
Historisch gezien kent de ITAM-congressenkalender wat mij betreft jaarlijks vier hoogtepunten. Heliview IT & SAM (waar ik heb voorgesteld om daar volgend jaar het Heliview ITAM & FinOps congres van te maken), Wisdom EMEA van The ITAM Review in Londen, SAMS Europe (dit jaar in Amsterdam) en IAITAM ACE in de VS (met ruim 1.000 deelnemers qua opkomst verreweg de grootste zover ik weet). Die laatste bezocht ik een paar weken geleden en ik had de eer om daar het congres af te sluiten samen met vriend en mede-vakidioot Brandon Smeets, die eerder dit jaar als ITAM’er pensioneerde en nu fulltime goochelaar is. Onze ‘magische ITAM show’ deden we de afgelopen jaren al menig congres in Europa aan en nu kregen we de kans om ook onze Amerikaanse vakgenoten ervan te laten proeven. In het feit dat het concept ITAM, goocheltrucs en humor in een keynote aldaar een noviteit genoemd mag worden zagen wij een uitdrukkelijk voordeel: we konden grotendeels teren op bestaand materiaal. Alhoewel… vrij kort voordat we naar onze Atlantische buren afreisden hoorden we dat er voor onze sessie vijf kwartier was uitgetrokken, ruim twee meer dan wat we normaal gesproken krijgen, dus dat betekende terug naar de tekentafel. Maar met succes: het spreekwoordelijke dak ging eraf en prompt werden we op het podium uitgenodigd om het congres van volgend jaar te openen. In Las Vegas. Een betere plek voor magie is er bijna niet zou ik zeggen.
En hoewel de ITAM wereld in Europa en in de VS vanzelfsprekend grote gelijkenissen vertoont merkten wij gaandeweg het congres ook wel wat verschillen. Ten eerste – althans dat was onze indruk – lijkt het algemene ‘ITAM maturity level’ wat lager te liggen dan wat we hier gewend zijn, zeker bij wat kleinere organisaties. Met klein bedoelen we dan organisaties met minder dan 5.000 werkplekken – want alles in Amerika is groter natuurlijk. Ook leeft zoiets als de ISO19770 standaard eigenlijk vrijwel niet, althans niet onder de bezoekers van het IAITAM congres, laat staan certificeren in de standaard. Wat ten tweede opviel is de algemene opvatting over de relatie met vendors, en in het verlengde daarvan het standpunt van de gemiddelde bezoeker ten opzichte van audits. Dat zien ze daar over het algemeen als iets waar je nu eenmaal mee te ‘dealen’ hebt en onlosmakelijk deel van het ITAM-werk. Ik denk – en hoop – dat we daar in Nederland toch anders naar kijken.
Het mechanisme van de licentie audit, de license verification, de friendly review of hoe je het ook noemt is in mijn ogen slechts één onderdeel van het wederzijdse vertrouwensvraagstuk. Kan de vendor erop vertrouwen dat wij ons houden aan de licentieovereenkomst, daar komt het in de basis op neer. Maar kan het vaststellen van wederzijds vertrouwen ook anders? En is een audit nu echt een middel dat op de lange termijn aan dat vertrouwen – en daarmee de onderlinge relatie – bijdraagt? Mijn ervaring is vrij nadrukkelijk van niet…
Er zijn veel betere – en logischere – manieren om aan dat vertrouwen en de relatie te werken. Neem nu die ISO standaard voor ITAM. Een organisatie die zich daaraan conformeert en zich er zelfs in laat certificeren geeft denk ik naar de buitenwereld een krachtig signaal af dat het met ‘compliance’ en daarmee dus naleving van licentieovereenkomsten meer dan goed zit. Zeker als het ITAM maturity level dusdanig hoog is dat een organisatie met het volste vertrouwen transparant kan zijn naar een vendor toe. Met het adopteren van een hoog ITAM-maturity niveau verdwijnt de noodzaak voor audits in mijn ogen volledig – of dat nu op geleide van die ISO standaard is of door een ander best practice framework toe te passen. Dat maturity level moet je dan uiteraard wel eerst bereiken, en daar heb je als organisatie tijd voor nodig. Tijd die schaars is en die je dus vooral niet moet spenderen aan audits. Beetje kip en ei wellicht, maar de uitkomst is er niet minder om. Voordat je die maturiteit in de breedte bereikt betekent dat dus dat enige doortastendheid en assertiviteit ten aanzien van audits gepast is. Je kan een vendor prima uitleggen dat in het kader van het scheppen van wederzijds vertrouwen en de geruststelling dat het met de licentiepositie wel goed zit een audit (zeker door een derde partij die geen onderdeel uitmaakt van de eigenlijke overeenkomst) een onwenselijke afleiding vormt. Die de ‘normal business operations’ verstoort, nota bene precies zoals dat in de meeste licentieovereenkomsten wordt genoemd als onwenselijk. Kortom, enige doortastendheid en assertiviteit aan de dag leggen als je wordt ‘uitgenodigd’ voor een audit werkt goed en heeft uiteindelijk voordelen voor beide partijen. Ik heb dat in het verleden weleens de Liam Neeson-aanpak genoemd. Ik weet niet wie je bent, ik weet niet wat je wilt, maar ik heb een heel bijzondere skillset. Hier valt niets te halen.
Iedereen heeft zo zijn talenten. Brandon kan ITAM-onderwerpen illustreren met goocheltrucs. Ik kan citeren uit Hollywood-films en weet daar bij benadering ook nog het goede stemmetje of de juiste intonatie bij aan te houden. Op het IAITAM congres kwam dat in ieder geval goed over, afgaande op de reactie van het publiek. De parallel met ‘I have a very particular set of skills’ is overigens met nog veel meer ITAM-onderwerpen te trekken. We weten iets van cybersecurity, van Identity & Access Management, van Patch, Vulnerability, Lifecycle en Service Management en van geld. Nadrukkelijk is ook duurzaamheid en het milieu de laatste jaren een ITAM-topic. Bijvoorbeeld het zorgvuldig afvoeren van hardware aan het einde van de levenscyclus. Of efficiënter omgaan met energie, door workloads uit het eigen datacenter onder te brengen in de relatief veel zuinigere cloud. Ja, zelfs doordat we allemaal op een hoger ITAM maturity level gaan acteren waardoor audits tot het verleden gaan behoren heeft een positief milieueffect. Dan kunnen al die auditors mooi bomen gaan planten in de tijd die ze besparen.
Zie je? ITAM maakt de wereld mooier én groener.

