ITAM NIEUWSBRIEF

Toen ik mijn carrière in de Software Asset Management-wereld begon (lang geleden, nét voor de introductie van YouTube en Google Maps) was de aanpak van commerciële bedrijven die SAM (en later ITAM) diensten verkochten vooral om ze te positioneren als very nice to have. Ofwel met SAM kun je leuke dingen doen, zoals kosten besparen. Oké, uitsparen dan. Maar toch. Heel waardevol, dat SAM. Niet teveel uitgeven aan software. De jaarlijkse true-up sneller en efficiënter doen. Makkelijker door audits heenkomen. Dat is toch leuk? Als u het niet doet maar uw concurrenten wel, dan hebben die een voordeel. Dat willen we natuurlijk niet.

Inmiddels is het SAM en ITAM vakgebied dusdanig volwassen dat we wat betreft dat nice to have aspect inmiddels wel beter weten, maar toch steekt het af en toe nog de kop op. We geven niet zoveel uit aan software dus een Excelletje is voor ons genoeg, we hebben alles in de cloud, onze reseller houdt bij welke licenties we hebben, we hebben een CMDB. Dus moet dat nou, dat ITAM?

Ja, dat moet.

Bepaal jij dat, Johan? Nee, verreweg de meeste organisaties zijn het bij wet verplicht of hebben het zichzelf impliciet opgelegd. Meestal beiden. Om te beginnen moet iedere juridische entiteit onder Nederlands recht een deugdelijke administratie bijhouden van onder andere de financiën – daar vallen dus ook afschrijvingen op bedrijfsmiddelen (ja, assets) onder en ook terugkerende, niet altijd uit de balans blijkende financiële verplichtingen (softwarecontracten bijvoorbeeld – zeker als daar wat incompliance in kan zitten). Voor NV’s of organisaties onder verscherpt financieel toezicht (banken, verzekeraars) zijn er dan nog extra zwaarwegende verplichtingen rond de voorspelbaarheid van uitgaven en grip op de kostenstructuur. Voor overheidsorganisaties geldt vrijwel hetzelfde en moet daarnaast voor alle uitgaven (waaronder IT) ook nog maximale transparantie aan de dag gelegd kunnen worden. Naast de wettelijke plicht tot zorgvuldige en effectieve besteding van belastinggeld natuurlijk. Dat lukt voor wat betreft IT uitgaven en kosten eigenlijk alleen met volwassen ITAM.

En ‘zelfs’ een overheidsinstelling kan serieus in de problemen komen als de IT-uitgaven niet onder controle zijn. Zie de Birmingham City Council (zeg maar de gemeente Birmingham, de grootste lokale overheidsorganisatie in Engeland) die zichzelf eerder deze maand effectief failliet heeft moeten verklaren. Oorzaak: (onder andere) een softwareproject dat niet 20, maar 120 miljoen euro bleek te hebben gekost? De naam Oracle is daarbij gevallen. Een buitenlands voorbeeld weliswaar, maar toch…

Over verplichtingen gesproken. Gebruikt je organisatie software van derden? Bijvoorbeeld van Microsoft, VMware of IBM? Dan is de kans zeer groot (aan zekerheid grenzend) dat er op enig moment een licentieovereenkomst is geaccepteerd waarin is beloofd om aan volwassen, effectief SAM te doen. De overkoepelende overeenkomst die organisaties met Microsoft moeten tekenen voordat kan worden overgaan tot grootschalig gebruik van hun producten is duidelijk: “Klant zal een administratie bijhouden van het gebruik en de distributie van Microsoft producten”. VMware stelt het nog iets scherper: “Klant zal een accurate administratie aanleggen en bijhouden van het gebruik en de distributie van VMware producten, zodanig dat te allen tijde compliance met de licentievoorwaarden kan worden aangetoond”. IBM doet er nog een schepje bovenop: “De Klant zal voor alle licentieprogramma’s, voor alle vestigingen en voor alle IT omgevingen een administratie aanleggen en bijhouden en ten minste eens per jaar aan IBM beschikbaar stellen een rapport van geïnstalleerde en/of gebruikte IBM producten, gebruikmakend van daarover informatie vergarende en bijhoudende tools en systemen, inclusief ondersteunend bewijs”. Kortom, ben je een organisatie van enig formaat (laten we zeggen met ten minste een paar honderd medewerkers) en gebruik je software van een van deze partijen via een zogenaamd volumelicentiecontract? Dan heb je in feite beloofd om aan SAM te gaan doen. Niet alleen in Excel. En vaker dan één keer per jaar.

Is dat allemaal te soft en onvoldoende ‘sexy’? Maken ze zich in de ‘board room’ druk om andere dingen? Cybersecurity staat daar vast en zeker tussen. Verplichten je klanten je om ISO27001 gecertificeerd te zijn? Of hangt je organisatie het NIST cybersecurity framework of de SANS20/CIS18 aan? Dan speelt ITAM een zeer nadrukkelijke rol. In die laatste twee bijvoorbeeld geldt het hebben van ‘een complete, accurate, courante inventaris van alle (cloud) software en hardware’ zelfs als aanbeveling nummer één. Cruyff zou zeggen: dingen wie je niet weet, ken je niet verdedigen.

Ben je een Nederlandse overheidsorganisatie? Dan is het naleven van de Baseline Informatiebeveiliging Overheid (ofwel de BIO) verplicht. Die zegt onder andere dat er van álle IT middelen een inventaris moet zijn die nauwkeurig, actueel en consistent is. In een organisatie met een paar honderd – of tienduizenden – laptops, servers en virtuele machines is dat met de hand onmogelijk te doen. Ja, dat moet met gespecialiseerde tools. En ja, dat is dus ITAM.

Kortom, ITAM moet, die stelling durf ik altijd aan. Maar is het dan niet ook gewoon waardevol? En leuk?

Ja, dat ook natuurlijk.