IT Beheer & Security verantwoorden - Privacy en beveiliging

woensdag 18 september 2019 11:38

Acties:

0 Henk 'm!

Topicstarter

Ik heb een vraag. Wellicht niet op het juiste forum, maar aangezien hier een hoop professionals rond rennen hoop ik toch dat iemand mij kan helpen.

Mijn manager wil dat ik het IT beheer in kaart breng.
* Wat doen we aan onderhoud.
* Wie doet wat
* Wat zijn onze security issues
* Hoe oud is onze hardware en wanneer vervangen we deze?
* Wat is er afgelopen maand allemaal gedaan aan beheer taken

Om zo maar even wat zaken te noemen. Maandelijks wil hij dan een rapportje ontvangen waar die commentaar in kan geven en waar die dan zijn goedkeuring aan moet geven.

Nu hebben we bijvoorbeeld een tool als Lansweeper waar je mooi zaken (assets en licenties) in kan bijhouden en rapportjes uitdraaien. Doch blijft het lastig om daarin echt op hoofdlijnen zaken te rapporteren op de manier zoals gevraagd. De leidinggevende wil niet bezig zijn met server x (want dat zegt hem niets), maar meer op algemeen niveau geïnformeerd worden.

Nu vraag ik mij af hoe jullie dit doen? Welke middelen gebruiken jullie hiervoor en wat zijn jullie ervaringen?

woensdag 18 september 2019 11:48

Acties:

0 Henk 'm!

bregweb

Heb je een HelpDesk pakket? Is A handig voor IT om de allerlei zaken bij te houden en B kan jouw manager zien wie wat doet en met welke Hardware.

Het lijkt mij dat een groot gedeelte van de vragen elke maand hetzelfde zijn. Pietje lost algemene storingen van gebruikers op en is daar x uur mee bezig, Jantje doen onderhoud op Servers (Updates) en is daar x uur mee bezig, enz.

Dan is er ook een maandelijks rapport wat wel handig is, daar in vermeld je de uitzonderingen op de regel. Server X viel om en daar moesten we 16 uur werk in stoppen

Hattrick: Thorgal Eagles

woensdag 18 september 2019 12:19

Acties:

0 Henk 'm!

Yucon

*broem*

Ik heb een wat dubbel gevoel. Ligt de vraag bij jou wel op de juiste plaats als je op dit punt moet beginnen?

De valkuil is namelijk dat je niet weet wat je niet weet.. en juist bij dit onderwerp kan dat erg vervelend zijn.

woensdag 18 september 2019 12:42

Acties:

+1 Henk 'm!

DAzN

Het kan nooit kwaad om te vragen wat de manager probeert te bereiken. Wil hij op hoofdlijnen geïnformeerd worden? Heeft hij bepaalde KPIs waarover hij een rapport wil ontvangen? Is het vanwege een risico-analyse en probeert hij risico's te verminderen?

Gezien de vragen die je neerzet, lijk mij een overzicht op hoofdlijnen voldoende.

* Wat doen we aan onderhoud:
preventief, ad-hoc, en wat heb je afgelopen maand gedaan?
* Wie doet wat:
Rollen, zou alleen aangeven als er grote wijzigingen zijn (Pietje gaat vertrekken, we moeten vervanging hebben, structureel tekort).
* Wat zijn onze security issues:
kritieke incidenten, risico-beperking (2FA implementatie gepland voor November 2019).
* Hoe oud is onze hardware en wanneer vervangen we deze?
Ondersteuningscontract met leverancier verloopt, we moeten contract verlengen of een nieuwe RFP starten.
* Wat is er afgelopen maand allemaal gedaan aan beheer taken.
Niet echt relevant, geef een top-5.

woensdag 18 september 2019 12:50

Acties:

0 Henk 'm!

Pollins

Topicstarter

DAzN schreef op woensdag 18 september 2019 @ 12:42:
Het kan nooit kwaad om te vragen wat de manager probeert te bereiken. Wil hij op hoofdlijnen geïnformeerd worden? Heeft hij bepaalde KPIs waarover hij een rapport wil ontvangen? Is het vanwege een risico-analyse en probeert hij risico's te verminderen?

Gezien de vragen die je neerzet, lijk mij een overzicht op hoofdlijnen voldoende.

