Inleiding

Het blijkt voor organisaties een lastige klus om het beheer en gebruik van softwarelicenties in overeenstemming te brengen met daarvoor geldende gebruiksvoorwaarden. Of het nu overheidsinstanties, onderwijsinstellingen of grote multinationals betreft, het is kennelijk een grote uitdaging om compliant te zijn voor wat betreft de licentiepositie.

Vooralsnog is hier geen eenduidige oorzaak voor aan te wijzen. Op basis van onze ervaringen met onze SAM-dienstverlening en vanuit inventarisaties die zijn uitgevoerd ([KPMG13a], [KPMG13b]), blijkt dat een veelvoud aan mogelijke oorzaken hieraan ten grondslag kan liggen. Zo kunnen de door de softwareleveranciers opgestelde gebruiksvoorwaarden die aan het gebruik van de software verbonden zijn, complex en onduidelijk zijn. Het gebruik van serversoftware en virtualisatie blijkt een combinatie te zijn die een grote (ongewenste) impact kan hebben. Daarnaast kan het gebeuren dat er geen duidelijkheid bestaat over beschikbare licenties. Dit kan worden veroorzaakt door acquisities, fusies of desinvesteringen, maar bijvoorbeeld ook door aanwezigheid van meerdere afdelingen die zelfstandig bevoegd zijn om licenties in te kopen als gevolg van een onduidelijke (of decentrale) IT-governance. Behalve dat er beperkt zicht is op beschikbare licenties, kan er ook onduidelijkheid bestaan over het gebruik van de software. Ook dit kan weer vele oorzaken hebben. Een onvolledig beeld van de aanwezige hardware leidt ertoe dat geïnstalleerde monitoring tools geen volledig beeld van de software-installaties geven. Ook kan er sprake zijn van agents van monitoring tools die niet geïnstalleerd zijn op alle hardware binnen de organisatie of monitoring tools die niet alle geïnstalleerde software herkennen en dus onvolledig of onjuist rapporteren.

Wanneer een softwareleverancier door middel van een software-audit een licentietekort heeft geconstateerd, dienen de licenties in overeenstemming te worden gebracht met de geïnstalleerde software, vaak ongeacht of deze daadwerkelijk wordt gebruikt binnen de organisatie. Dit kan een aanzienlijke negatieve financiële impact op de organisatie hebben. De kosten die hiermee samenhangen, kunnen oplopen tot enkele honderdduizenden of zelfs miljoenen euro’s. De grootste boosdoener hierbij is vaak het eerdergenoemde gebruik van serversoftware binnen gevirtualiseerde omgevingen.

Naast mogelijke financiële consequenties brengt inadequaat softwarebeheer ook andere risico’s met zich mee. Zo brengt onbeheerde software beveiligingsrisico’s met zich mee. Het installeren van updates en patches vindt namelijk lang niet altijd op geautomatiseerde wijze plaats, waardoor onbeheerde software snel veroudert en zo een potentieel beveiligingsgevaar voor de organisatie vormt.

Wat is Software Asset Management?

Al deze mogelijke gevolgen die het gebruik van software kan hebben, leiden ertoe dat organisaties niet ‘in control’ zijn met betrekking tot software in brede zin. Om aan deze problematiek tegemoet te komen zijn handvatten ontwikkeld om het proces van softwaregebruik wel in goede banen te leiden. Door SAM te implementeren kunnen de hiervoor genoemde problemen worden aangepakt.

Bij softwaregebruik wordt al snel uitsluitend gedacht aan het gebruik hiervan door de eindgebruikers, maar SAM is breder dan dat. Kortgezegd omvat SAM het totale proces rondom het beheer en de optimalisatie van planning, inkoop, implementatie, onderhoud en uitfasering van software. De scherpe lezer herkent hier de verschillende levensfasen in die met softwaregebruik samenhangen. Dit wordt dan ook wel de software lifecycle genoemd. In figuur 1 is het door KPMG ontwikkelde licentiemanagementmodel weergegeven.

Figuur 1. KPMG-licentiemanagement- en software-lifecyclemodel.

