Operationele thema’s, die vaak als ‘ops’ door het leven gaan, zijn verantwoordelijk voor het goed draaien van een IT-systeem. De rol van ops is ervoor te zorgen dat het kloppende technologiehart van een bedrijf niet stil komt te staan omdat dit direct effect zou hebben op de andere bedrijfsorganen.
Dankzij een gebrek aan tijd, resources, of beide, ligt de aandacht van ops echter vaak op bijvoorbeeld systeemprestaties of compliance zonder dat er aandacht besteed wordt aan de basics. Wanneer de cyberhygiëne wordt genegeerd zal elk project dat vertrouwt op welk IT-systeem dan ook uiteindelijk falen.
Hier zijn vier opeenvolgende fases die samen de pyramide van ops-volwassenheid vormen. Deze illustreren het pad dat nodig is voor effectief beheer van IT-systemen.
1. Het ontdekken en inventariseren van devices, het startpunt
Voordat je overgaat tot het doorvoeren van standaarden, het uitrollen van een patching-beleid, of je druk maakt over configuratieregels of onderhoud aan third party-applicaties, moet ops eerst zeker weten dat ze alle devices die gemonitord moeten worden in kaart hebben gebracht. Je kunt namelijk alleen beschermen wat je ziet. Dit is een bekend principe in de securitywereld, maar niet zozeer bij ops. Daarom is deze inventarisatie nog te vaak gebaseerd op aannames en handwerk. Discovery tools kunnen dit proces automatiseren en de resultaten aanzienlijk verbeteren. Deze tools hebben het voordeel dat ze alle devices kunnen scannen, waar deze zich ook bevinden. Dus ook als dat niet direct op het netwerk van het hoofdkantoor van een organisaties is. Aangezien veel mensen op locatie werken tegenwoordig moet zo’n oplossing in staat zijn om ook alle devices thuis, op nevenlocaties, en zelfs onderweg in kaart te brengen.
Pas nadat deze inventarisatie succesvol afgerond en gedocumenteerd is kunnen Ops-teams verder naar de volgende fase van IT asset management. Want hoe kan een patching-proces doorgevoerd worden wanneer (bijvoorbeeld) niemand weet dat er ook een MacOS aanwezig is in het informatiesysteem (IS)? Dit is nog steeds een treffend voorbeeld, want het komt nog te vaak voor dat security-, compliance- en managementprojecten worden uitgevoerd op basis van ruwe schattingen over de assets in het IS. Zo’n aanpak kan nooit succesvol zijn.
Feedback uit het veld: Op basis van observaties wordt tegenwoordig meer dan 10 procent van de devices (laptops en client workstations) niet beheerd door ops. Enerzijds omdat ze niet bekend zijn binnen het systeem en anderzijds omdat hun discovery-methode vaak gebaseerd is op repositories die niet zo secuur zijn (bijvoorbeeld Active Directory sites gebaseerd op een netwerktopologie die heel erg macro en niet up to date is).
Dus, waarom zou je een EDR-project starten wanneer deze niet de facto wordt uitgevoerd op meer dan 10 procent van je devices?
2. Compliance en remediation komen later
Wanneer alle devices ontdekt en geïnventariseerd zijn, kan ops aan de slag met het ontwikkelen van compliance-standaarden. Hierin kunnen ze normaal gedrag van hun IT-assets definiëren (om het vorige voorbeeld door te trekken: is het normaal dat Macs gebruikt worden binnen het bedrijf?). In deze fase zal ops ook kijken of het beleid ook strookt met het bedrijfsbrede juridische en compliance-beleid, zeker wanneer de organisatie actief is in zeer gereguleerde sectoren zoals de financiële dienstverlening of de gezondheidszorg.
Zodra Ops de kennis over de gehele IT-omgeving heeft verzameld, kunnen ze aan de slag met de basis van standaarden en het doorvoeren van het juiste beleid voor patch management van alle besturingssystemen.
Ops-organisaties die echter slachtoffer zijn van shadow IT (dat is wanneer werknemers oplossingen gebruiken zonder de kennis en/of goedkeuring van IT managers) weten niet precies welke tools gebruikt worden binnen de organisatie en kunnen het beleid dus eigenlijk ook nooit effectief doorvoeren. Dan kan het dus gebeuren dat ze zich bewust zijn van de kwetsbaarheden die door hackers worden misbruikt, maar dat ze niet weten dat hun eigen omgeving en devices mogelijk vatbaar zijn voor aanvallen die gebruikmaken van deze kwetsbaarheden. Daardoor nemen ze niet de nodige maatregelen om zich daar goed tegen te beschermen. Dit is precies de reden dat WannaCry vijf jaar na zijn introductie nog steeds slachtoffers maakt en er dagelijkse ransomware gevallen in het nieuws komen.