* Wat doen we aan onderhoud:
preventief, ad-hoc, en wat heb je afgelopen maand gedaan?
* Wie doet wat:
Rollen, zou alleen aangeven als er grote wijzigingen zijn (Pietje gaat vertrekken, we moeten vervanging hebben, structureel tekort).
* Wat zijn onze security issues:
kritieke incidenten, risico-beperking (2FA implementatie gepland voor November 2019).
* Hoe oud is onze hardware en wanneer vervangen we deze?
Ondersteuningscontract met leverancier verloopt, we moeten contract verlengen of een nieuwe RFP starten.
* Wat is er afgelopen maand allemaal gedaan aan beheer taken.
Niet echt relevant, geef een top-5.

Probleem is dat we er al een hele tijd over zitten te bakkeleien en het probleem richting mij geschoven wordt. Ik ben de beheerder dus ik moet in control zijn en op papier zetten waar risico's zitten en wat we er aan doen. Op zich een terecht verzoek lijkt me, maar elk middel wat ik aanreik om in te zetten krijg ik een beetje 0 op mijn bordje. Ik zoek dus een middel om dergelijke zaken in vast te leggen en hiermee ook te kunnen rapporteren. Hij is inderdaad op zoek naar hoofdlijnen (een beetje zoals jij beschrijft) maar dan kom ik weer bij het feit dat ik niet weet waar ik dat in kan gieten (kan slechts een Excel sheetje bij gaan houden)???

Aan de andere kant kan hij het ook niet echt concreet maken... dus blijven we elkaar verwijten.

woensdag 18 september 2019 13:10

Acties:

+1 Henk 'm!

Jester-NL

... pakt een botte bijl

Het mag niets kosten aan geld en werk?
Dan zou ik een mooi rapportje opmaken waarin staat dat je X niet kan doen want geen geld en waarom je Y niet in kaart kan brengen want geen tooling

Je zit nu met een hete aardappel...

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

woensdag 18 september 2019 13:13

Acties:

+1 Henk 'm!

DAzN

Voor dit soort dingen bestaat niet een tool waarin je op een knop drukt om wat uitvoer te krijgen.

Aangezien er naar jou wordt gekeken - en jij bent de beheerder - dan vermoed ik dat de organisatie niet heel groot is. Je zegt dat je assets (en CI's) onder controle zijn, maar hoe zit het met de rest van ITSM? Is daar een tool voor? Zo niet, dan heb je inderdaad iets bij te houden in Excel. Begin bij de incidenten, maak een overzicht van de problem records en rapporteer op de RCAs en mitigating actions.

En voor wat betreft de risico-analyse ben ik het met @Jester-NL eens, het feit dat er geen geld is om zaken beter aan te pakken, zou ik (beargumenteerd) op nummer 1 plaatsen.

woensdag 18 september 2019 13:19

Acties:

+1 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Klinkt als dat het meer een politiek probleem is dan een technisch probleem
Stel jezelf eens de vraag welke uitkomst jij zou willen....
Waar wil je meer geld/tijd voor hebben? Dan zet je dat in het rapport.

Voor zaken die puur tijd of afspraak gebonden zijn zou ik inderdaad een simpele (excel) file bijhouden.
- wanneer is het systeem gekocht en wanneer is het afgeschreven
- hoe lang loopt het support contract nog
- welke licenties gebruik je en hoe lang zijn ze nog geldig (indien van toepassing).
- wie is er verantwoordelijk voor het beheer van een server (1 persoon)
- wat doen we aan onderhoud
De tijdgebonden zaken zijn 100% voorspelbaar, die hoef je niet te scannen of te raden.
Die zou ik dan wel groeperen: "10 servers van 3 jaar oud, 5 van 1 jaar oud, 1 van 8 jaar oud zonder support).
Wie een systeem beheert en welke taken daar bij horen zijn puur afspraken. Daar valt niks aan te scannen of te detecteren, dat moet je met je collega's afspreken.

Beheertaken zal je moeten registreren als je ze uitvoert. Of je moet met audit-tools aan de gang maar dat is nogal ingewikkeld.

Bijhouden welke security problemen er zijn is bijzonder moeilijk, daar is niet één sluitend antwoord op te geven.
Een paar bedreigingen kan ik je al cadeau doen:
- onvoldoende middelen voor goed gereedschap
- ad-hoc beheer ipv gestructureerd beheer
- geen inzicht in taken en verantwoordelijkheden

This post is warranted for the full amount you paid me for it.

woensdag 18 september 2019 15:09

Acties:

0 Henk 'm!

Pollins

Topicstarter

CAPSLOCK2000 schreef op woensdag 18 september 2019 @ 13:19:
Klinkt als dat het meer een politiek probleem is dan een technisch probleem
Stel jezelf eens de vraag welke uitkomst jij zou willen....
Waar wil je meer geld/tijd voor hebben? Dan zet je dat in het rapport.