De beheersing van de activiteiten binnen de software lifecycle dient uiteindelijk te leiden tot een adequaat (administratief) beheer van de IT-middelen van een organisatie. In zowel ITIL als ISO/IEC 19770-1 wordt aandacht besteed aan de SAM-praktijk. Hierin wordt SAM gekenmerkt door de volgende karakteristieken:

• SAM is een zakelijke werkwijze waarbij zowel technologie, processen als mensen betrokken zijn.
• SAM heeft voornamelijk betrekking op software die de meeste impact heeft op de bedrijfsvoering. Dit houdt concreet in dat gezien de operationele impact SAM zich meer richt op serversoftware dan op software op werkstations.
• Vaak zijn meerdere afdelingen betrokken bij SAM, denk hier bijvoorbeeld aan IT, Juridische Zaken, Financiën, HR en Inkoop. SAM is dan ook een multidisciplinair proces ([BSA15]).
• SAM betreft niet alleen een implementatietraject, maar ook het continu onderhouden hiervan ([Rudd09]).

Waarom Software Asset Management?

Met behulp van SAM kan een drietal doelstellingen worden bereikt: ‘in control’ zijn ten aanzien van kosten, het managen van risico’s gerelateerd aan softwaregebruik en de realisatie van efficiencyvoordelen.

1. Bij ‘in control’ zijn ten aanzien van kosten kan bijvoorbeeld worden gedacht aan een betere onderhandelingspositie die met softwareleveranciers kan worden bewerkstelligd wanneer er een duidelijk beeld is van beschikbare licenties en in gebruik zijnde software. De kans op hernieuwde aanschaf van licenties die de organisatie al bezat en van wellicht ongebruikte licenties, zal dan ook afnemen. Bovendien is de organisatie beter in staat de behoefte aan nieuwe software en onderhoud daarvan te inventariseren.
2. De kans op negatieve financiële gevolgen door een licentiereview wordt eveneens kleiner en dit betekent een beheersing van het risico op een situatie van non-compliance. Een ander risico dat met SAM geminimaliseerd kan worden is het beveiligingsrisico. Met SAM verbetert het versie- en patchmanagement en kunnen onderbrekingen in de bedrijfsvoering voorkomen worden.
3. Ten slotte kan bij de realisatie van efficiencyvoordelen gedacht worden aan kwalitatief betere besluitvorming doordat duidelijk is wat de behoeften zijn op het gebied van softwaregebruik. Verder kan SAM het mogelijk maken om voortvarend nieuwe functionaliteiten uit te rollen, waardoor deze snel in gebruik kunnen worden genomen. Een transparant SAM-proces zorgt ervoor dat overnames en fusies tussen partijen soepeler verlopen en dat een organisatie minder tijd en inspanning kwijt is aan de medewerking bij een software-audit.

Deze voordelen zijn kansen die bij uitstek passen bij de IT-organisatie die zich ontwikkelt en verder professionaliseert. Daarnaast worden organisaties vanuit wet- en regelgeving steeds meer gedwongen om de waarde van hun belangrijkste bedrijfsmiddelen inzichtelijk te maken in het kader van de betrouwbaarheid van hun financiële verslaglegging. Zo is een van de primaire doelstellingen van SOx interne controle waarbij specifiek de nadruk op de beheersing van IT wordt gelegd. ‘In control’ zijn met betrekking tot IT is volgens SOx van cruciaal belang om interne controle te bewerkstelligen ([Wiki15], [Inve15]). In de Nederlandse wetgeving ligt de wettelijke verplichting om ‘in control’ te zijn met betrekking tot softwaremiddelen impliciet verankerd in de accountantsverklaring. Artikel 2:393 van het Burgerlijk Wetboek bepaalt dat de accountant melding dient te maken van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Om een dergelijke uitspraak te kunnen doen is allereerst van belang dat er een overzicht is van de hoeveelheid gebruikte softwaremiddelen binnen een organisatie. Programmatuur die onbekend is en niet beheerd wordt, kan een potentieel beveiligingsrisico vormen en dus van impact zijn op de continuïteit van de IT-omgeving (en dus geautomatiseerde gegevensverwerking). De software wordt dan immers niet voorzien van de nieuwste updates en patches, waardoor deze een risico voor de organisatie vormt ([Geff15]). Nu zal het niet zo’n vaart lopen dat een accountant geen goedkeurende controleverklaring afgeeft bij gebrek aan SAM, maar het geeft het belang hiervan wel aan. Het spreekt natuurlijk voor zich dat iedere organisatie belang heeft bij SAM. Dit vult bij uitstek de verplichting van het bestuur in om de organisatie goed te besturen. Dit is beter bekend als corporate governance.