Feedback uit het veld: Recente bedreigingen uit third party software zoals SolarWinds en Kaseya hebben laten zien dat het vaak erg ingewikkeld is voor bedrijven om snel te weten of deze tools ook binnen hun omgeving draaien, laat staan of de databron betrouwbaar is. Omdat deze oplossingen heel eenvoudig te krijgen en implementeren zijn op nevenlocaties die wat verder van het hoofdkantoor staan, is het niet eenvoudig om zeker te kunnen zeggen dat ze niet draaien op 100 procent van de devices zonder een uitgebreid onderzoek te doen dat deze 100 procent (en dus niet 90%!) kan garanderen.
3. Device-configuratiebeleid en zorgen dat third party-applicaties up-to-date blijven
Wanneer compliance-vereisten zijn gedefinieerd en de patch database klaar staat voor een volledig geïnventariseerde omgeving die helemaal up-to-date is, is het tijd om het device configuratiebeleid te maken en uit te rollen. Dit beleid voorziet in een realtime inventarisatie van elke machine. Op dit punt heeft het Ops-team controle over wat ze uitvoeren, wat de standaard is en wat bestaat in hun IS. Dat is een goed uitgangspunt om aan de slag te gaan met het beheer van third party applicaties.
Alleen in bovenstaande context is de homogeniteit van de IT-omgeving gegarandeerd en kan het op een uniforme manier beheerd worden. Dit houdt tevens in dat ze ervoor moeten zorgen dat applicaties die zijn geïntegreerd in robots of machines voorzien worden van updates. Daarbij zal de uitgever/maker van de applicaties zich moeten conformeren aan het aanbieden danwel uitvoeren van de nodige updates. Dit benadrukt de meer volwassen rol van ops.
Feedback uit het veld: dit is waar ops het vaak laat afweten. De business is, zoals het woord al aangeeft, de business-prioriteit voor een bedrijf en de criteria voor het aankopen van industriële materialen zijn vaak niet IT- of security-gerelateerd. Omdat hun inventarisatie hen vaak geen toegang geeft tot die systemen, ontdekt Ops de beperkingen van dergelijke systemen pas vaak te laat. Daarom is het belangrijk om eerst de basis op orde te hebben met goed zicht op waarover de organisatie beschikt, en als de context het toelaat, de industriële apparaten te integreren in de Ops-piramide en het vervolgens als een IT device te behandelen.
4. Het mappen van applicatiediensten en het monitoren van prestaties
Wanneer de gehele omgeving in kaart is gebracht, compliant is en up-to-date blijft, kan Ops additionele diensten toevoegen, zoals het mappen van applicaties en hun afhankelijkheden om zo falen te voorkomen en voordeel te halen uit geavanceerde prestatiemonitoring. Hierdoor kan Ops proactief zijn richting eindgebruikers en ervoor zorgen dat deze constant de tools hebben die ze nodig hebben om succesvol te zijn.
Performance is een van de meeste belangrijke issues voor IT-afdelingen tegenwoordig. Omdat ze geen goed overzicht hebben, stapelen Ops- en Security-teams vaak nieuwe oplossingen in lagen op elkaar om bestaande gaten te vullen en nieuw ontdekte gaten snel te kunnen vullen. Dit gebeurt omdat de basale inventarisatie niet gemasterd is. Het resultaat daarvan is dat apparaten overspoeld worden door oplossingen (gebaseerd op een lokale agent of op remote scanning) met een aanzienlijke impact op de gebruikers.
Feedback uit het veld: We zien vaak projecten of zelfs emergency task forces die opgezet worden naar aanleiding van klachten over prestaties in het IS. Zulke projecten zullen lang duren, gestaag vorderen en uiteindelijk weinig opleveren als Ops-teams niet de primaire controle hebben over hun inventaris, compliance, het onderhoud aan applicaties en systemen, noch de mogelijkheid in te zien waar de afhankelijkheden liggen. IS-hygiëne is essentieel hier voordat prestatieproblemen kunnen opdoemen, wat in de meeste gevallen te maken heeft met te weinig materialen, applicaties die niet over de juiste updates beschikken of onbekend is hoe de afhankelijkheid daarvan is.
Een grote uitdaging
Uitgebreide kennis over de IT assets binnen het bedrijf is een essentiële voorwaarde voor alle taken die ops moet uitvoeren om ervoor te zorgen dat de business succesvol kan blijven draaien. Nu ze aan de ene kant steeds meer betrokken zijn bij de kwaliteit van de gebruikerservaring, terwijl er een steeds grotere diversiteit aan devices komt, zullen ze ervoor moeten waken dat ze niet afgeleid worden van de fundamentele acties die ze moeten uitvoeren. Dat zijn in eerste plaats het identificeren en inventariseren van de gehele IT-omgeving.
Ondanks dat het inzichtelijk maken van assets een uitdagende taak is, komen steeds meer bedrijven erachter dat het erg belangrijk is te weten welke IT assets in omloop zijn zodat ze, mede op basis van dat inzicht, hun operations kunnen optimaliseren.