6 tips voor het identificeren en up-to-date houden van álle assets in je organisatie

Asset discovery en inventory – of het proces van het onderhouden van een complete en up-to-date inventaris van alle IT-assets – is uitdagender dan ooit tevoren. En zelfs met de juiste asset discovery-tools is de omgeving vaak zo groot en heeft het zoveel gedistribueerde endpoints, dat het een continue uitdaging blijft om alles up-to-date te houden.

Het gevaar van het niet weten wat zich in de omgeving bevindt

Als een organisatie niet weet welke assets zich binnen hun (IT-)omgeving bevinden, loopt zij kans op een serieus security-incident. De druk om te allen tijde te weten welke assets zich binnen de organisatie bevinden en wat daarvan de status is, is dus erg hoog. Het is inmiddels niet meer de vraag óf je organisatie geraakt wordt, maar wanneer. Daarnaast is inmiddels duidelijk dat asset-beheer vaak ten grondslag ligt aan een lek of een malware-infectie op endpoint-niveau. Het identificeren en beheren van alle endpoints binnen de organisatie en het up-to-date houden daarvan is dus inmiddels een van de belangrijkste taken van de CIO geworden.

Het identificeren van alle assets binnen een organisatie en het bijhouden van de status hiervan is echter makkelijker gezegd dan gedaan. CIO’s investeren honderdduizenden euro’s in soms wel tientallen tools om asset discovery en inventory uit te voeren en toch hebben ze vaak:

  • geen antwoord op fundamentele vragen over hun omgeving;
  • gebrek aan een enkele bron van waarheid op basis waarvan geïnformeerde besluiten kunnen worden genomen;
  • gebrek aan inzicht in en controle over hun assets.

Dit zijn zes tips voor het identificeren en up-to-date houden van écht alle assets in je organisatie:

1. Gebruik een platformoplossing in plaats van verschillende point solutions

Veel CIO’s gebruiken nog altijd meerdere tools voor het identificeren van assets binnen de organisatie. Het duurt vaak dagen of zelfs weken om de hele omgeving te scannen en alle endpoint-data te verzamelen. Tegen de tijd dat alles compleet is, is de data vaak niet meer up-to-date en incompleet. Door een platformoplossing in te zetten kan een CIO in minuten precies zien welke assets zich binnen de organisatie bevinden en wat daarvan de status is via een enkele console.

2. Zorg ervoor dat de omgeving continu gescand wordt

Met traditionele tools kunnen CIO’s vaak alleen periodieke scans van hun omgeving uitvoeren omdat het netwerk anders overbelast kan raken of er storingen kunnen ontstaan. Als resultaat hebben CIO’s soms dagen, weken of zelfs maanden niet de juiste kennis over welke nieuwe endpoints zich in de omgeving bevinden en of deze wel juist beheerd worden. Zorg daarom voor een oplossing die op continue basis de omgeving scant en zorgt dat nieuwe endpoints automatisch gedetecteerd en geïnventariseerd worden.

3. Creëer een enkele bron van waarheid

Door het gebruik van verouderde tools moeten CIO’s hun informatie nog vaak halen uit tegenstrijdige bronnen die in silo’s staan. Dit maakt het lastig om workflows uit te voeren of automatiseringsinitiatieven te stimuleren. Zorg er daarom voor dat je een enkele bron van waarheid creëert van waaruit je in een oogopslag kunt zien wat je wilt weten. Daarnaast maakt een enkele vorm van waarheid het makkelijker om datagedreven beslissingen te maken ten behoeve van de organisatie.

4. Voorkom schaduw-IT

Het risico op schaduw-IT ligt bij veel organisaties op de loer doordat verouderde tools alleen software, hardware en assets verwerken die door IT geleverd zijn. Dit is echter allang niet meer hoe nieuwe assets geïntroduceerd worden in de meeste organisaties. Onbekende en onbeheerde assets kunnen grote operationele en beveiligingsrisico’s met zich meebrengen. Zorg er daarom voor dat de omgeving continu gescand wordt op schaduwactiviteit en dat er een compleet beeld bestaat van alle assets. Ook is het belangrijk om werknemers te informeren over de gevaren van het introduceren van onbekende endpoints in de omgeving, zoals een privételefoon of laptop als men vanuit huis werkt.

5. Genereer complete rapporten

Met traditionele tools moeten CIO’s gegevens van tientallen complexe point solutions integreren, centraliseren en normaliseren telkens wanneer ze een eenvoudig rapport willen uitvoeren over de status van hun endpoints. Als gevolg zijn CIO’s gedwongen om elke keer dat ze fundamentele vragen over hun omgeving willen beantwoorden, veel tijd en moeite moeten investeren. Tijd die zij beter voor andere activiteiten kunnen gebruiken. Daarnaast is er geen garantie dat de gegevens correct verwerkt worden en dat het antwoord juist is. Het hebben van één bron van waarheid zorgt ervoor dat rapporten snel gegenereerd kunnen worden, zodat de CIO altijd een compleet beeld heeft.

6. Breng IT-operations, beveiligings- en risicoteams samen onder dezelfde vlag

Als verschillende teams apart van elkaar werken en data verzamelen, loopt de organisatie het risico dat er silo’s ontstaan die elk vanuit hun eigen waarheid werken. Er ontstaat als het ware een eigen beeld van de asset-omgeving. Als gevolg daarvan zijn deze teams het vaak oneens over de huidige toestand van de omgeving en geven zij prioriteit aan verschillende verbeteringsinitiatieven. Door deze teams samen te brengen onder dezelfde vlag en hen te laten werken op basis van dezelfde tools kunnen deze problemen voorkomen worden en houd de organisatie zijn complete overzicht.

Gerelateerde artikelen

De werkelijke kosten van downtime

De werkelijke kosten van downtime

Wat gebeurt er als een grote organisatie te maken krijgt met DDoS-aanvallen, softwarestoringen of zelfs een bedrijfsbrede hack? Hoewel de directe kosten van ongeplande downtime gemakkelijk zichtbaar zijn, moeten organisaties de indirecte of verborgen kosten van digitale storingen niet onderschatten.

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper, CISO bij de Gemeente Den Haag, heeft gisteravond de CISO of the Year 2024 Award gewonnen. Hij dankt de prijs aan zijn transformationele rol en zijn holistische en inclusieve benadering van cybersecurity. Ook zijn bijdragen aan de professionalisering van het CISO-vak en zijn rol als actieve vertegenwoordiger van de stad Den Haag op cybersecurity-gebied zijn meegewogen.

Zero trust: hoe maak ik het concreet?

Zero trust: hoe maak ik het concreet?

Jaarlijks zijn er tal van onderzoek- en adviesbureaus met allerlei overzichten van strategische trends in IT en cybersecurity. Steevast is zero trust onderdeel van deze lijstjes, met over het algemeen een toelichting in de trant van ‘vertrouw niets zomaar, maar verifieer. Maar wat moet je hier nu concreet mee als CIO, CISO of IT-manager?

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Meer dan een derde van alle Nederlandse bedrijven zakte vorig jaar voor hun compliance-audit. Daardoor lopen ze een tien keer grotere kans op een datalek. Tien procent werd in 2023 slachtoffer van een ransomware-aanval. Van al die bedrijven betaalde vier procent losgeld. Dat stelt Thales in zijn meest recente Data Threat Report.