Steeds meer organisaties zijn voor de uitvoering van hun

Transcriptie

1 Methodieken Aandachtspunten voor Software Asset Management: aanvullingen op COBIT en ITIL 6.3 Aandachtspunten voor Software Asset Management: aanvullingen op COBIT en ITIL 333 Steeds meer organisaties zijn voor de uitvoering van hun bedrijfsprocessen afhankelijk van softwarepakketten. Voor deze pakketten moeten licentie- en onderhoudskosten worden betaald aan softwareleveranciers als Microsoft, SAP en Oracle. Maar ze vragen ook de nodige beheerinspanningen van de interne automatiseringsafdeling of de gecontracteerde externe IT-leveranciers. Veel bedrijven hebben moeite met het managen en beheersen van hun software-assets. De opkomst van open source-software maakt SAM nog noodzakelijker. Bedrijven moeten inzicht hebben in de software die zij gebruiken en welke verplichtingen daaruit voortvloeien. Dit artikel belicht de managementaspecten van Software Asset Management (SAM) voor bedrijfsapplicaties. Ook wordt aandacht besteed aan een praktijkonderzoek naar de concrete invulling van SAM bij Philips. Auteurs: Dr. Erik Beulen - Universiteit van Tilburg & Accenture, Drs. Bert Scherrenburg - KPMG Information Risk Management, Drs. Roel Straetemans - Philips Global Information Services ONTWIKKELINGEN Applicatieontwikkeling en applicatiearchitecturen zijn volop in beweging. Software wordt steeds belangrijker voor de bedrijfsvoering: bedrijfsprocessen 'informatiseren'. Medewerkers van bedrijven zijn voor de uitvoering van hun werkzaamheden steeds meer afhankelijk van software. Niet alleen van ondersteunende software zoals kantoorautomatiseringssoftware, maar ook van software die een integraal onderdeel is van de bedrijfsvoering, zoals productiemonitoringsoftware of geografische informatiesystemen. Hierdoor groeit de noodzaak voor het inrichten van Software Asset Management (SAM). Het gebruik van Commercial of the Shelf (COTS) software zoals Microsoft, SAP of Oracle die leveren, groeit ten koste van maatwerksoftware. De doorlooptijden van het implementeren van maatwerksoftware zijn langer, en ook de ontwikkelkosten zijn veel hoger dan de licentie- en onderhoudskosten van COTS-software. Ook het maken van een upgrade van maatwerksoftware vraagt een substantiële inspanning van een bedrijf. Bij COTS-software neemt de leverancier deze inspanningen voor zijn rekening. Toch vraagt ook het implementeren van COTS-sofware veel managementaandacht, en kost de registratie van licenties tijd bij SAM. Ook de (internationale) wet- en regelgeving is aangescherpt. Hierbij gaat het vooral om intellectueel eigendom. De softwareregistratie moet volledig en up-to-date zijn. Veel toolleveranciers ondersteunen bedrijven bij SAM door middel van tools met een registratie- en monitoringfunctionaliteit. Tot slot heeft ook de opkomst van open source-software grote invloed op SAM. Deze software zit allang niet meer in de hobby- 6 IT Service Management best practices, deel 3