Een vaak gehoord geluid is dat wanneer gebruik wordt gemaakt van de cloud of een cloudoplossing, de uitdagingen op het gebied van SAM minder groot zijn. Dit is slechts ten dele waar. SAM is juist een kritieke succesfactor als gebruik wordt gemaakt van cloudoplossingen om ervoor te zorgen dat de voordelen van de cloud niet worden overschaduwd door de financiële nadelen bij gebrek aan adequaat SAM.

SAM-methoden onder de loep

In de vakliteratuur zijn diverse methodieken en frameworks beschikbaar die organisaties kunnen helpen om SAM te implementeren. Aan de hand van een analyse van beschikbare frameworks en interviews met experts binnen het vakgebied identificeren we in dit artikel enkele kritieke succesfactoren die binnen een organisatie aanwezig moeten zijn om ‘in control’ te kunnen komen van de gehele software lifecycle. We kijken naar zowel ITIL als ISO/IEC 19770-1. Een derde algemeen geaccepteerd framework is CobiT. Naar onze mening biedt dit echter te weinig houvast met betrekking tot SAM omdat CobiT zich richt op IT-beheersing in algemene zin. Een aantal subdomeinen binnen CobiT heeft wel raakvlakken met SAM, maar CobiT biedt verder weinig concrete handvatten om tot een gefaseerde implementatie te komen.

ISO/IEC 19770-1

ISO/IEC 19770-1 is een erkende standaard voor SAM die zich richt op implementatie van SAM binnen een organisatie aan de hand van vier tiers. Met een conceptueel raamwerk kunnen de doelstellingen van de verschillende tiers worden bereikt. Deze tiers zijn Organizational Management Processes for SAM, Core SAM Processes en Primary Process Interfaces for SAM, die weer kunnen worden onderverdeeld in subcategorieën.

De eerste tier richt zich op het bewerkstelligen van betrouwbare data waarmee de licentiepositie kan worden bepaald. Dit is immers een voorwaarde om de doelstellingen van SAM te kunnen bereiken. Voornamelijk de volledigheid en de juistheid van informatie zijn hierbij belangrijke uitgangspunten. Dit vormt de basis voor de hoogst erkende prioriteit van SAM: licentiecompliance. Tier 1 richt zich primair op het inrichten van processen om softwaremiddelen te kunnen identificeren zodat aan de hand daarvan een licentiepositie kan worden gecreëerd.

Tier 2 richt zich op het praktische management zoals het verbeteren van managementcontrole en voordelen hieruit. Risico’s zijn geïdentificeerd en verantwoordelijkheden hieromtrent toegewezen. Denk hierbij aan verzekeren dat verantwoordelijkheden voor softwaregebruik worden erkend door het bestuur en management van de organisatie. Verder richt tier 2 zich onder meer op het ervoor zorg dragen dat de organisatie beschikt over de juiste SAM-expertise en het onderhouden hiervan. De doelstellingen van tier 2 zijn dan ook tweeledig: het behalen van quick wins en het creëren van een controleomgeving.

In tier 3 wordt SAM geïntegreerd met andere operationele processen binnen de organisatie, waardoor meer effectiviteit en efficiëntie wordt bereikt. De van toepassing zijnde processen richten zich grotendeels op de integratie met overige operationele IT-beheerprocessen die in overeenstemming zijn met andere ISO-normen, zoals ISO/IEC 12207, System and Software Engineering en ISO/IEC 20000, IT Service Management. De nadruk wordt gelegd op de belangrijkste software-lifecycleprocessen, zoals acquisitie, gebruik en uitfasering, en integratie hiervan met andere operationele bedrijfsprocessen.

De laatste tier is bereikt wanneer SAM niet alleen is geïntegreerd in de operationele processen, maar tevens is opgenomen in de strategische planning. SAM voldoet verder aan alle in ISO/IEC 19770-1 gestelde eisen. Zo vindt continu toezicht plaats of de doelstellingen van SAM worden en zijn bereikt en of nog verbetering mogelijk is. Tevens voldoen alle SAM-processen aan de toepasselijke eisen van informatiebeveiliging (zoals neergelegd in ISO/IEC 27001 en voor de praktische aspecten in ISO/IEC 27002).

