The ITAM-Unit

ITAM NIEUWSBRIEF

Moet dat nou, dat ITAM?
Johan West
Algemeen directeur The ITAM-Unit

Toen ik mijn carrière in de Software Asset Management-wereld begon (lang geleden, nét voor de introductie van YouTube en Google Maps) was de aanpak van commerciële bedrijven die SAM (en later ITAM) diensten verkochten vooral om ze te positioneren als very nice to have. Ofwel met SAM kun je leuke dingen doen, zoals kosten besparen. Oké, uitsparen dan. Maar toch. Heel waardevol, dat SAM. Niet teveel uitgeven aan software. De jaarlijkse true-up sneller en efficiënter doen. Makkelijker door audits heenkomen. Dat is toch leuk? Als u het niet doet maar uw concurrenten wel, dan hebben die een voordeel. Dat willen we natuurlijk niet.

Inmiddels is het SAM en ITAM vakgebied dusdanig volwassen dat we wat betreft dat nice to have aspect inmiddels wel beter weten, maar toch steekt het af en toe nog de kop op. We geven niet zoveel uit aan software dus een Excelletje is voor ons genoeg, we hebben alles in de cloud, onze reseller houdt bij welke licenties we hebben, we hebben een CMDB. Dus moet dat nou, dat ITAM?

Ja, dat moet.

Bepaal jij dat, Johan? Nee, verreweg de meeste organisaties zijn het bij wet verplicht of hebben het zichzelf impliciet opgelegd. Meestal beiden. Om te beginnen moet iedere juridische entiteit onder Nederlands recht een deugdelijke administratie bijhouden van onder andere de financiën – daar vallen dus ook afschrijvingen op bedrijfsmiddelen (ja, assets) onder en ook terugkerende, niet altijd uit de balans blijkende financiële verplichtingen (softwarecontracten bijvoorbeeld – zeker als daar wat incompliance in kan zitten). Voor NV’s of organisaties onder verscherpt financieel toezicht (banken, verzekeraars) zijn er dan nog extra zwaarwegende verplichtingen rond de voorspelbaarheid van uitgaven en grip op de kostenstructuur. Voor overheidsorganisaties geldt vrijwel hetzelfde en moet daarnaast voor alle uitgaven (waaronder IT) ook nog maximale transparantie aan de dag gelegd kunnen worden. Naast de wettelijke plicht tot zorgvuldige en effectieve besteding van belastinggeld natuurlijk. Dat lukt voor wat betreft IT uitgaven en kosten eigenlijk alleen met volwassen ITAM.

En ‘zelfs’ een overheidsinstelling kan serieus in de problemen komen als de IT-uitgaven niet onder controle zijn. Zie de Birmingham City Council (zeg maar de gemeente Birmingham, de grootste lokale overheidsorganisatie in Engeland) die zichzelf eerder deze maand effectief failliet heeft moeten verklaren. Oorzaak: (onder andere) een softwareproject dat niet 20, maar 120 miljoen euro bleek te hebben gekost? De naam Oracle is daarbij gevallen. Een buitenlands voorbeeld weliswaar, maar toch…

Over verplichtingen gesproken. Gebruikt je organisatie software van derden? Bijvoorbeeld van Microsoft, VMware of IBM? Dan is de kans zeer groot (aan zekerheid grenzend) dat er op enig moment een licentieovereenkomst is geaccepteerd waarin is beloofd om aan volwassen, effectief SAM te doen. De overkoepelende overeenkomst die organisaties met Microsoft moeten tekenen voordat kan worden overgaan tot grootschalig gebruik van hun producten is duidelijk: “Klant zal een administratie bijhouden van het gebruik en de distributie van Microsoft producten”. VMware stelt het nog iets scherper: “Klant zal een accurate administratie aanleggen en bijhouden van het gebruik en de distributie van VMware producten, zodanig dat te allen tijde compliance met de licentievoorwaarden kan worden aangetoond”. IBM doet er nog een schepje bovenop: “De Klant zal voor alle licentieprogramma’s, voor alle vestigingen en voor alle IT omgevingen een administratie aanleggen en bijhouden en ten minste eens per jaar aan IBM beschikbaar stellen een rapport van geïnstalleerde en/of gebruikte IBM producten, gebruikmakend van daarover informatie vergarende en bijhoudende tools en systemen, inclusief ondersteunend bewijs”. Kortom, ben je een organisatie van enig formaat (laten we zeggen met ten minste een paar honderd medewerkers) en gebruik je software van een van deze partijen via een zogenaamd volumelicentiecontract? Dan heb je in feite beloofd om aan SAM te gaan doen. Niet alleen in Excel. En vaker dan één keer per jaar.

