteanalyse wordt gebruikt om voor elk afzonderlijk asset de vereiste mate van bescherming op een gestructureerde manier vast te stellen. Daarbij moet altijd rekening worden gehouden met economische efficiëntie: te weinig bescherming brengt risico’s met zich mee, terwijl overbescherming onnodige kosten veroorzaakt. Beschermingsbehoefteanalyses worden regelmatig uitgevoerd, omdat de beoordelingscriteria of de uitgangssituatie in de loop van de tijd kunnen veranderen. Zo kunnen er bijvoorbeeld nieuwe compliance- of wettelijke vereisten gelden, nieuwe processen worden ingevoerd of nieuwe technologieën worden ingezet die invloed hebben op bestaande assets.
Het doel van de beschermingsbehoefteanalyse in OMNITRACKER Asset Management is om de strikte overerving van een te hoge beschermingsbehoefte te doorbreken door bijvoorbeeld maatregelen te nemen die de beschermingsbehoefte selectief verlagen. Het rol- en autorisatieconcept van een OMNITRACKER-applicatie kan bijvoorbeeld zorgen voor “zeer hoge” vertrouwelijkheid, omdat ongeautoriseerde toegang wordt voorkomen op basis van de ingelogde rol. Een verdere overerving van “zeer hoge” vertrouwelijkheid naar andere onderliggende ondersteunende assets onder de OMNITRACKER-applicatie is daarom niet noodzakelijk.
Primaire en basisbeschermingsdoelen
De primaire beschermingsdoelen – vertrouwelijkheid, beschikbaarheid en integriteit – moeten altijd voor elk asset worden geëvalueerd.Vertrouwelijkheid
Vertrouwelijkheid betekent dat gevoelige informatie beschermd is tegen ongeautoriseerde toegang. Het doel is ervoor te zorgen dat informatie uitsluitend toegankelijk is voor bevoegde personen en niet door onbevoegde derden kan worden ingezien, gekopieerd of gewijzigd. Vertrouwelijkheid wordt vaak gewaarborgd door middel van versleuteling, toegangscontroles en andere beveiligingsmechanismen.
Beschikbaarheid
Beschikbaarheid houdt in dat informatie en middelen te allen tijde en binnen een redelijke termijn beschikbaar zijn voor bevoegde gebruikers. Het doel is ervoor te zorgen dat systemen en data continu toegankelijk zijn en niet worden belemmerd door uitval, aanvallen of andere verstoringen. Maatregelen om beschikbaarheid te verhogen zijn onder meer redundantie, failover-mechanismen en disaster recovery-plannen.
Integriteit
Integriteit betekent dat informatie correct, volledig en ongewijzigd blijft en niet ongemerkt kan worden gemanipuleerd. Data moet dus betrouwbaar beschermd zijn tegen ongeautoriseerde wijzigingen tijdens opslag, overdracht en verwerking. Integriteit wordt geborgd door mechanismen zoals hashfuncties, digitale handtekeningen en toegangscontroles.
ISO-norm voor ITAM | ISO/IEC 19770
ISO/IEC 19770 is een internationale norm voor IT Asset Management (ITAM) die richtlijnen en best practices vastlegt voor het beheer van IT-middelen binnen organisaties.
ISO/IEC 19770 legt sterke nadruk op compliance en licentiebeheer. Organisaties worden aangemoedigd om ervoor te zorgen dat zij alle relevante licentieovereenkomsten naleven en effectieve processen implementeren voor licentiebeheer, om zo over- of onderlicenties te vermijden. In zijn geheel biedt ISO/IEC 19770 een raamwerk voor de implementatie van effectief IT Asset Management. Het helpt organisaties om hun IT-assets efficiënt te beheren, kosten te beheersen, compliance te waarborgen en de prestaties van hun IT-infrastructuur te optimaliseren.
De norm vereist een nauwkeurige inventarisatie en documentatie van alle IT-assets, inclusief hardware, software en digitale content. Dit omvat details zoals fabrikantgegevens, licentie-informatie, locatie en de staat van de middelen. Daarnaast specificeert de norm dat organisaties duidelijke beleidslijnen en procedures voor ITAM moeten ontwikkelen, waaronder de identificatie van verantwoordelijkheden, processen voor het registreren en volgen van IT-middelen en richtlijnen voor gegevensbeveiliging.
Overtuigde OMNITRACKER gebruikers
Relevante informatie over het onderwerp IT Asset Management
Technisch artikel: Beschermingsbehoefteanalyse
Onze auteurs laten zien hoe organisaties assets op een zinvolle manier kunnen clusteren en hun beschermingsbehoefte kunnen beoordelen, welke voordelen dit oplevert en aan welke eisen een softwareoplossing hiervoor zou moeten voldoen.
Opname: Live Sessie GRC Asset Management
In deze live sessie tonen Andreas Chlebnicek en Jakob Steudel welke software-ondersteunde methoden u kunt gebruiken om beschermingsbehoefteanalyses in uw bedrijf efficiënter en doelgerichter uit te voeren.