Starten met Software Asset Management

Starten met Software Asset Management

22 February 2017 door in Security

Als u zakendoet op internet bent u zich ongetwijfeld uitstekend bewust van de applicatie(s) waar u dit uiteindelijk mee realiseert. De software voor uw webshop, het framework waarop uw applicatie is gebouwd of welke software dan ook die uiteindelijk door uw klanten wordt gebruikt. Misschien gebruikt u standaard software, misschien is de applicatie door uzelf (of speciaal voor u door een externe ontwikkelaar) gebouwd. Wat het geval ook mag zijn, de software die uw primaire bedrijfsproces verzorgt staat u als het goed is zeer helder op het netvlies. U gebruikt daarnaast echter nog meer software. De vraag is echter in hoeverre u hier een compleet beeld van heeft.

Er zijn verschillende redenen waarom het belangrijk is om hier inzicht in te krijgen en grip op te houden. Software Asset Management (SAM), zoals dit heet, is belangrijk en zou onderdeel moeten vormen van het IT-beleid van elke organisatie.

Toegenomen complexiteit door cloudtechnologie

Cyso heeft uiteraard ook te maken met SAM. We mogen het zelfs cruciaal noemen voor onszelf en onze klanten. Als bijvoorbeeld verkeerde licenties van Microsoft SQL Server gebruikt worden, kan dat ernstige impact hebben op het functioneren van diensten en applicaties. Door de jaren heen veranderen licentiemodellen en zijn deze (mede sinds de intrede van cloud platformen) complexer geworden. Fouten kunnen grote (al of niet financiële) gevolgen hebben.


Lees ook: Risico’s met compliance en CI/CD

Wij kunnen ons voorstellen dat niet alle organisaties voldoende doordrongen zijn om werk te maken van SAM. Gelukkig hebben de meeste organisaties niet zelf te maken met de grote complexiteit van hostingplatformen, maar is dit uitbesteed via de hostingprovider. Toch blijft het belangrijk.

De voordelen van SAM

Het hebben en uitvoeren van een SAM beleid levert verschillende voordelen op:

Security

Een goede inventaris betekent meer grip op welke software er op uw systemen actief is. Dat betekent dat het vele malen eenvoudiger wordt om security updates tijdig te installeren en wachtwoorden regelmatig te wijzigen. Denk hier bijvoorbeeld ook aan CMS software op servers zoals WordPress en bijbehorende plug-ins. Het in beeld hebben van uw volledige IT-infrastructuur voorkomt veel nare verrassingen op beveiligingsgebied.

Financieel

SAM is ook essentieel voor compliancy. Ongelicenseerde software (of verlopen licenties) kan illegaal zijn en resulteren in forse boetes in het geval van een software audit. Een actueel, compleet beeld zorgt er daarnaast voor dat u geen overbodige of te dure software heeft. Het effectieve gebruik van software licenties kan hiermee verhoogd worden. Met een compleet beeld van alle software binnen een organisatie is het ook mogelijk om een budget af te geven dat gebaseerd is op echte feiten en cijfers.

Operationeel

Op ongelicenseerde software is het over het algemeen niet mogelijk om officiële support te krijgen. Als er dus problemen met die software zijn, staat u er alleen voor. Als het even tegenzit, kan dat vervelende impact en vertraging opleveren bij de uitrol ervan of in de operatie. Een goed werkend SAM beleid omvat standaardisatie dat zal resulteren in een verhoging van de productiviteit doordat er betere ondersteuning kan worden geleverd. Daarnaast kan het inzicht verschaffen in mogelijke ongewenste afhankelijkheden van belangrijke software die bijvoorbeeld alleen bij een enkele medewerker aanwezig is. Als die collega niet beschikbaar is, wie kan dat betreffende werk dan waarnemen?

Maak een inventaris van systemen en infrastructuur

Genoeg redenen dus om met SAM aan de slag te gaan. Maar hoe te beginnen? Het is verstandig om eerst eens te bekijken wat er allemaal geïnventariseerd moet worden. Maak een overzicht van de apparatuur in uw organisatie: werkstations, laptops en andere systemen in uw lokale kantooromgeving. En vergeet tablets en smartphones niet als die bedrijfsmatig worden gebruikt.