Figuur 2. ISO/IEC 27001: de vier tiers van SAM.

ITIL

ITIL richt zich op het IT Service Management binnen een organisatie en gaat, in tegenstelling tot ISO, in op de wijze waarop de doelstellingen van SAM gerealiseerd kunnen worden. ITIL benadrukt dat de overkoepelende doelstelling van SAM een goed werkende corporate-governancestructuur is. Aan de hand van een schaalbare en gestructureerde benadering kan dit worden bewerkstelligd. Het ontwikkelen van een duidelijke visie en strategie van het management wordt in ITIL aangemerkt als eerste belangrijke fase. De visie en strategie dienen in lijn te liggen met de algemene doelstellingen. Belangrijk hierbij is dat de risico’s die aan softwaregebruik verbonden zijn, bekend zijn. Daarna dient een algemeen beleid met betrekking tot SAM te worden opgesteld en dient dat binnen de organisatie te worden gecommuniceerd. Het beleid moet periodiek kunnen worden herzien als dit wenselijk wordt geacht naar aanleiding van bijvoorbeeld een uitgevoerde risicoanalyse. Denk hier bijvoorbeeld aan gewijzigde eisen ten aanzien van rapportageverplichtingen richting softwareleveranciers over het gebruik van software binnen een gevirtualiseerde omgeving. Een dergelijke wijziging kan ertoe leiden dat er geen periodieke consolidaties gemaakt dienen te worden tussen beschikbare licenties en het gebruik van software, maar dat dit op continue basis dient plaats te vinden, waardoor aanpassing van het beleid noodzakelijk is. Bovendien zorgt het management ervoor dat personen met verantwoordelijkheden binnen SAM voldoende capaciteiten hebben om deze te kunnen uitvoeren. Verder richt ITIL zich op het ontwikkelen en implementeren van SAM-processen en ‑procedures.

Daarnaast is voor SAM het bewerkstelligen en onderhouden van een managementinfrastructuur waarbinnen SAM-processen kunnen worden geïmplementeerd van belang. Hieronder vallen logistieke processen, relationele processen (met onder andere softwareleveranciers) en asset-managementprocessen die erop gericht zijn software te herkennen en onderhouden. Essentieel is hierbij de SAM-database, die de basis vormt voor een goed functionerend SAM-systeem door te beschikken over volledige en juiste informatie. De SAM-database bestaat behalve uit bijvoorbeeld een CMDB, ook uit andere informatie die nodig is voor SAM, zoals overeenkomsten met softwareleveranciers, toepasselijke licentieregels en toegekende licenties aan bepaalde functies of personen. Nadat SAM is geïmplementeerd, zal er doorlopend onderhoud plaatsvinden aan de SAM-database om de informatie die hierin is opgeslagen in overeenstemming te houden met aanverwante disciplines zoals continuity of operations en capacity management. Regelmatige review en verbetering dient plaats te vinden om efficiency en effectiviteit van SAM-processen te vergroten.

Figuur 3. De principes van SAM (ontleend aan [Rudd09]).

Interviews met SAM-experts

Om te kunnen bepalen welke kritieke succesfactoren binnen een organisatie aanwezig zouden moeten zijn om SAM tot een succes te maken, is niet alleen gekeken naar theoretische frameworks maar ook naar de ervaring van experts binnen het SAM-werkveld. Twee SAM-managers, werkzaam bij een semioverheidsinstelling en een grote financiële instelling, hebben de standaarden en uitgangspunten die in ITIL en ISO/IEC 19770-1 zijn neergelegd, kritisch geëvalueerd. Uit deze evaluatie is onder andere gebleken dat zowel ITIL als ISO/IEC19770-1 te weinig aandacht besteedt aan het cultuuraspect binnen een organisatie. Om de doelstellingen van SAM te kunnen realiseren is meer nodig dan het implementeren van een aantal tools en processen. Het borgen van medewerking en ondersteuning vanuit diverse lagen van de organisatie is van groot belang. Cruciaal is dat de support vanuit zowel het management als betrokken partijen bij de software-lifecyclefasen gehandhaafd blijft. Juiste en volledige informatievoorziening door middel van bijvoorbeeld rapportages of kostendoorbelastingen aan deze betrokkenen kan een belangrijk hulpmiddel zijn om deze betrokkenheid te behouden en bewustzijn te vergroten.