Is dat allemaal te soft en onvoldoende ‘sexy’? Maken ze zich in de ‘board room’ druk om andere dingen? Cybersecurity staat daar vast en zeker tussen. Verplichten je klanten je om ISO27001 gecertificeerd te zijn? Of hangt je organisatie het NIST cybersecurity framework of de SANS20/CIS18 aan? Dan speelt ITAM een zeer nadrukkelijke rol. In die laatste twee bijvoorbeeld geldt het hebben van ‘een complete, accurate, courante inventaris van alle (cloud) software en hardware’ zelfs als aanbeveling nummer één. Cruyff zou zeggen: dingen wie je niet weet, ken je niet verdedigen.

Ben je een Nederlandse overheidsorganisatie? Dan is het naleven van de Baseline Informatiebeveiliging Overheid (ofwel de BIO) verplicht. Die zegt onder andere dat er van álle IT middelen een inventaris moet zijn die nauwkeurig, actueel en consistent is. In een organisatie met een paar honderd – of tienduizenden – laptops, servers en virtuele machines is dat met de hand onmogelijk te doen. Ja, dat moet met gespecialiseerde tools. En ja, dat is dus ITAM.

Kortom, ITAM moet, die stelling durf ik altijd aan. Maar is het dan niet ook gewoon waardevol? En leuk?

Ja, dat ook natuurlijk.

ITAM NIEUWS
ITAM & CREDIT RATINGS

IT Asset Management (ITAM) wordt steeds belangrijker voor organisaties en hun kredietwaardigheid, zo stelt krediet-beoordelingsbureau S&P Global Ratings.

Onvoldoende aandacht voor ITAM op het gebied van cybersecurity kan negatieve effecten hebben op de credit rating. In het “Cyber risk insights: IT asset management is central to cyber security” rapport benadrukt S&P dat ITAM cruciaal is voor het proactief managen van kwetsbaarheden, het reageren op cyberincidenten en het minimaliseren van de financiële impact ervan. In het rapport wordt onder andere het Equifax datalek als voorbeeld gegeven waar het ontbreken van ITAM een belangrijke rol speelde.

S&P waarschuwt in het rapport voor blinde vlekken op het gebied van cybersecurity bij het ontbreken van ITAM, wat kan leiden tot verhoogde kwetsbaarheid, compliance problemen en inefficiënte reacties op incidenten. Effectief IT Asset Management gaat verder dan alleen IT-teams binnen de organisatie en vereist samenwerking tussen verschillende disciplines, waaronder IT en security.

Het rapport concludeert dat een robuust ITAM-beleid met expliciete rollen en verantwoordelijkheden van cruciaal belang is om ervoor te zorgen dat organisaties effectief kunnen reageren op de steeds grotere en complexere cyberdreigingen en daarmee hun kredietwaardigheid kunnen beschermen.

EEN ITAM KEY PLAYER

Met trots delen we het mooie nieuws dat The ITAM-Unit in de schijnwerpers staat als een key player in de markt van IT Asset Management!

Het Global Market Report van Market Research Network bespreekt verschillende aspecten binnen de IT Asset Management markt, zoals de belangrijkste ontwikkelingen, groeipotentieel, toekomstige trends en de key players binnen de markt. In deze lijst van key players neemt The ITAM-Unit ditmaal een prominente positie in.

Het is mooi om erkend te worden voor onze passie en ons werk binnen de markt van IT Asset Management.

Contractmanagement en security bieden een waardevolle combinatie die organisaties aanzienlijke voordelen biedt. Hoewel contractmanagement meer gericht is op efficiëntie en compliance, en security op beveiliging, overlappen ze op een aantal essentiële gebieden.

Aan de ene kant speelt security een belangrijke rol binnen de ITAM-subdiscipline contractmanagement. Leverancierscontracten bevatten bedrijfskritische data. Door security naadloos te integreren in contractmanagement, verzeker je dat deze waardevolle informatie uitsluitend toegankelijk is voor geautoriseerde personen om zo potentiële inbreuken te voorkomen.

Daarnaast gaat contractmanagement verder dan enkel administratie; het heeft ook een prominent aandeel in de security. Denk hierbij aan compliance en risicobeheer. Goed contractmanagement garandeert dat de correcte en meest recente versies van software, hardware, en bijbehorende support en onderhoud beschikbaar zijn op het moment dat dit nodig is. Bijgewerkte en goed-onderhouden systemen versterken op hun beurt de digitale weerbaarheid van de hele organisatie.

Kortom, de relatie tussen contractmanagement en security biedt aanzienlijke meerwaarde. Het borgt niet enkel data-integriteit, maar legt tevens de fundering voor voortdurend gebruik van correcte, veilige software en hardware binnen de organisatie. Hierin schuilt niet enkel efficiëntie, maar ook een proactieve beschermingslaag tegen bedreigingen.

VOLGENDE EVEMENTEN
No event found!
No event found!