Inventariseren van ICT-onderdelen

Als je als ondernemer wilt weten waar jouw bedrijf kwetsbaar is voor cyberdreigingen, is het verstandig om een inventarisatie te maken van de ICT-onderdelen die je gebruikt.

Binnen een kantooromgeving kom je veel ICT-onderdelen in de vorm van hardware en software tegen. Dit aantal kan snel oplopen waardoor je als ondernemer mogelijk geen goed overzicht hebt welke laptops je bijvoorbeeld hebt en wie ze gebruikt.

Het maken van een inventarisatie helpt hierbij. Zorg er ook voor dat zo’n inventarisatie actueel blijft zodat ook de laatste status hiervan bekend is. Daarnaast draagt een inventarisatie bij aan een optimaal gebruik van ICT-onderdelen binnen jouw bedrijf om zo geen onnodige kosten te maken.

 

Inzicht en overzicht

Afhankelijk van het detail dat je per ICT-onderdeel inventariseert, kan dit ook inzicht geven in bepaalde risico’s en kwetsbaarheden binnen je bedrijf. Denk hierbij aan bijvoorbeeld:

  • Een overzicht wanneer de garantie verloopt of een product geen ondersteuning meer krijgt (end-of-life) zodat je deze tijdig kunt vervangen.
  • Inzicht in hoeveel vrije ruimte er nog beschikbaar is op servers zodat op tijd capaciteit kan worden bijgeplaatst of aangekocht.
  • Een overzicht van welke software (mét versienummer) op welke systemen draait zodat bij een mogelijke kwetsbaarheid direct duidelijk is of je een versie gebruikt die kwetsbaar is.

Veiligheidsdashboard in "Samen Digitaal Veilig"

Samen Digitaal Veilig is een online platform waarmee je duidelijke inzichten krijgt over de weerbaarheid van je bedrijf. Medewerkers worden getraind via korte opleidingsvideo’s en vragen. Door middel van een automatische uitvraag zie je ook of je IT-leverancier de zaken goed heeft geregeld. En voor de organisatie zelf is er een veiligheidsscan. Alle resultaten komen in één veiligheidsdashboard te staan. DTC is kennispartner van Samen Digitaal Veilig.

Wat ga je inventariseren?

Binnen een kantooromgeving kom je veel verschillende hardware en software tegen. De behoefte om dit allemaal te inventariseren kan verschillen omdat dit deels samen hangt met de waarde die de verschillende ICT-onderdelen in een organisatie hebben. Zo kan een webdesign bedrijf veel waarde hechten aan de dure beeldschermen die noodzakelijk zijn voor het werk en deze daarom toevoegen aan deze inventarisatie.

Denk bij het inventariseren in elk geval aan de volgende type ICT-onderdelen:

  • Servers
    Wanneer binnen een kantooromgeving servers aanwezig zijn, bevatten ze vaak belangrijk informatie. Ze mogen daarom niet ontbreken in een inventarisatie.
  • Computers en laptops
    Het aantal computers en laptops kan snel oplopen op kantoor. Ze kunnen belangrijke bedrijfsinformatie bevatten en zijn vaak onmisbaar om werkzaamheden te kunnen uitvoeren.
  • Netwerkapparatuur
    Binnen een kantooromgeving vind je al snel verschillende netwerkapparaten om communicatie met elkaar en het internet mogelijk te maken. Denk hierbij aan WIFI access points, firewalls, switches en routers.
  • Telefoons
    Zowel vaste telefoons (VOIP) als mobiele telefoons (smartphone) zijn tegenwoordig net computers en vaak ook net zo onmisbaar.
  • Software
    Een goed beeld van de software binnen je organisatie is belangrijk. Denk hierbij aan besturingssystemen, office pakketten en andere bedrijfsspecifieke applicaties. Vergeet ook niet kleine applicaties waar je soms niet eens bewust van bent dat ze gebruikt worden. 

Naast een overzicht van de ICT-onderdelen die je hebt, is het belangrijk om te kijken welk detail van de onderdelen bij je inventarisatie hoort. Hoe meer details, hoe meer informatie en overzicht, maar het vraagt ook inspanningen om het up-to-date te houden..

Denk bijvoorbeeld aan de volgende details die je kunt opnemen je inventarisatie:.

  • Serienummer 
    Een belangrijk kenmerk dat nodig is bij het verkrijgen van informatie en ondersteuning bij de fabrikant.
  • Versienummer
    Geeft de mogelijkheid na te gaan welke versie van software waar geïnstalleerd staat. Op deze manier is makkelijk na te gaan of software up-to-date is of een versie eventueel kwetsbaar is.
  • Fabrikant of leverancier
    Maakt duidelijk bij wie je voor welk ICT-onderdeel terecht kunt voor ondersteuning of garantie.
  • Aankoopdatum
    Helpt in het bijhouden van garantietermijnen en helpt bij het plannen voor budget om ICT-onderdelen te vervangen.
  • Licentiecode
    Geeft een overzicht welke licenties je in gebruik, waar en hoeveel. In het geval van een herinstallatie van een computer is deze informatie noodzakelijk.
  • Gebruiker
    Geeft inzicht in welke hardware en software wordt gebruikt door welke medewerker.

Automatiseren?

Een inventarisatie van ICT-onderdelen kun je handmatig uitvoeren en bijvoorbeeld bijhouden in spreadsheet. Dit geeft je ook de mogelijkheid om formules toe te passen. Je kunt instellen dat je een waarschuwing krijgt als een licentie hernieuwd moet worden voor een bepaalde datum. 

Omdat het belangrijk is om deze inventarisatie actueel te houden, kan het interessant zijn om een deel van deze inventarisatie te automatiseren. Dit geldt met name wanneer het aantal hard- en software producten groeit binnen jouw bedrijf en er de wens is naar meer detail. Dit soort details van een inventarisatie kunnen namelijk veel tijd in beslag nemen.

Producten waarmee je een ICT-inventarisatie kunt automatiseren hebben vaak de mogelijkheid om je bedrijfsnetwerk te scannen om zo details over hard- en software te detecteren. Deze producten kunnen de lijst ook actueel houden. Dit maakt vooruit plannen gemakkelijker. Ook kan zo'n product vaak automatisch extra informatie ophalen bij de fabrikant door middel van het serienummer. Zo kan bijvoorbeeld de nog resterende garantietermijn of de verkoopdatum worden opgehaald. Voor wie goed zicht op zijn vele ICT-onderdelen wil, kan het automatiseren handig zijn.

Handige vervolgstap: een rechtenmatrix opstellen

Als je je ICT-onderdelen geïnventariseerd hebt, is een handige vervolgstap om de rechtenmatrix op te stellen. Hierbij inventariseer je welke medewerkers tot welke bedrijfsapplicaties toegang hebben. Wie heeft leesrechten, wie schrijfrechten en wie mag rechten toekennen? Ook deze inventarisatie draagt bij aan het vergroten je weerbaarheid tegen cyberincidenten.

Personeel, toegangsbeleid en beheer van assets

In de zorgplicht vanuit de NIS2-richtlijn worden maatregelen verlangd op 3 onderdelen: beveiligingsaspecten van personeel, toegangsbeleid en beheer van assets. Lees wat je kunt doen om je organisatie voor te bereiden op de NIS2.