Ten aanzien van processen binnen de software lifecycle is bovendien gebleken dat het creëren van continue traceerbaarheid van assets (‘closed loop’) ertoe bijdraagt dat organisaties ‘in control’ komen van hun software assets. Dit is niet alleen van belang tijdens het gebruik van de software, maar ook bij het uitfaseren en het zorgdragen dat licenties ook weer ingetrokken worden en beschikbaar komen. Mocht integratie niet met alle stadia van de software lifecycle bewerkstelligd zijn, dan is het in ieder geval van belang dat SAM-relevante informatie uiteindelijk wel beschikbaar is. Denk bijvoorbeeld aan uitfasering van een server en het vrijkomen van licenties. Bij voorkeur wordt de licentiepositie van de betreffende software hierop automatisch aangepast. Mocht dit niet mogelijk zijn, dan is het wel van belang dat deze informatie beschikbaar is zodat periodiek een afstemming gemaakt kan worden tussen het softwaregebruik en de beschikbare licenties.

Handvatten ten aanzien van SAM

Kijkend naar ISO/IEC19770-1 kunnen we concluderen dat er voldoende concrete eisen worden gesteld om SAM succesvol te kunnen implementeren. In de norm wordt echter niet ingegaan op de wijze waarop deze eisen gerealiseerd kunnen worden. Hierdoor is het onwaarschijnlijk dat SAM succesvol geïmplementeerd kan worden met behulp van ISO/IEC19770-1 alleen. Door het hanteren van verschillende tiers wordt tegemoetgekomen aan verschillende ambitieniveaus van organisaties. Het nadeel hiervan is dat pas bij het bereiken van de laatste tier alle mogelijke doelstellingen van SAM gerealiseerd kunnen worden. Gezien de hoeveelheid normen behorend bij deze tier, kunnen we vraagtekens plaatsen bij de haalbaarheid hiervan in de praktijk. Als deze tier behaald wordt, is het de vraag of de voordelen opwegen tegen de gemaakte kosten en gedane inspanning. Verder ontbreekt het aan duidelijke meetindicatoren op basis waarvan kan worden vastgesteld dat een bepaald stadium is bereikt. ITIL richt zich meer op het operationeel managementniveau en de wijze waarop SAM geïmplementeerd kan worden. ITIL biedt dan ook concretere handvatten dan ISO/IEC19770-1 voor de implementatie. ITIL maakt aan de hand van een aantal principes gebruik van een schaalbare en gestructureerde benadering. Voor integratie van SAM met overige bedrijfsprocessen wordt echter verwezen naar andere ITIL-modules, zoals Service Strategy, Design, Transition, Operation en Continual Service Improvement. Hierdoor zal een SAM-implementatie meer omvatten dan de normen genoemd in deze specifieke ITIL best practice.

Tien kritieke succesfactoren

Na analyse en gesprekken zijn tien kritieke succesfactoren geïdentificeerd die voor een succesvolle implementatie van SAM kunnen zorgen.

1. Budget

Het besteedbaar bedrag dat beschikbaar wordt gesteld, moet voldoende zijn om de doelstellingen van SAM te kunnen realiseren. Dit budget kan bijvoorbeeld worden aangewend om personeel bij te scholen, SAM-expertise binnen te halen of SAM-tooling aan te schaffen.

2. SAM-technische capaciteiten

De organisatie beschikt over voldoende medewerkers met technische capaciteiten op het gebied van SAM. Zo beschikken functioneel beheerders over kennis van configuraties van de software en zijn zij zich bewust van mogelijke (financiële) implicaties van af te nemen licenties.

3. Licentiekennis

Kennis is beschikbaar ten aanzien van complexe gebruiksvoorwaarden van licenties en wat dit voor het softwaregebruik kan betekenen. De focus ligt op het afnemen van de optimale licentievorm voor de organisatie, waarbij een balans wordt gevonden tussen kosten, gebruiksgemak en beschikbaarheid van de software.