Voor zaken die puur tijd of afspraak gebonden zijn zou ik inderdaad een simpele (excel) file bijhouden.
- wanneer is het systeem gekocht en wanneer is het afgeschreven
- hoe lang loopt het support contract nog
- welke licenties gebruik je en hoe lang zijn ze nog geldig (indien van toepassing).
- wie is er verantwoordelijk voor het beheer van een server (1 persoon)
- wat doen we aan onderhoud
De tijdgebonden zaken zijn 100% voorspelbaar, die hoef je niet te scannen of te raden.
Die zou ik dan wel groeperen: "10 servers van 3 jaar oud, 5 van 1 jaar oud, 1 van 8 jaar oud zonder support).
Wie een systeem beheert en welke taken daar bij horen zijn puur afspraken. Daar valt niks aan te scannen of te detecteren, dat moet je met je collega's afspreken.

Beheertaken zal je moeten registreren als je ze uitvoert. Of je moet met audit-tools aan de gang maar dat is nogal ingewikkeld.

Bijhouden welke security problemen er zijn is bijzonder moeilijk, daar is niet één sluitend antwoord op te geven.
Een paar bedreigingen kan ik je al cadeau doen:
- onvoldoende middelen voor goed gereedschap
- ad-hoc beheer ipv gestructureerd beheer
- geen inzicht in taken en verantwoordelijkheden

dank je, het geeft al wat handvaten. Maar veelal zijn natuurlijk zaken waar ik ook over nagedacht heb. Alleen hoe giet je het in een systeem (ik heb een pragmatische oplossing nodig

). Er mag best geïnvesteerd worden in een middel, maar zodra dit middel te detaillistisch wordt of niet overzichtelijke rapportjes ophoest met kleurtjes en grafiekjes haakt de manager af (en natuurlijk mag het geen 1000-en euries per jaar kosten

).

woensdag 18 september 2019 15:32

Acties:

+1 Henk 'm!

bregweb

Misschien kun je het heel simpel maken door antwoord t geven op zijn vragen:

Mijn manager wil dat ik het IT beheer in kaart breng.
* Wat doen we aan onderhoud.
* Wie doet wat
* Wat zijn onze security issues
* Hoe oud is onze hardware en wanneer vervangen we deze?
* Wat is er afgelopen maand allemaal gedaan aan beheer taken

Beetje Word en Excel is voldoende. Na de 1e maand/rapportage bespreek je wat er ontbreekt/aangepast moet worden. dan ga je ook makkelijker de tools vinden die dit automatiseren.

Hattrick: Thorgal Eagles

woensdag 18 september 2019 15:49

Acties:

+1 Henk 'm!

unezra

Ceci n'est pas un sous-titre.

Kun je wellicht iets meer informatie geven over wat voor organisatie, grootte, etc, het om gaat?

Het klinkt of het gaat om een kleine organisatie waarbij ICT een ondergeschoven kindje is, terwijl het welliswaar ondersteunend moet zijn aan de organisatie, maar mogelijk de organisatie ook niet zonder kan.

@bregweb vroeg al of er iets als een helpdesk pakket is, waarmee je incidenten, service requests en changes, maar bijvoorbeeld ook assets (hardware) in kaart kunt brengen. Ik heb de afgelopen jaren iTop CMDB gebruikt voor incidenten, servicerequests en changes. Dat pakket is volledig gratis en kan zich meten met de grote jongens. Ook kent het asset-management.

Zorg er wel voor dat je een beetje basiskennis hebt van ITIL en lees de documentatie goed voor je begint met installeren en configureren.

https://www.combodo.com/itop-193

Als je al begint met asset management, changemanagement en incidenten / service requests, heb je na een paar maanden al een redelijk beeld van wat je hebt en waar de verstoringen en verzoeken liggen. (Je kunt er overigens ook je IP management in doen, er is een module voor die ook los te gebruiken is. Gebruik je 'm in het pakket, kun je je assets weer hangen aan een IP en word het 1 geheel.)

Maak je gebruik van monitoring? (Ook dát kan heel erg helpen storingen in kaart te brengen, maar ook proactief te reageren op zaken die nog niet productieverstorend zijn zoals disks die vol lopen. Het helpt ook bij de voorspelbaarheid van dure vervangtrajecten zoals je storage. Als je een jaar tevoren al ziet aankomen dat je storage vol begint te raken, is het een stuk makkelijker daar budget voor te krijgen dan als je in paniek je manager op moet bellen met dat er morgen nieuwe opslag bij moet komen.)

