Artikel top billede

Undgå problemer ved næste it-audit: Ny ISO-standard kan hjælpe dig med god styring dine af it-assets

Klumme: Ny ISO standard gør det nemmere for dig at få overblik over licenser og rettigheder, så du for eksempel kan være 'home free,' når du rammes af en audit fra en it-leverandør.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Hvis du til tider finder det vanskeligt at få styr på dine software-aktiver, så er der nu hjælp at hente i form af en ny standard til styring af software, eller i lidt bredere forstand, it assets, som netop er publiceret af ISO, den internationale standardiserings institution.

Standarden hedder ISO 19770-1:2017, og den er egentlig ikke så ny endda.

Faktisk er det en opdatering af den forrige version ISO 19770-1:2012, men det er dog ikke nogen lille opdatering.

På lange stræk er det en reel omskrivning af standarden, så den nu lever op til kravene til en ”rigtig” management systems standard på linie med for eksempel ISO 27001.

Hvad skal du med en ny standard til styring af it assets?

I relation til it asset management (ITAM) hjælper standarden dig med at løse et meget konkret problem, der handler om at reducere risiko og hjælpe med at etablere en best practice i styringen af it assets.

19770-x-familien dækker alle de væsentlige områder vedrørende software-styring, nemlig livscyklus-processer og best practice, software tagging (mærkning), entitlements (de rettigheder, man har erhvervet) mm.

Standarden er oprindeligt tænkt som en software-standard, men over årene er det blevet mere og mere klart, at det ikke giver mening at betragte software som en ø.

Der er gennem tiden lavet ”mapping” over mod andre beslægtede områder som for eksempel it service management.

Det er også blevet klart, at man ikke kan tale om software asset-styring uden også at se på den hardware, som softwaren kører på - altså hardware asset management.

Og i den netop udgivne version – 19770-1:2017, har man altså taget konsekvensen og benævner nu ikke længere standarden som en SAM-standard, men som en ITAM-standard.

Designet som management system standard

Den nye standard adskiller sig primært fra tidligere versioner ved, at dens format er som en management system standard. Og hvad betyder så det?

Jo, i hovedtræk betyder det, at man har den samme tilgang til eksempelvis risk management, som man kender det fra ikke mindst ISO 27001.

Men også, at den er kompatibel med andre beslægtede standarder som ISO 9001 og ISO 20000-1 for it service management (denne sidste er i proces omkring en lignende omskrivning).

Når disse standarder på den måde får sammenlignelige metoder og tilgang, så opnår vi blandt andet, at det bliver enklere at fastlægge governance-strukturer, der dækker flere discipliner og fagområder.

Til gengæld, og det er så omkostningen ved det, så bliver de konkrete anbefalinger mindre konkrete. 

Det vil sige, at det i større grad er op til den enkelte virksomhed selv at fastlægge, hvordan man vil leve op til standarden.

Det kan selvfølgelig give nogle udfordringer, men omvendt må vi også erkende, at best practice omkring styring af it-aktiver må antages at være væsentlig forskellig hos en global bankvirksomhed kontra en lokal produktionsvirksomhed.

Hvorfor er det så vigtigt for dig?

Nu er der nok nogen der tænker – ”jamen hvorfor er det egentlig så vigtigt med de standarder, og behøver jeg egentlig bruge krudt på at holde styr på it-aktiverne?”

Tja, helt overordnet er det jo op til den enkelte virksomhed selv at beslutte sig for det niveau og beredskab, man ønsker sig og finder nødvendigt for at leve op til sine strategiske målsætninger.

Men i mange organisationer forventer og tror man, at selvfølgelig har man da styr på hvilke it-aktiver, man ejer og selvfølgelig har vi da klare procedurer for at håndtere det. Selvfølgelig… Og sådan burde det også være, men det er langt fra virkeligheden.

                      ”You can’t manage what you don’t know”

 Og det er her, den nye standard kan hjælpe.

For med den bliver virksomhederne i stand til at implementere den styring, de selv ønsker eller kræver, gennem at definere standarder for

1) hvordan software giver til sig kende (software tagging)

og

2) på løbende basis at holde styr på de erhvervede rettigheder (entitlements – 19770-3) gennem fastlæggelse af best practice-livscyklus og processer.

På baggrund af standarder og best practices vil virksomheden således kunne komme i kontrol med styringen af it-aktiverne og være klædt på til at imødegå en eventuel software audit eller, helt aktuelt, imødegå kravene vedrørende GDPR (persondataforordningen).

Og hvad med cybertruslen?

For mange har den primære driver for at holde styr på software-aktiverne de seneste år været fokuseret på at undgå software in-compliance i forbindelse med de mange audits som software-leverandørerne gennemfører.

Men et helt andet – og mindst lige så gyldig motivation -  er cybertruslen.

Op mod 3 ud af 4 angreb sker mod web-applikationer hvor der dagligt bliver identificeret nye sårbarheder.

Både fsv. angår Wannacry og Equifax, som er nogle af de mest kendte angreb det sidste års tid, var det manglende patchning, som følge af ringe standarder for it asset-styringen, der var årsag til angrebenes succes. Gode praksisser ville kunne have afhjulpet dette.

Du skal stille til krav – både udadtil og indadtil

Som virksomhed skal du stille krav til dine software leverandører.

Det gælder til publisherne (Microsoft, Oracle og andre) om, at de efterlever de internationale standarder, som de er lagt ud fra ISO’s side, og det gælder ikke mindst leverandører af de værktøjer, man bør tage i anvendelse for at sikre efterlevelse af up-to-date standarder for effektiv it asset-styring.

På samme måde bør du være bevidst om, at en effektiv it asset-styring starter hjemme - hos dig selv.

Kig på organisationen. Er der et tilstrækkeligt modenhedsniveau i forhold til dette væsentlige område?

Kig på processerne. Har vi implementeret et sæt af politikker og procedurer, der gør os i stand til at håndtere udfordringerne effektivt?

Er vi bevidste om truslerne – og har vi taget de forholdsregler vi finder nødvendige for at imødegå disse?

Fastlagte standarder og processer kan være en pain in the a.. Men vær ikke i tvivl om, at det også er god forretning.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.