In de snel veranderende IT-wereld zijn organisaties steeds meer afhankelijk van IT-assets, denk aan computers, laptops, software en mobiele apparaten. IT-assets vormen de ruggengraat van de bedrijfsvoering van veel organisaties. In een tijd waarin ook dreigingen toenemen in de vorm van cybercriminaliteit en gegevenslekken, maakt dit de beveiliging van IT-assets cruciaal.
Eén van de pijlers die organisaties houvast biedt voor de beveiliging van IT-assets is de ISO 27001-standaard; de internationale norm voor informatiebeveiliging. In deze standaard staat het identificeren, beoordelen en beheren van informatiebeveiligingsrisico’s centraal. Middels IT Asset Management kunnen organisaties op een gestructureerde wijze overzicht verkrijgen over de IT-assets die een organisatie bezit. Dit overzicht biedt voor organisaties een belangrijke fundering voor informatiebeveiliging. Op basis hiervan kunnen IT-assets namelijk worden geclassificeerd naar de waarde die ze hebben voor de organisatie, de aan de IT-assets verbonden risico’s kunnen beter worden geïdentificeerd en beoordeeld, en vervolgens stelt dit organisaties in staat om de juiste beveiligingsmaatregelen op te stellen en te implementeren. Dit alles om de beschikbaarheid, vertrouwelijkheid en integriteit van IT-assets en de daaraan verbonden informatie te waarborgen.
Binnen de context van de ISO 27001-standaard fungeert IT Asset Management dus als een onmisbaar instrument voor organisaties om de risico’s met betrekking tot hun IT-assets effectief te beheren. Het biedt een gestructureerde benadering, identificeert beveiligingsgaten, implementeert passende maatregelen en controles en bewaakt wijzigingen om de beveiliging van de IT-assets te waarborgen.
Van 9 t/m 11 mei was Johan West namens The ITAM-Unit aanwezig op de IAITAM Annual Conference and Exhibition (ACE) in Nashville. Het ACE congres is ‘s werelds grootste IAITAM congres waar ITAM professionals van over de hele wereld samenkomen om de nieuwste ontwikkelingen op het gebied van ITAM te bespreken.
Samen met Brandon Smeets heeft Johan een presentatie gegeven tijdens dit IAITAM ACE congres. Een presentatie met humor, magical entertainment, meningen en inzichten over IT Asset Management en de – voor vakgenoten inmiddels niet onbekende – Liam Neeson aanpak.
Wij danken IAITAM het waardevolle en interessante congres en kijken uit naar volgende jaar!


In deze maandelijkse column vergelijken we IT Asset Management en Identity Access Management. We kijken naar hoe deze disciplines elkaar aanvullen, overeenkomen of juist verschillen. Na de afgelopen twee maanden te hebben gekeken naar de complementariteit van ITAM en IAM, richten we onze aandacht in deze column op een van de overeenkomsten tussen beide disciplines: het inzicht waarop ze gebaseerd zijn.
Eigenlijk draaien zowel ITAM als IAM om dezelfde vraag: wie gebruikt wat, waar en wanneer, en hoe kunnen we op basis daarvan verbeteringen aanbrengen? Deze vraag kan zeker bij grote organisaties met duizenden medewerkers en honderden afdelingen voor hoofdbrekens zorgen. Het verkrijgen van inzicht in wie wat, waar en wanneer gebruikt is de basis van zowel ITAM als IAM. Beide disciplines zorgen ervoor dat dit inzicht wordt verkregen, waarna ze verbeteringen binnen de organisatie kunnen doorvoeren. Op basis van dit inzicht richt de IT Asset Manager zich op het minimaliseren van kosten en risico’s, terwijl IAM ervoor zorgt dat de juiste mensen op het juiste moment toegang krijgen tot de juiste informatie. Dit is precies waarom ITAM en IAM een waardevolle combinatie vormen binnen organisaties: één inzicht leidt tot twee verbeteringen.
ITAM Masterclass

Organizer
-
The ITAM-Unit
-
Email
info@the-itam-unit.com
Location
- Online
IAITAM CSAM Training

Organizer
-
The ITAM-Unit
-
Email
info@the-itam-unit.com
Location
- The ITAM-Unit
IAITAM CITAM Training

Organizer
-
The ITAM-Unit
-
Email
info@the-itam-unit.com
Location
- The ITAM-Unit