Publicatie van Vereniging ITAM NL
Auteur: Olivier van der Post
Dit document is geschreven onder Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0). https://creativecommons.org/licenses/by-sa/4.0/
Met het lezen en gebruiken van dit document beloof je dat je aanvullingen, kritiek en correcties deelt met de auteur(s).
“Tien procent extra omzet en dan laten we het erbij.”.
Een software audit markeerde voor veel bedrijven het begin van Software Asset Management. De taak van Software Asset Management werd het inventariseren van alle installaties en het koppelen van deze installaties aan de aanwezige rechten. Dit had als primair doel om de negatieve gevolgen van audits te verminderen.
De softwareproducenten hebben hun auteursrechten allemaal beschermd met eigen unieke voorwaarden en definities. De voorwaarden beslaan soms hele boekwerken juridische tekst en zijn bijzonder ingewikkeld te implementeren en moeilijk te managen. Het niet naleven van deze voorwaarden werd door de softwareproducent gepresenteerd als eclatante schendingen van hun auteursrechten. Dit leidde tot hieraan verbonden navenant hoge claims.
De audits waren natuurlijk niet meer dan smeermiddel voor het verkoopproces. Het “account” had blijkbaar de afgelopen jaren te weinig omzet gegenereerd dus had de “accountmanager” een audit geïnitieerd om de klant met de rug tegen de muur wat welwillender te krijgen.
Audits kosten veel menskracht, tijd en geld. Zonder goed Software Asset Management is het in veel gevallen goedkoper om de kaarten gelijk op tafel te gooien. In ruil voor wat nieuwe spullenboel gericht op de bonusverdubbeling van de accountmanager kan vooraf schikken verstandiger zijn dan een heel auditproces doorlopen. “Tien procent extra omzet en dan laten we het erbij.”.
“Met jullie doen we geen zaken meer.”
Dit soort audits zijn steeds meer voltooid verleden tijd. De meeste bedrijven en overheden hebben de afgelopen jaren hun assets aardig onder controle. Ingewikkelde licentieregels zijn inmiddels vervat in Software Asset Management (SAM) tooling en de licenties worden beheerd door een Software Asset Management afdeling. Er komt juridisch steeds meer weerwoord tegen bedrijfsproces-verstorende audits. Audits kosten producenten daardoor steeds meer geld en hun klanten steeds minder tijd. Het beetje geld dat een audit nog voor een producent kan opleveren, weegt niet op tegen de reputatieschade die een audit de producent berokkent. De gouden tijden van de software audits lijken voorbij.
De producent heeft inmiddels ook in de gaten dat een voor de klant negatief uitgepakte audit op de lange termijn ook voor de producent zelf negatieve gevolgen heeft. Ze kunnen het vergeten om nog te worden uitgenodigd voor leuke spannende innovatieve projecten. Er wordt nog voor een paar jaar onderhoud betaald voor de inmiddels tot “legacy” verworden software en dat is het dan wel. “Met jullie doen we geen zaken meer.”
“Zeg, wat doen die gasten daar eigenlijk?!?”
De kern van de businesscase voor Software Asset Management is financiële risico mitigatie; het verminderen van de financiële gevolgen van een software audit. De resultaten van goed Software Assetmanagement hebben nu nog vooral effect op het budget voor inkoop. Minder negatieve gevolgen van audits (minder inkoop), slimmer inzetten van licenties (minder inkoop), slimmer inzetten van IT-componenten (minder inkoop) en betere controle van gebruik (minder inkoop). De eerste jaren is dit nog te kwantificeren maar de jaren daarop wordt het steeds moeilijker. Er kunnen geen klinkende resultaten meer worden gerapporteerd omdat alle optimalisaties inmiddels zijn doorgevoerd. Het laaghangend fruit is inmiddels wel een beetje geplukt. Het detecteren van foutieve installaties en het uitvoeren van corrigerende maatregelen is regulier werk geworden. Het C-level is niet meer bevattelijk voor de met veel getrompetter gepresenteerde “cost avoidance” van het SAM-team. Als je het nooit hebt uitgegeven, is het ook geen besparing.
Zonder audits verliest Software Assetmanagement langzaam het bestaansrecht. Als er dan binnenkort bespaard moet worden, blijft de cursor van die aardige interimmanager vanzelf hangen bij de kosten voor de afdeling SAM. “Zeg, wat doen die gasten daar eigenlijk?!?”
“Ieder voor zich en God voor ons allen”
Is Software Assetmanagement er alleen als uitvoeringsorganisatie van Strategisch Leveranciersmanagement? Is SAM alleen licentiemanagement? Veel tooling suggereert dit nog wel. Asset inventarisatie maak je met als doel de assets te koppelen aan aanwezige rechten. Omdat deze rechten voorwaarden stellen aan diverse infrastructuurcomponenten beslaat de inventarisatie niet alleen geïnstalleerde software-informatie maar ook server- en netwerkinformatie. De te managen “assets” van Software Assetmanagement zijn hierdoor veel meer dan alleen software-installaties. Inmiddels zijn alle IT-componenten opgenomen in de SAM tooling. Daarom wordt er beter gesproken van IT-Assetmanagement (ITAM) in plaats van Software Asset Management (SAM). De rapportages van IT-Assetmanagement gaan echter nog steeds alleen over “compliance”. Deze compliance is hier gedefinieerd als het hebben van voldoende rechten. Het primaire doel van deze compliance-rapportages is alleen om kosten voor (inkoop van) software in de hand te houden.
