Руслан Рахметов, Security Vision
Управление ИТ-активами (ITAM) – это комплексный процесс, охватывающий все аспекты работы с ИТ-активами организации, от их приобретения до утилизации. Обеспечить такой процесс позволяют системы, которые следят за всеми объектами.
Давайте рассмотрим, как работает система, на более простом примере, например, организация порядка на компьютере. Представим себе специальную систему, которая помогает нам следить за всеми программами и играми: она знает, что установлено, когда это было установлено и где это находится. Тогда при помощи организации этого процесса можно:
- узнавать, какие программы установлены на компьютере;
- разложить их «по полочкам» для удобного пользования;
- находить потерянные программы и игры;
- обновлять их, чтобы получить максимум возможностей;
- удалить ненужные объекты, чтобы освободить место, например, для хранения фотографий и видео.
Представим себе другую ситуацию: нужно разобраться с беспорядком на космическом корабле, который завален запчастями, инструментами и другими вещами, и уже давно никто не может найти то, что ему нужно. Тогда функции ITAM может выполнять специальный умный склад для всех вещей: он знает, где находится каждый предмет и как его можно использовать. Тогда при помощи организации процесса можно:
- нарисовать карту, на которой отмечены все места хранения;
- легко найти то, что нужно;
- найти потерянный запчасти;
- отметить предметы, которые больше не нужны, чтобы спокойно их выкинуть.
В качестве ещё одного примера можно представить себе волшебный сундук, в котором можно хранить все свои драгоценности, чтобы:
- узнать, сколько в нем драгоценностей и какие они;
- помнить, когда мы их купили, или в честь какого праздника получили в подарок;
- найти ценные серьги для выхода в свет.
Вне зависимости от типов объектов, будь то компьютерные игры, инструменты космического корабля или драгоценности, организация управления ими позволяет обеспечить понятные и прозрачные процессы. Если мы говорим про активы в компаниях, они заслуживают внимания ИТ-специалистов и безопасников, у которых есть понятные задачи:
Поиск и учёт
Выявление, регистрация и категоризация всех ИТ-активов, включая аппаратное и программное обеспечение, сетевые устройства, мобильные устройства, учетные записи пользователей и т.д.
Инвентаризация
Получение свежих и наиболее полных сведений с возможностью удаления дубликатов и обогащения существующих карточек активов.
Управление жизненным циклом
Планирование, контроль и оптимизация всех этапов жизни объектов, от их приобретения до вывода из эксплуатации.
Управление лицензиями
Обеспечение соответствия использования программного обеспечения (ПО) лицензионным соглашениям и управление закупками: отслеживание затрат на приобретение, содержание и поддержку нужных лицензий.
Обеспечение безопасности
Защита ИТ-активов от кражи, утечек данных и других угроз, например, связанных с подменой комплектующих или применением стороннего ПО.
Отчётность
Предоставление руководству и другим заинтересованным сторонам информации о состоянии ИТ-активов, построение качественного ландшафта для решения смежных задач.
Процесс управления ИТ-активами и инвентаризацией может быть обеспечен различными методологиями:
· ITIL (Information Technology Infrastructure Library): комплексная методология управления ИТ-услугами, которая включает в себя раздел, посвящённый ITAM, и предоставляет набор рекомендаций и лучших практик по всем аспекта: от инвентаризации до управления жизненным циклом ИТ-активов.
· COBIT Control Objectives for Information and Related Technologies): набор руководящих принципов и лучших практик для управления ИТ, который фокусируется на контроле и управлении активами так, чтобы обеспечить их соответствие бизнес-целям и минимизировать риски.
· ISO/IEC 19770-1: международный стандарт, устанавливающий требования к системам управления ИТ-активами и определяющий такие процессы, как инвентаризация, управление конфигурациями, управление лицензиями и т.д.
Помимо этих широко известных методологий, существует множество других подходов, выбор которых зависит от:
- размера и сложности организации;
- отрасли;
- выделенного бюджета;
- уровня зрелости ITAM в организации.
Кроме специфичного ITAM можно рассмотреть и более общий процесс управления активами (Asset Management), который отличается типом объектов, целями работы, самими процессами и применяемыми инструментами.
Этот процесс охватывает широкий спектр активов и сосредоточен не исключительно на ИТ-активах, но и, например, недвижимости, транспортных средствах, производственном оборудовании и т.д. В то время как ITAM ставит своей целью оптимизацию жизненного цикла ИТ-активов, максимизируя их ценность и минимизируя риски, связанные с ними, Asset Management - имеет более общую цель: эффективное управление всеми активами организации для обеспечения их сохранности, рентабельности и соответствия стратегическим целям компаний.
В общем случае процесс управления активами может использовать более широкий спектр инструментов, включая ERP-системы, системы управления проектами, системы документооборота и др., не фокусируясь на решениях классов AM и CMDB.
Важно отметить, что ITAM не заменяет Asset Management, а скорее является его подмножеством. Если самый общий процесс требует разносторонних знаний в различных сферах (в зависимости от типов активов, с которыми работает организация), ITAM – требует знаний только в областях ИТ-инфраструктуры, лицензирования ПО и безопасности ИТ.
Если вспомнить примеры из первой части статьи, можно выделить такие объекты, которые придут на замену играм, запчастям космического корабля и драгоценностям. Вместо игрушек, книг и одежды, ITAM помогает нам разобраться с компьютерами, программами, телефонами и другими устройствами, которые мы используем. ITAM может быть особенно полезен для компаний, где:
- расходы на ИТ высоки;
- ИТ-инфраструктура является критически важной для бизнеса;
- существует риск утечек данных или несанкционированного использования ПО.
ITAM – это не разовая задача, а непрерывный процесс, в котором нужно постоянно следить и обновлять информацию об устройствах, программах и пользователях. Сам процесс может быть сложным или максимально простым, в зависимости от ваших потребностей: в то время как для домашнего использования достаточно вести простой список или таблицу, компании может потребоваться более сложная система с инструментами автоматизации и управлением всеми данными из единого окна. Процесс ITAM обычно включает в себя следующие этапы:
1) Определение целей и задач
На первом этапе необходимо также определить ресурсы, необходимые для их достижения, выделить ответственных специалистов и определить регулярность.
2) Разработка политики
На втором - определяются процедуры, которые будут регламентировать все аспекты работы с ИТ-активами, включая графики и вовлеченность сторонних специалистов.
3) Внедрение технологий
Программы и сервисы, внедряемые на третьем этапе, помогут автоматизировать процессы управления ИТ-активами и сделать процесс максимально прозрачным.
4) Мониторинг и контроль
Этап, на котором необходимо постоянно отслеживать и контролировать эффективность работы ITAM-процессов, в чем помогает автоматизация расписаний и выполнения рутинных действий, например, формирование еженедельного отчёта, категорирование активов или предоставление возможностей управления для смежных задач.
5) Обучение
Персонал должен понимать, как работать с применяемыми инструментами ITAM, и быть вовлечён в актуализацию регламентов и процедур.
ITAM может показаться скучным, но это очень важный процесс, который помогает защитить устройства, данные и деньги. Он станет надёжным фундаментом для решения стратегических (моделирование угроз и оценка рисков, комплаенс на соответствие требованиям документов) и практических задач ИТ и ИБ (включая управление активами с точки зрения защиты данных).