Kategorien
Allgemein

IT-Asset Management ITAM

Der Laptop eines Technikers von Ihrem IT-Dienstleister wird mit Malware infiziert. Verbrecher übernehmen die Kontrolle über den Rechner und verschaffen sich die Zugangsrechte, die ihn autorisierten sollten. Sie entwenden Daten, um eine Social-Engineering- oder Erpressungskampagne gegen Ihr Unternehmen durchzuführen.

Das könnte ein Szenario, das die empfindlichen Lücken aufzeigt, die durch ihre IT-Asset-Verwaltung gerissen werden können.

ITAM in der Informationssicherheit

In der Vergangenheit lagen die Gründe für ein IT-Lebenszyklusmanagement vor allem im Vermeiden von Über- oder Unterlizenzierung der im Betrieb eingesetzten Softwareprodukte. Der Fokus lag also darauf, die Kosten zu reduzieren und Ausfälle im Zusammenhang mit der Softwarenutzung zu senken.

Wenn Sie sich nicht mit Ihrer Asset-Verwaltung beschäftigen oder wenn Sie nur auf die Optimierung des Lizenzmanagements ausgerichtet ist und nicht auf die Unterstützung des ISM, tun sich viele Sicherheitslücken auf: Es gibt kein ISMS ohne ein gutes ITAM.

Es ist unmöglich, etwas zu schützen, das man nicht kennt oder von dessen Existenz man nichts weiß. Daher empfehle ich, nicht auf ein IT-Asset Management (ITAM) zu verzichten. Dieses Verfahren zum Monitoring und Verwaltung von IT-Assets wird Ihnen zu einer unverzichtbaren Übersicht über Ihre IT-Infrastruktur verhelfen und unterstützt Sie bei der ständigen Verringerung Ihrer Sicherheitsrisiken.

Natürlich ist  ITAM auch für das Lizenzmanagement zweckmäßig, hilft ihre IT-Kosten zu senken und alle IT-Funktionen gut zu unterstützen. Für ihr ISM ist zusätzlich wichtig, wo sich Geräte und Clients befinden, wie sie konfiguriert sind und wer sie wofür nutzt. Diese Informationen helfen, den IT-Betrieb insgesamt zu verbessern. Neben dem ISM sind auch die Businesskontinuität und das IT-Servicemanagement von diesen Bestandsinformationen abhängig.

Während sich Informationssicherheit schwerpunktmäßig mit dem Implementieren und Durchführen der operativen Aspekte der Gefahrenabwehr konzentriert, ist ITAM in der Lage, die Rahmenbedingungen für sicherheitsrelevante Entscheidungsprozesse in der Hard- & Softwarebeschaffung zu definieren. So reduzieren Sie potenzielle Sicherheitslücken absolut, indem die Anzahl der nicht standardisierten Assets im gesamten Unternehmen begrenzt wird. Zudem kann sicherstellt werden, daß Geräte, auf denen sich Daten befinden, die aber das Ende ihrer Lebensdauer erreicht haben, sicher entsorgt werden.

Identity Governance Administration IGA

Das Führen eines vollständigen Bestandsverzeichnisses ist ein guter Anfang. Standardprozesse sowie Sensibilisierungs- und Kommunikationsmaßnahmen sollten Ziele von ITAM sein. Besser wäre ein Konzept für ITAM, das die Spezifikationen für Mindestsicherheitsanforderungen an ein ISMS berücksichtigt.

Informationssicherheit ist eine Basisanforderung für ihr Unternehmen, die in die Zusammenarbeit von IT-Team und Fachbereichen ausdrücklich einfließen sollte. Und ITAM-Anforderungen sind direkt oder indirekt Bestandteil der meisten sicherheitsbezogenen Standards, Gesetze und Vorschriften. Diese Standards verwenden übereinstimmende Anforderungen für das Risikomanagement, die Auswahl von Bausteinen, die Zertifizierung, eine vollständige Inventarisierung und Kontrolle von Hardware und Software Ihres Informationssicherheitsmanagements. Als dessen Bestandteil sorgt ITAM dafür, daß Ihr Unternehmen die Governance-Anforderungen erfüllt.

EU-DSGVO (Datenschutzgrundverordnung der Europäischen Union) befasst sich mit dem Schutz personenbezogener Daten. Grundlage dafür ist der Schutz der IT-Assets, auf denen sich personenbezogene Daten befinden. Die Erreichung dieses Ziels erfordert mindestens eine Bestandsaufnahme der vorhandenen Ressourcen, wie und von wem sie genutzt werden, wo sie sich befinden, wie sie konfiguriert sind und die Dokumentation dessen.

Business Intelligence (BI)

Um das ITAM zu unterstützen, sollte sie Finanz-, Vertrags- und Bestandsfunktionen wesentlicher Eigenschaften von Software und Hardware, die in den Geschäftsvorgängen zu finden sind, umfassen. Sie verwenden dafür am besten eine standardisierte oder automatische Erkennung von Assets, um sie als Inventar zu erfassen. Die nachhaltige Verwaltung von IT-Assets erfordert ein Archiv mit mehreren Arten von Informationen über die Assets sowie Schnittstellen zu anderen IT-Diensten wie Lieferketten-, Helpdesk- und HR-Systemen und IT-Servicemanagement.

ITAM liefert vollständige und detaillierte Daten über alle IT-Assets. Es sollte dabei folgende Eigenschaften und Aktivitäten berücksichtigt:

  • Asset-IDs und Adressen
  • Vertraulichkeits- und Sicherheitsvereinbarung
  • BYOD (Bring Your Own Device)
  • Erwerb von Assets
  • Abschreibung und sichere Entsorgung von Assets
  • Dokumentation der Sensibilisierung der Mitarbeiter bzgl. des sachgemäßen Umgangs mit IT-Ressourcen

Hardware-Asset-Management

Hardware Asset Management beinhaltet die Verwaltung der physischen Komponenten von Computernetzwerken, vom Erwerb bis zur Entsorgung. Zu den gängigen Geschäftsvorfällen gehören Anforderungsmanagement, Genehmigungsverfahren, Einkaufs-, Lebenszyklus- und Entsorgungsmanagement. Eine Schlüsselkomponente ist die standardisierte Erfassung der Informationen über den Lebenszyklus Ihrer Hardware, die Ihrem Unternehmen dabei helfen, Geschäftsentscheidungen auf der Grundlage messbarer finanzieller Ziele zu treffen. Zusätzlich lassen sich folgende Asset-Kriterien überwachen:

  • nicht autorisierten Assets
  • manipulierte und kompromittierte Assets,
  • Assets, die ihr Lebensende erreicht haben
  • Assets, die eine Bedrohung für die IT-Infrastruktur darstellen, weil sie keine Sicherheitsupdates vom Herstellern erhalten
  • veraltete Secutity-Packages für Assets

Software-Asset-Management

Unabhängig davon, ob es sich um eine genutzte Software oder einen Dienst handelt, ob sie sich vor Ort oder in der Cloud befinden, ermöglicht Software Asset Management Ihnen, zeitnah mit vollständigen, übersichtlichen und detaillierten Informationen über alle Software-Assets zu arbeiten.

ITAM verwaltet diese Informationen in allen Phasen des Lebenszyklus eines Assets, von der Anforderungsermittlung bis zur Deinstallation oder Kündigung. Diese Informationen sind für viele ISM-Prozesse von fundamentaler Bedeutung. So kann ITAM Ihre Informationssicherheit von der Durchführung von Risikobewertungen bis zur Zertifizierung unterstützen.