Er zijn verschillende soorten IT-middelen of IT assets. Denk hierbij bijvoorbeeld aan servers, pc’s, laptops, tablets en smartphones. Maar ook de software die hierop gebruikt of beschikbaar gesteld wordt en clouddiensten waar bijvoorbeeld informatie in wordt opgeslagen. Over het algemeen worden deze IT assets onderverdeeld in de volgende categorieën:
- Hardware: hardware heeft betrekking op alle fysieke apparaten binnen een organisatie zoals servers, pc’s en mobiele devices, maar ook printers en kopieerapparaten. Binnen de subdiscipline Hardware Asset Management (HAM) wordt (informatie over) de levenscyclus van deze fysieke apparaten beheerd, beheerst en geoptimaliseerd. Binnen meer volwassen ITAM programma’s vallen ook netwerkapparatuur, operationele technologie (OT) en bijvoorbeeld Internet-of-Things-apparaten binnen de scope van HAM.
- Software: software heeft betrekking op de besturingssystemen, gebruikerssoftware en ontwerpsoftware die door een organisatie wordt gebruikt, is aangeschaft en/of op hardware is geïnstalleerd. Software Asset Management (SAM) is een vrij complexe en veelomvattende subdiscpline van IT Asset Management. Dit heeft namelijk niet alleen betrekking op de software zelf, maar ook op bijvoorbeeld veranderende eisen op het gebied van licenties en het kunnen aantonen van license compliance die hiermee gepaard gaan.
- Cloud: nowadays, many organizations work in one way or another (partialy) in the cloud. Employees work in it, store documents and information and download or use (online) software. Cloud Asset Management (CAM) is concerned with managing an organization’s cloud environment and the IT assets contained within it. FinOps also has an important role inthis, which focuses specifically on allocating and optimizing cloud-related costs and added value.
De levenscyclus van IT-middelen staat niet in beton gegoten, verschillende organisaties kunnen de IT-levenscyclus anders vormgeven en interpreteren. Veelvoorkomende fasen uit de IT-levenscyclus omvatten het selecteren, verkrijgen, implementeren, gebruiken, onderhouden, innemen, verwijderen en afvoeren van IT assets. De asset levenscyclus begint dus al bij het selecteren van de juiste software of hardware. Welke IT assets voldoen aan onze behoefte, welke functionaliteiten kennen ze en welke kosten en risico’s gaan ermee gepaard. Nadat de juiste IT assets zijn geselecteerd, worden deze gecontracteerd, aangeschaft en/of geïnstalleerd waarna ze door de beoogde gebruiker in gebruik worden genomen. In de fase waarin IT assets in gebruik worden genomen om het beoogde doel te bereiken en de functie te vervullen, is het belangrijk dat deze goed worden onderhouden. Onderhoud is zowel preventief, proactief als repressief. Denk hierbij bijvoorbeeld aan het uitvoeren van updates zodat IT assets veilig in gebruik blijven, maar ook het verhelpen van ongewenste issues. De laatste fase van de asset levenscyclus speelt zich af wanneer IT assets niet langer nodig zijn. Op dit moment worden deze uit gebruik genomen en waar nodig afgevoerd (of verwijderd in het geval van software). Bij het selecteren van een vervangende IT asset begint dan weer een nieuwe levenscyclus.
Het goed inrichten van IT Asset Management binnen organisaties brengt meerdere voordelen met zich mee. De belangrijkste zijn:
- Verlagen van kosten: door het in kaart brengen van de levenscyclus van IT assets, verkrijgt de organisatie een duidelijk overzicht van de IT assets die (wel en niet) in de organisatie aanwezig zijn en welke wel en niet worden gebruikt. IT Asset Management voorkomt hiermee de onnodige inkoop van nieuwe IT assets en het betalen voor ongebruikte of onnodige software licenties. Hiermee besparen organisaties met ITAM aanzienlijke kosten.
- Verhogen van efficiëntie: met IT Asset Management creëren organisaties inzicht in de levenscyclus van IT assets die door de organisatie worden gebruikt. Hiermee stelt ITAM de organisatie in staat om de uptime van IT assets te verhogen en werknemers tijdig te voorzien van de juiste IT assets wat de productiviteit en efficiëntie binnen de organisatie ten goede komt, bijvoorbeeld bij het onboarden van nieuwe medewerkers.
- Verbeteren van IT-security: IT Asset Management ensures that organizations have a clear overview of all IT assets within the organization and their state. ITAM therefore fulfills a fundamental role for IT security. With ITAM in place, organizations can identify the possible security risks associated with IT assets and ensure that they remain up-to-date and do not contain vulnerabilities. Within IT security, a common philosophy is that you can’t protect what you don’t know about; ITAM plays an important role in determining what needs to be protected.
- Voldoen aan wetgeving: ITAM helpt om de verplichtingen op het gebied van wet- en regelgeving en afgesloten contracten overzichtelijk te houden. IT Asset Management bespaart tijd die besteed wordt aan door softwarefabrikanten uitgevoerde licentie audits (als onderdeel van hun recht op nalevingscontrole), voorkomt hoge boetes en maakt het zelfs mogelijk om licentie audits geheel te voorkomen. De toegevoegde waarde van ITAM is echter ook fundamenteler en meer algemeen van aard: iedere organisatie in Nederland is (om meerdere redenen) bij wet verplicht een deugdelijke en controleerbare administratie bij te houden, in elk geval rond inkomsten en uitgaven maar zeker ook rond de (balans)waarde van bedrijfsmiddelen. Met de steeds verdergaande digitalisatie van organisaties vormt IT tegenwoordig een aanzienlijk deel van de totale begroting en daarmee dus een belangrijk aspect in die wettelijke administratie- en boekhoudplicht.