Tegelijk schreeuwt de organisatie om actueel overzicht van IT-assets voor hele andere doelen. Het “Center for Internet Security” (CIS) heeft “best practice” richtlijnen gepubliceerd voor computerbeveiliging genaamd “SANS 20: Critical Security Controls for Effective Cyber Defense”. Punt 1 is hier: “Inventory and Control of Hardware Assets”, gevolgd door punt 2: “Inventory and Control of Software Assets”. In een ander voorbeeld heeft ISO27001 “Information Security Management” helemaal bovenaan: (A.8.1.1) “Inventory of Assets”. Een actueel inzicht van IT- assets maakt het mogelijk om vulnerability alerts direct te koppelen aan de aanwezige assets. De eindeloze “feed” van algemene alerts wordt dan direct omgezet in toepasbare informatie: “Op dit systeem staat deze software in die versie en daarop is deze kwetsbaarheid ontdekt”. Het Security Operations Center (SOC) of de CISO-van-dienst heeft daarom ook belang bij een goede assetinventarisatie en in veel gevallen zijn ze deze ook aan het maken.
Het Service Management heeft al jaren een actuele Configuration Management Database (CMDB) als eis. “Service Asset and Configuration Management” is verantwoordelijk voor deze CMDB. Deze vaak handmatig bijgehouden inventarisatie van “Configuration Items” (CI’s) is slecht te koppelen aan via discovery gevonden data. Als alleen de naam “Microsoft” al op meer dan honderd verschillende manieren kan worden ingevoerd, is dat ook niet heel verwonderlijk. Via de leverancier verstrekte Life Cycle Management data kan hierdoor ook slecht worden gekoppeld aan de CI’s. CI zijn IT-assets en de CMDM is eigenlijk ook een IT-assetmanagement database. IT-Assetmanagement is niet voor niets opgenomen in ITIL 4.
En wat verschilt de data van AVG gerelateerde “Identity and Access Management” van de data die nodig is om het aantal “Named Users” voor licentiemanagement te bepalen? Zo zijn nog meer voorbeelden te vinden van asset data die her en der in de organisatie te vinden is.
Het is allemaal dezelfde metadata. Al deze afdelingen hebben allemaal hun eigen tools en alle tools hebben eigen discovery scripts draaien op allemaal dezelfde assets. Er komt een moment dat dit niet meer uit te leggen valt. Centralisatie van deze metadata ligt voor de hand. Of blijft het zoals het spreekwoord zegt: “Ieder voor zich en God voor ons allen”?
“Eén voor allen en allen voor één!”
Actuele metadata van alle IT-systemen en alle software-installaties ís IT-Assetmanagement data! Als deze IT-Assetmanagement “data” wordt gekoppeld aan andere systemen dan wordt de “data” door verrijking en normalisatie omgezet naar “informatie”. Bijvoorbeeld: een koppeling met een NIST-database levert Cyber Security Vulnerability informatie op, een koppeling met leveranciersdata levert Life Cycle Management Informatie op en een koppeling met licentiedata levert License Management compliance informatie op. De verzameling van al deze metadata, geconsolideerd, verrijkt en genormaliseerd heet IT-Assetmanagement (meta-)informatie.
Iedereen levert de eigen metadata aan bij IT-Assetmanagement. IT Assetmanagement normaliseert, consolideert en verrijkt deze data tot informatie en IT-Assetmanagement wordt voor iedereen de leverancier van hun meta-informatie. ITAM wordt de D’Artagnan van de organisatie. “Eén voor allen en allen voor één!”
Nomen est Omen
Door het inrichten van SAM en ITAM-processen, is er veel meer inzicht. De organisatie is minder kwetsbaar waardoor er ook minder audits worden aangekondigd. Tegelijk is er grote vraag naar betrouwbare meta-informatie over de assets. Voor de afdeling IT-Assetmanagement is dit een kans om de blik te verbreden van inkoop en leveranciersmanagement naar Security, Servicemanagement, Infrastructuurbeheer, Applicatiebeheer, Financiën, Access Management, etc., kortom: naar de gehele organisatie.
De resultaten van goed IT-Assetmanagement komen ten goede aan de gehele organisatie. Actuele genormaliseerde, geconsolideerde en verrijkte IT Asset informatie is “hot”. IT Assetmanagement krijgt als beheerder en leverancier van meta-informatie zo een nieuw bestaansrecht. De toekomst van IT-Assetmanagement ís IT-Assetmanagement.
Er is immers geen partij beter toegerust voor het managen van IT Assetmanagement informatie dan de afdeling IT-Assetmanagement. Het zal wel in de naam zitten. Nomen est Omen.