4. SAM-medewerkers

Er zijn voldoende fte’s aanwezig om de gestelde doelstellingen van SAM te kunnen realiseren. Het is niet realistisch om SAM tot een succes te maken door bijvoorbeeld één contractmanager SAM ‘er even bij’ te laten doen. Grote financiële instellingen met aanwezigheid in meerdere landen, maar ook multinationals, hebben meer dan tien fte’s toegewezen aan de SAM-functie.

5. Bewustzijn

Deze kritieke succesfactor betreft het op structurele wijze borgen dat het management en andere betrokken partijen zich bewust zijn van het belang van SAM binnen de organisatie. Fouten zijn menselijk en vinden voornamelijk plaats tijdens de operationele fasen van het SAM-proces. Om deze te minimaliseren dienen betrokken partijen zich bewust te zijn van de waaromvraag achter de toegewezen taken en verantwoordelijkheden. Dit kan bijvoorbeeld door inzicht te verschaffen in licentiekosten, trainingen en procedurebeschrijvingen.

6. Hiërarchie

Het management is in staat en bereidwillig om beslissingen af te dwingen als dit noodzakelijk is voor het realiseren van de doelstellingen van SAM. Een organisatie kan uit veel verschillende silo’s bestaan met eigen doelstellingen en belangen. Soms kan support vanuit het management noodzakelijk zijn om beslissingen te nemen in het belang van SAM.

7. Managementondersteuning

Het management legt mandaten neer in de organisatie en ondersteunt de gemandateerde(n) op structurele basis. Vaak ontstaat sponsorship pas na het ervaren van negatieve financiële gevolgen uit een software-audit.

8. Rapportages

Stakeholders worden op de hoogte gehouden om het bewustzijn van SAM te vergroten en support te behouden. Denk hier niet alleen direct aan licentievraagstukken, maar bijvoorbeeld ook aan IT-beheerders die inzage krijgen of de IT-middelen onder hun verantwoordelijkheid zijn uitgerust met de nieuwste antivirussoftware. Zoals reeds aangehaald kan verouderde (antivirus)software tot beveiligingsissues leiden.

9. SAM-databases

Er zijn binnen de organisatie registraties aanwezig van het gebruik van software, aanwezige hardware en beschikbare licenties. Bij deze verschillende informatiebronnen ligt de focus op juistheid van de informatie en het realiseren van een zo volledig mogelijke dekking binnen de organisatie.

10. Closed loop

Dit betreft de traceerbaarheid van software gedurende de aanwezigheid in de organisatie zodat er nooit hardware aanwezig kan zijn met software waar niemand binnen de organisatie het bestaan van weet.

In figuur 4 hebben wij de tien kritieke succesfactoren gekoppeld aan de verschillende fasen van de software lifecycle. Hier wordt direct zichtbaar dat in iedere fase nagenoeg elke kritieke succesfactor van belang is.

Figuur 4. De tien kritieke succesfactoren gekoppeld aan de software lifecycle.

Samenvatting

Organisaties hebben vaak grote moeite om aantoonbaar compliant te zijn als het gaat om het beheer en gebruik van softwarelicenties. In de vakliteratuur zijn diverse methodieken en frameworks beschikbaar om SAM te implementeren. Aan de hand van een analyse van beschikbare frameworks en interviews met experts kunnen we concluderen dat de beschikbare frameworks alle handvatten bieden voor SAM, maar dat het hanteren van één enkele methodologie waarschijnlijk onvoldoende is om SAM succesvol te kunnen implementeren. Bovendien benadrukten de SAM-experts dat in zowel ITIL als ISO/IEC19770-1 te weinig aandacht wordt besteed aan cultuuraspecten binnen organisaties. Naast duidelijke rollen, verantwoordelijkheden en processen zal er een omgeving moeten worden gecreëerd waarin bewustzijn over de relevantie van SAM bestaat. Denk hierbij bijvoorbeeld aan juiste en volledige informatievoorziening zoals SAM-rapportages, kostendoorbelastingen of anderszins inzicht in de kosten van licenties en softwaregebruik.

Daarnaast zijn op basis van ervaringen tien kritieke succesfactoren geïdentificeerd die binnen een organisatie aanwezig zouden moeten zijn om in control te kunnen komen op het gebied van SAM binnen de gehele software lifecycle.