2 334 sfeer, ook bedrijven maken er steeds vaker gebruik van. Naast Open Office als alternatief voor de Microsoft Office Suite zijn er ook open source-software alternatieven voor CRM- en ERP-pakketten. Op deze meer bedrijfsmatige softwareapplicaties ligt in dit artikel de nadruk. Bedrijven moeten de verplichtingen die voortvloeien uit het gebruik van open source-software goed registreren. Dit gaat niet alleen om het registeren van het gebruik van een softwarelicentie, maar bijvoorbeeld ook om de verplichting om zelf gemaakte aanpassingen aan de vrije software aan de open source-gemeenschap ter beschikking te stellen. In dit artikel werken we de rol van Software Asset Management binnen COBIT en ITIL nader uit. Naast deze raamwerken speelt de standaard ISO20000 een belangrijke rol binnen SAM. Maar omdat deze anders van aard is en vooral procesgericht, terwijl SAM ook organisatorisch gericht is, besteden we hier geen aandacht aan deze standaard. DEFINITIE VAN SOFTWARE ASSET MANAGEMENT SAM bestaat uit: de infrastructuur en de processen, die noodzakelijk zijn om software-assets effectief te managen, te controleren en het intellectuele eigendom van de softwareleverancier te beschermen gedurende de gehele levencyclus van de software. Na een inventarisatie van de wensen en eisen van de interne gebruikersorganisatie en de op de markt beschikbare softwarepakketten volgt een inkoopbeslissing (procurement). Hierna wordt de software geïmplementeerd en moet deze worden onderhouden (deployment & maintenance). De volgende fase van de softwarelevenscyclus bestaat uit een evaluatie (evaluation). Deze evaluatie leidt tot het verlengen van de licentie (requisition) of tot het uitfaseren van de software (retirement). Het inrichten van SAM brengt een paar belangrijke voordelen met zich mee. Allereerst verschaft het inzicht in de software die wordt gebruikt. Dit voorkomt het gebruik van software zonder dat hier licenties voor zijn aangeschaft of onderhoudskosten voor worden betaald. Ook kunnen door SAM verkregen inzichten worden gebruikt voor de onderhandelingen met softwareleveranciers. SAM levert verder een belangrijke bijdrage aan het transparant maken van de kosten van het softwaregebruik en vergroot het inzicht in de mogelijkheden om de kosten door te belasten aan de eindgebruikers. Zo kan SAM leiden tot een belangrijke kostenbesparing. Ook worden eindgebruikers zo gedwongen om na te denken over welke applicaties echt noodzakelijk zijn voor de uitvoering van hun werkzaamheden. Verder krijgt de interne automatiseringsafdeling bij het identificeren en analyseren van softwareproblemen met SAM een beter inzicht in de onderlinge verbanden en interfaces tussen software. VERANKERING VAN SOFTWARE ASSET MANAGEMENT IN ORGANISATIES IT is een belangrijke bouwsteen geworden voor het efficiënt beheersen van informatiestromen die de economische activiteiten van een bedrijf ondersteunen. Daarom wordt in veel bedrijven tegenwoordig een aparte strategie geformuleerd voor IT. Men probeert daarin antwoord te vinden op de vraag: Welke organisatiestructuur, processen en IT-middelen zijn nodig om ervoor te zorgen dat de IT-organisatie de bedrijfsdoelstellingen op een juiste en zo efficiënt mogelijke manier ondersteunt? SAM is een afgeleide van de IT-strategie die zich bezighoudt met het beheersen van de IT-middelen, en dan specifiek software. Mede door de strenge wetgeving op de juistheid en de volledigheid van financiële rapportage (bijvoorbeeld de Sarbanes-Oxley Act uit 2002) hebben bedrijven vaak een zoge-