FinOps, een samenvoeging van “Finance” en “DevOps”, is een discipline gericht op financieel beheer op cloud uitgaven. Het doel van deze discipline is samenwerkingen binnen organisaties om zo waarde te maximaliseren en kosten te minimaliseren. Dit sluit nauw aan bij IT Asset Management wat ITAM en FinOps tot een waardevolle combinatie maakt binnen organisaties. Het zijn twee op het oog verschillende disciplines, met eenzelfde doel; het maximaliseren van waarde tegen minimale kosten en risico. Met welke cloud assets hebben we te maken? Welke kosten zijn hieraan verbonden? Hoe kunnen we dit optimaliseren? Vragen die de basis vormen voor zowel ITAM als FinOps. Waar FinOps zich in deze richt op de Cloud, staan bij ITAM alle IT assets van de organisatie centraal.
Zowel IT Asset Management (ITAM) als Identity & Access Management (IAM) ondersteunen organisaties in het realiseren van een kostenbesparing en het op een efficiëntie manier inzetten van IT-middelen binnen organisaties. Echter is de relatie tussen IT Asset Management en Identity & Access Management tweezijdig; ITAM is van grote waarde voor IAM binnen organisaties, maar ook andersom.
Allereerst is IAM zeer waardevol voor ITAM. IAM stelt organisaties namelijk in staat hun digitale identiteiten en IT-middelen te beheren; welke IT-users binnen de organisatie hebben wanneer, hoe lang en hoe vaak toegang tot welke software en IT-middelen. Hiermee brengt Identity & Access Management een belangrijk deel van het IT-landschap van de organisatie in kaart. Een inzicht waar IT Asset Management dankbaar gebruik van maakt. Het inzicht dat IAM hier biedt, maakt het namelijk een stuk eenvoudiger om antwoord te geven op de vraag: worden er overbodige kosten gemaakt voor ongebruikte IT-middelen en software licenties, bijvoorbeeld doordat werknemers nog IT-middelen en toegangsrechten hebben die horen bij een vorige functie? En hoe kunnen deze kosten – en de daaraan verbonden risico’s – worden gemitigeerd?
Daarnaast is ITAM ook zeer waardevol voor IAM. Met IT Asset Management wordt namelijk overzicht en consistentie gecreëerd binnen de organisatie. Zeker in de selectie fase van de IT- levenscyclus wordt gekeken naar welke mogelijke software en hardware er beschikbaar is in de markt en welke daarvan het best geschikt is voor de organisatie. Wanneer de selectie fase is doorlopen, is stap twee om deze IT-middelen bij de medewerkers te krijgen. Iedereen die deze applicatie voor zijn of haar werk nodig heeft, zou hier toegang toe moeten hebben. En heeft die persoon na verloop van tijd geen toegang meer nodig tot de applicatie, dan moet deze licentie direct worden ingetrokken. IAM maakt het mogelijk om de juiste personen snel, eenvoudig en veilig toegang te geven tot de juiste applicaties. Maar niet langer dan nodig is.
IT Asset Management speelt een belangrijke rol op het gebied van IT-security. Een rol die breed wordt erkend en die in meerdere standaarden/frameworks voor informatiebeveiliging terugkomt. Daarom leggen wij de relatie tussen IT Asset Management en IT-security graag uit aan de hand van drie van deze standaarden/frameworks:
- ISO/IEC 27001: in de ISO/IEC 27001 standaard wordt IT Asset Management beschreven als een belangrijke vereiste voor het beveiligen van informatie (Annex 8: Asset Management). Zo wordt aangegeven dat alle assets die verbonden zijn met informatie en de verwerking ervan gedurende hun levenscyclus up-to-date en consistent moeten worden geïdentificeerd en beheerd. Volgens dient alle informatie te worden geclassificeerd om ervoor te zorgen dat assets goed en proportioneel beveiligd kunnen worden.
- National Institute of Standards and Technology (NIST): within the NIST framework, all cybersecurity capabilities, projects, processes and activities are grouped into five categories: identify, protect, detect, respond and recover. Especially in this first category – identify – IT Asset Management is of great importance. This is where the foundation is laid for an effective cybersecurity policy that focuses on all IT within (and outside) the organization. In order to gain and maintain focus as an organization and to set priorities, this category provides insight into what you have as an organization – including IT and software assets – their importance and what risks are associated with them. With ‘respond’ and ‘recover’ it is also important to have access (at the touch of a button) to get information about IT assets. Where are they, who uses and/or manages them and what business processes are they connected to? Without that information, responding to and recovering from cybersecurity incidents is a labour-intensive and time-consuming activity.
- SANS20 Critical Security Controls (tegenwoordig CIS18): in deze geprioriteerde lijst met aanbevelingen die organisaties ondersteunt in het minimaliseren van risico’s en bedreigingen nemen Hardware en Software Asset Management plek 1 en 2 in. Nieuwe en onbeschermde IT-assets vormen doorgaans het doelwit van hackers en kwaadwillenden. Daarom wordt bedrijven in Critical Control 1 geadviseerd om een inventarisatie te maken van alle apparaten in de IT-infrastructuur. In Critical Control 2 wordt geadviseerd om ook alle software in deze inventarisatie op te nemen. Deze inventarisatie maakt het mogelijk om deze IT-assets vervolgens op de juiste manier te beveiligen. IT Asset Management kan deze inventarisatie overzichtelijk en efficiënt samenstellen én bijhouden voor organisaties.