Verder zou ik vragen wat het doel is van zijn vragen. Pas als je het doel weet, kun je gericht antwoord geven.

Wat ik zelf de afgelopen 7 jaar heb gedaan, is sowieso ieder jaar het gesprek aan gaan met onze leveranciers en een meerjaren plan schrijven op basis van mijn eigen ideeen en hun input. Op basis van dat meerjarenplan kreeg ik budget (of niet) en de delen waar ik budget voor kreeg werkte ik verder uit in een klein businessplan.

We zijn nu zo ver dat de ICT omgeving redelijk voorspelbaar is en er relatief weinig storingen zijn. (We zijn ook zo ver dat we hebben besloten de hele ICT te outsourcen en niet meer zelf te doen.)

Overigens zijn wij ook een relatief kleine organisatie, rond de 40 FTE, operationele ICT capaciteit van 80 FTE en 2 man ICT plus 2.5 functioneel beheer. (Die officieel geen onderdeel zijn van de afdeling ICT. Dat ben ik met mijn collega, wij doen alles behalve het functioneel beheer van 2 specifieke applicaties.)

EDIT: Oh, zorg dat je een netwerk hebt van goede leveranciers, nodig regelmatig potentiële leveranciers uit en laat je adviseren. Het is helemaal niet raar hén de vraag te stellen wat JIJ zou moeten veranderen, upgraden, etc, de komende jaren.

[ Voor 4% gewijzigd door unezra op 18-09-2019 15:50 ]

Ná Scaoll. - Don’t Panic.

woensdag 18 september 2019 16:20

Acties:

0 Henk 'm!

Pollins

Topicstarter

unezra schreef op woensdag 18 september 2019 @ 15:49:
Kun je wellicht iets meer informatie geven over wat voor organisatie, grootte, etc, het om gaat?

Het klinkt of het gaat om een kleine organisatie waarbij ICT een ondergeschoven kindje is, terwijl het welliswaar ondersteunend moet zijn aan de organisatie, maar mogelijk de organisatie ook niet zonder kan.

@bregweb vroeg al of er iets als een helpdesk pakket is, waarmee je incidenten, service requests en changes, maar bijvoorbeeld ook assets (hardware) in kaart kunt brengen. Ik heb de afgelopen jaren iTop CMDB gebruikt voor incidenten, servicerequests en changes. Dat pakket is volledig gratis en kan zich meten met de grote jongens. Ook kent het asset-management.

Zorg er wel voor dat je een beetje basiskennis hebt van ITIL en lees de documentatie goed voor je begint met installeren en configureren.

https://www.combodo.com/itop-193

Als je al begint met asset management, changemanagement en incidenten / service requests, heb je na een paar maanden al een redelijk beeld van wat je hebt en waar de verstoringen en verzoeken liggen. (Je kunt er overigens ook je IP management in doen, er is een module voor die ook los te gebruiken is. Gebruik je 'm in het pakket, kun je je assets weer hangen aan een IP en word het 1 geheel.)

Maak je gebruik van monitoring? (Ook dát kan heel erg helpen storingen in kaart te brengen, maar ook proactief te reageren op zaken die nog niet productieverstorend zijn zoals disks die vol lopen. Het helpt ook bij de voorspelbaarheid van dure vervangtrajecten zoals je storage. Als je een jaar tevoren al ziet aankomen dat je storage vol begint te raken, is het een stuk makkelijker daar budget voor te krijgen dan als je in paniek je manager op moet bellen met dat er morgen nieuwe opslag bij moet komen.)

Verder zou ik vragen wat het doel is van zijn vragen. Pas als je het doel weet, kun je gericht antwoord geven.

Wat ik zelf de afgelopen 7 jaar heb gedaan, is sowieso ieder jaar het gesprek aan gaan met onze leveranciers en een meerjaren plan schrijven op basis van mijn eigen ideeen en hun input. Op basis van dat meerjarenplan kreeg ik budget (of niet) en de delen waar ik budget voor kreeg werkte ik verder uit in een klein businessplan.

We zijn nu zo ver dat de ICT omgeving redelijk voorspelbaar is en er relatief weinig storingen zijn. (We zijn ook zo ver dat we hebben besloten de hele ICT te outsourcen en niet meer zelf te doen.)

