ITAM NIEUWSBRIEF

Historisch gezien kent de ITAM-congressenkalender wat mij betreft jaarlijks vier hoogtepunten. Heliview IT & SAM (waar ik heb voorgesteld om daar volgend jaar het Heliview ITAM & FinOps congres van te maken), Wisdom EMEA van The ITAM Review in Londen, SAMS Europe (dit jaar in Amsterdam) en IAITAM ACE in de VS (met ruim 1.000 deelnemers qua opkomst verreweg de grootste zover ik weet). Die laatste bezocht ik een paar weken geleden en ik had de eer om daar het congres af te sluiten samen met vriend en mede-vakidioot Brandon Smeets, die eerder dit jaar als ITAM’er pensioneerde en nu fulltime goochelaar is. Onze ‘magische ITAM show’ deden we de afgelopen jaren al menig congres in Europa aan en nu kregen we de kans om ook onze Amerikaanse vakgenoten ervan te laten proeven. In het feit dat het concept ITAM, goocheltrucs en humor in een keynote aldaar een noviteit genoemd mag worden zagen wij een uitdrukkelijk voordeel: we konden grotendeels teren op bestaand materiaal. Alhoewel… vrij kort voordat we naar onze Atlantische buren afreisden hoorden we dat er voor onze sessie vijf kwartier was uitgetrokken, ruim twee meer dan wat we normaal gesproken krijgen, dus dat betekende terug naar de tekentafel. Maar met succes: het spreekwoordelijke dak ging eraf en prompt werden we op het podium uitgenodigd om het congres van volgend jaar te openen. In Las Vegas. Een betere plek voor magie is er bijna niet zou ik zeggen.

En hoewel de ITAM wereld in Europa en in de VS vanzelfsprekend grote gelijkenissen vertoont merkten wij gaandeweg het congres ook wel wat verschillen. Ten eerste – althans dat was onze indruk – lijkt het algemene ‘ITAM maturity level’ wat lager te liggen dan wat we hier gewend zijn, zeker bij wat kleinere organisaties. Met klein bedoelen we dan organisaties met minder dan 5.000 werkplekken – want alles in Amerika is groter natuurlijk. Ook leeft zoiets als de ISO19770 standaard eigenlijk vrijwel niet, althans niet onder de bezoekers van het IAITAM congres, laat staan certificeren in de standaard. Wat ten tweede opviel is de algemene opvatting over de relatie met vendors, en in het verlengde daarvan het standpunt van de gemiddelde bezoeker ten opzichte van audits. Dat zien ze daar over het algemeen als iets waar je nu eenmaal mee te ‘dealen’ hebt en onlosmakelijk deel van het ITAM-werk. Ik denk – en hoop – dat we daar in Nederland toch anders naar kijken.

Het mechanisme van de licentie audit, de license verification, de friendly review of hoe je het ook noemt is in mijn ogen slechts één onderdeel van het wederzijdse vertrouwensvraagstuk. Kan de vendor erop vertrouwen dat wij ons houden aan de licentieovereenkomst, daar komt het in de basis op neer. Maar kan het vaststellen van wederzijds vertrouwen ook anders? En is een audit nu echt een middel dat op de lange termijn aan dat vertrouwen – en daarmee de onderlinge relatie – bijdraagt? Mijn ervaring is vrij nadrukkelijk van niet…

Er zijn veel betere – en logischere – manieren om aan dat vertrouwen en de relatie te werken. Neem nu die ISO standaard voor ITAM. Een organisatie die zich daaraan conformeert en zich er zelfs in laat certificeren geeft denk ik naar de buitenwereld een krachtig signaal af dat het met ‘compliance’ en daarmee dus naleving van licentieovereenkomsten meer dan goed zit. Zeker als het ITAM maturity level dusdanig hoog is dat een organisatie met het volste vertrouwen transparant kan zijn naar een vendor toe. Met het adopteren van een hoog ITAM-maturity niveau verdwijnt de noodzaak voor audits in mijn ogen volledig – of dat nu op geleide van die ISO standaard is of door een ander best practice framework toe te passen. Dat maturity level moet je dan uiteraard wel eerst bereiken, en daar heb je als organisatie tijd voor nodig. Tijd die schaars is en die je dus vooral niet moet spenderen aan audits. Beetje kip en ei wellicht, maar de uitkomst is er niet minder om. Voordat je die maturiteit in de breedte bereikt betekent dat dus dat enige doortastendheid en assertiviteit ten aanzien van audits gepast is. Je kan een vendor prima uitleggen dat in het kader van het scheppen van wederzijds vertrouwen en de geruststelling dat het met de licentiepositie wel goed zit een audit (zeker door een derde partij die geen onderdeel uitmaakt van de eigenlijke overeenkomst) een onwenselijke afleiding vormt. Die de ‘normal business operations’ verstoort, nota bene precies zoals dat in de meeste licentieovereenkomsten wordt genoemd als onwenselijk. Kortom, enige doortastendheid en assertiviteit aan de dag leggen als je wordt ‘uitgenodigd’ voor een audit werkt goed en heeft uiteindelijk voordelen voor beide partijen. Ik heb dat in het verleden weleens de Liam Neeson-aanpak genoemd. Ik weet niet wie je bent, ik weet niet wat je wilt, maar ik heb een heel bijzondere skillset. Hier valt niets te halen.

Iedereen heeft zo zijn talenten. Brandon kan ITAM-onderwerpen illustreren met goocheltrucs. Ik kan citeren uit Hollywood-films en weet daar bij benadering ook nog het goede stemmetje of de juiste intonatie bij aan te houden. Op het IAITAM congres kwam dat in ieder geval goed over, afgaande op de reactie van het publiek. De parallel met ‘I have a very particular set of skills’ is overigens met nog veel meer ITAM-onderwerpen te trekken. We weten iets van cybersecurity, van Identity & Access Management, van Patch, Vulnerability, Lifecycle en Service Management en van geld. Nadrukkelijk is ook duurzaamheid en het milieu de laatste jaren een ITAM-topic. Bijvoorbeeld het zorgvuldig afvoeren van hardware aan het einde van de levenscyclus. Of efficiënter omgaan met energie, door workloads uit het eigen datacenter onder te brengen in de relatief veel zuinigere cloud. Ja, zelfs doordat we allemaal op een hoger ITAM maturity level gaan acteren waardoor audits tot het verleden gaan behoren heeft een positief milieueffect. Dan kunnen al die auditors mooi bomen gaan planten in de tijd die ze besparen.

Zie je? ITAM maakt de wereld mooier én groener.