Daarnaast staat er wellicht infrastructuur in het datacenter. Wordt dit allemaal door uw hosting provider bijgehouden en geregeld? Of is dit (al of niet deels) uw eigen verantwoordelijkheid? Als u gebruik maakt van een public cloud omgeving, bent u wellicht zelf verantwoordelijk voor onderhoud en updates. In dat geval zult u die software ook zelf moeten meenemen als onderdeel van uw SAM beleid.

Gebruik de juiste tool

U zult ook een keuze moeten maken voor de juiste tool om de inventaris bij te houden. Voor een kleine organisatie kan dat misschien nog prima in een spreadsheet (voorbeeld). Maar naarmate een organisatie groter wordt, wordt de inzet van een professionele tool steeds verstandiger. Veel toepassingen zijn ook in staat om uw systemen te scannen en zodoende de inventaris (in ieder geval ten dele) te automatiseren.

In het geval van een software audit door uw leveranciers zal het consequent gebruik van een betrouwbare tool een betrouwbaar beeld geven van uw software assets en daarnaast een goede indruk achterlaten en helpen bij het eindoordeel van de auditor.

Creëer draagvlak en betrek de organisatie

SAM raakt alle lagen van een organisatie. Daarom is het ook nodig dat directie en/of management zich erachter scharen en zelf meedraaien. Om SAM succesvol door te voeren is het noodzakelijk dat er draagvlak is binnen de gehele organisatie. Zorg dat er mensen in uw organisatie verantwoordelijk worden gemaakt voor het doorvoeren en de handhaving. Laat deze mensen de mogelijkheid krijgen om de benodigde kennis te vergaren om hun taak goed uit te voeren en richt interne processen in om hun werk zo eenvoudig mogelijk te maken.

Kies een baseline om te beginnen.

Zeker als een organisatie groot is, kan de hoeveelheid bij te houden software snel groeien in volume. Om van het traject een succes te maken is het in eerste instantie van belang dat de basis goed is. Wellicht is het verstandig om met een subset van alle software te beginnen en in iteraties meer toe te voegen. Als de basis namelijk niet goed is, zal het nooit gaan werken. Kijk bij de implementatie naar uw bedrijfsprocessen en kies de voor u meest praktische wijze om SAM hierin te verwerken. En indien mogelijk: automatiseer.

Wellicht is het voor u het beste om te beginnen met (bijvoorbeeld) alleen de in gebruik zijnde Microsoft software. Later voegt u dan antivirus, designsoftware, SaaS toepassingen, web- en applicatieservers, ontwikkeltools en andere toepassingen en componenten toe totdat u uiteindelijk een complete inventaris heeft die onderhouden kan worden.

Software Asset Management Flow Zoals in dit voorbeeld te zien: de interne procedure hoeft in het geheel niet complex te zijn

Controleer regelmatig, zorg voor continuïteit

Als u eenmaal begonnen bent en het beleid heeft uitgezet, geldt zoals voor alle processen dat u deze moet gaan bewaken. Als u slechts eenmalig een implementatie doet en het daarna laat versloffen had u het net zo goed niet kunnen doen. Help uw medewerkers daarom herinneren aan de geldende procedures. Zorg ervoor dat de afgesproken procedures worden uitgevoerd en dat er regelmatig controle plaatsvindt op de naleving ervan.

Als u dit proces binnen uw organisatie op orde hebt kunt u de eerder in dit artikel genoemde voordelen realiseren. Daarnaast voorkomt u verrassingen in het geval van een externe audit.

Dus…zet het ook bij u op de agenda

Wij hopen dat wij u met dit artikel kunnen hebben overtuigen van het nut om werk te maken van Software Asset Management. Het is misschien niet het meest leuke onderdeel van uw bedrijfsvoering, maar door het toch te doen kunt u een hoop risico’s beperken en voordelen behalen.

Wilt u weten of de software en licenties die zich op uw servers bij Cyso bevindt netjes geïnventariseerd is? Neem gerust contact op met uw accountmanager. Wellicht is het de moeite om op de agenda te zetten bij uw volgende serviceoverleg? Passen de licenties nog? Is de afgenomen licentie nog compliant met uw dienstverlening? Heeft u een ander type nodig door veranderingen in de techniek of dienstverlening? Staat er software op uw server die u niet meer gebruikt? Hoe het ook moge zijn; het kan natuurlijk nooit kwaad om het eens te bespreken.


Bel me terug