Overigens zijn wij ook een relatief kleine organisatie, rond de 40 FTE, operationele ICT capaciteit van 80 FTE en 2 man ICT plus 2.5 functioneel beheer. (Die officieel geen onderdeel zijn van de afdeling ICT. Dat ben ik met mijn collega, wij doen alles behalve het functioneel beheer van 2 specifieke applicaties.)

EDIT: Oh, zorg dat je een netwerk hebt van goede leveranciers, nodig regelmatig potentiële leveranciers uit en laat je adviseren. Het is helemaal niet raar hén de vraag te stellen wat JIJ zou moeten veranderen, upgraden, etc, de komende jaren.

Dank voor de tip. Ik zal iTop eens bekijken (heb dit een aantal jaren geleden ook al eens bekeken). Kwa grote zijn we inderdaad ongeveer van de omvang zoals ook bij jullie. Iets meer gebruikers, een peloton aan VM's met oude applicaties die in de lucht moet blijven en 2 andere Functionele jongens. En dan mag ik me naast het technische aspect ook bezig houden met het administratieve en inkoop ICT geneuzel

Ik denk dat ik voor nu eens begin met het bijhouden van een gedeelde spreadsheet. En dan komen we er vanzelf achter waar het pijnpunt ligt of wat er nodig is. Het ging mij in deze er ook een beetje om wat algemeen gangbaar was, maar merk dat de meesten toch uit komen op een start met good old Word en Excel. Had zelf zoiets dat ik daar niet mee mocht aankomen... maar zo gek is dat als start dus niet.

woensdag 18 september 2019 16:46

Acties:

0 Henk 'm!

unezra

Ceci n'est pas un sous-titre.

Pollins schreef op woensdag 18 september 2019 @ 16:20:
[...]
Dank voor de tip. Ik zal iTop eens bekijken (heb dit een aantal jaren geleden ook al eens bekeken). Kwa grote zijn we inderdaad ongeveer van de omvang zoals ook bij jullie. Iets meer gebruikers, een peloton aan VM's met oude applicaties die in de lucht moet blijven en 2 andere Functionele jongens. En dan mag ik me naast het technische aspect ook bezig houden met het administratieve en inkoop ICT geneuzel
Ik denk dat ik voor nu eens begin met het bijhouden van een gedeelde spreadsheet. En dan komen we er vanzelf achter waar het pijnpunt ligt of wat er nodig is. Het ging mij in deze er ook een beetje om wat algemeen gangbaar was, maar merk dat de meesten toch uit komen op een start met good old Word en Excel. Had zelf zoiets dat ik daar niet mee mocht aankomen... maar zo gek is dat als start dus niet.

Ik ben niet overtuigd van die spreadsheet. Dat is echt een raar lapmiddel terwijl je een ticketsysteem en monitoring *toch* nodig hebt. Het enige dat het je kost is wat tijd, de hardware heb je al. (Gewoon een paar vm-etjes er bij en klaar ben je.)

Word en Excel zijn prima, voor businesscases. Niet om incidenten in bij te houden. Outlook is daar ook totaal ongeschikt voor. Lifecycle management is prima, maar je wil inzicht in of vervanging of upgrades wel nodig zijn en dat haal je niet uit een Word document Excel spreadsheet.)

(Qua monitoring gebruiken wij overigens Zabbix. Ook Open Source. https://www.zabbix.com/ Het fijne daarvan is dat je niet alleen alerting hebt, maar ook trending. Het maakt letterlijk van alles een grafiek als je wil en juist dát helpt bij bijvoorbeeld voorspellen wanneer je nieuwe storage nodig hebt.)

Het is nu september, misschien een mooi moment NU de gesprekken aan te gaan met je leveranciers, kijken wat zij zouden doen in jouw situatie zodat je volgend jaar budget krijgt om wat spullen te upgraden en meteen de basis te leggen voor de komende jaren.

Ná Scaoll. - Don’t Panic.

maandag 23 september 2019 10:35

Acties:

0 Henk 'm!

Pollins

Topicstarter

Ik ben ook niet overtuigd van een Excel sheetje. Denk dat ik mijn vraag ook niet helder genoeg heb gesteld. Een ticket systeem inclusief monitoring is iets wat we reeds hebben. Waar het meer om gaat is een overzicht maken van de geplande beheer activiteiten en de genomen maatregelen om onze omgeving veilig te houden en te borgen. Dus bijvoorbeeld beschrijven welke maatregelen nemen we om onze website veilig te houden. Wie doet dat en hoe controleren we dit en wat gebruiken we daarvoor.

Dit is natuurlijk een andere insteek als een overzicht maken op incident niveau (gebruiker X is 4 keer zijn wachtwoord vergeten).