3 Methodieken Aandachtspunten voor Software Asset Management: aanvullingen op COBIT en ITIL naamd 'compliance statement' opgenomen in hun IT-strategie. Het nastreven van compliance op het gebied van regelgeving leidt er in de praktijk vaak toe dat informatiebeveiliging extra aandacht krijgt. SAM wordt echter nog steeds beperkt opgepakt. Software-compliance, het rechtmatig en juist gebruik van software waarborgen, zou echter wel degelijk deel uit moeten maken van een complianceprogramma. Vanuit de gebruikersorganisatie is de behoefte aan continuïteit van de productie, handel of dienstverlening de belangrijkste drijfveer voor SAM. Bij het oplossen van incidenten en problemen kan SAM namelijk een belangrijke rol spelen. Dit vereist een duidelijk, gedetailleerd en up-to-date overzicht van de infrastructuur van de IT-omgeving (zowel voor hardware, als de daarop geïnstalleerde software). De complexiteit van de IT-omgeving wordt veroorzaakt door: De verschillende applicatielagen (bijvoorbeeld Unix, Oracle en SAP) waaruit systemen zijn opgebouwd. De integratie van verschillende applicaties (bijvoorbeeld SAP voor productie, PeopleSoft voor HRM). Al het maatwerk in- en bovenop de applicaties. Om incidenten op te lossen en in de toekomst te voorkomen, moet worden gezocht naar de bron van het probleem (Root Cause Analysis). Een duidelijk overzicht van de ITinfrastructuur helpt hierbij, en kan de overlast voor de gebruikersorganisatie tot een minimum beperken. Naast een verbeterde continuïteit, zijn kostenbesparingen op de softwarelicenties, die tegenwoordig een groot deel van de totale ITuitgaven vormen, van groot belang voor de gebruikersorganisatie. Managers moeten zo efficiënt mogelijk werken, en dit heeft ook betrekking op de uitgaven aan IT-middelen. Een mogelijk nadelig effect hiervan kan zijn dat deze managers het soms minder nauw nemen met software-compliance. Daarom is het belangrijk om het toezien op de navolging van een legaal licentiebeleid onder de werknemers en de ondersteunende IT-afdelingen te stimuleren en te belonen. AANDACHTSPUNTEN VOOR DE ORGANISATIE Binnen een organisatie krijgen verschillende afdelingen te maken met software-assets. Bijvoorbeeld door de inkoop van software, maar ook door de registratie, afschrijving, implementatie, en het gebruik en onderhoud ervan. SAM moet daarom niet op één plek in een organisatie plaatsvinden, maar door de hele organisatie heen. De belangrijkste afdelingen die met SAM te maken krijgen zijn: IT-management, de financiële afdeling en de inkoopafdeling. Centrale aansturing over deze afdelingen is echter wel vereist, omdat anders geen duidelijk overzicht kan worden gemaakt van wat nu daadwerkelijk de software-assets zijn. Als er een centraal licentiebureau, systeemintegrators of softwareleveranciers bij het bedrijf betrokken zijn, moeten zij ook bij SAM worden betrokken. De verschillende partijen hebben binnen SAM ieder hun eigen taken en verantwoordelijkheden. Dit kan het beste worden weergegeven met het RACI-model (Responsible, Accountable, Consulted en Informed) zoals weergegeven in tabel 1. De praktijk wijst uit dat SAM vaak spaak loopt door een gebrekkige samenwerking (eilandvorming) tussen de verschillende afdelingen, waarbij verantwoordelijkheden op elkaar worden afgeschoven. Centrale coördinatie speelt dan ook een sleutelrol in SAM. Als er weinig bekendheid is met SAM, en dat komt vaak voor, kan SAM alleen slagen als het vanuit management wordt opgelegd. De assetmanager is hierbij onmisbaar. Deze rol wordt meestal vervuld door iemand van IT-Management, aangezien daar het zwaartepunt van SAM ligt. Desondanks is het belangrijk dat zijn onafhankelijkheid wordt IT Service Management best practices, deel 3

4 336 RACI Responsible Responsible Accountable Responsible Consulted Consulted Informed Informed Afdeling Inkoopafdeling Financiële afdeling IT-management Centraal licentiebureau Systeemintegrators Softwareleverancier Management Gebruikersorganisatie Taken Software-inkoop Contractmanagement Financiële verantwoording Kostenbeheersing en optimalisatie Software-inkoop Softwaredistributie Softwareregistratie Softwaremonitoring Centrale aansturing SAM Herdistributie van gebruikte licenties Controleren op compliance Configuratiedata doorgeven Informatie verschaffen over: Aantal licenties in gebruik Gebruikersrechten daarvan Softwarebeleid bepalen Feedback over gebruik Tabel 1 Taken en verantwoordelijkheden Software Asset Management gewaarborgd omdat hij een overkoepelende functie bekleed, die ook toeziet op processen in andere afdelingen. Afhankelijk van de grootte van de organisatie kan het aantal FTE s worden uitgebreid, bijvoorbeeld voor de aparte functie van financiële assetmanager. Na het aanstellen van deze functie(s) zijn de volgende fasen belangrijk: 1. De huidige stand van zaken inventariseren voor: - Beleid en werkstandaarden, - Tools die momenteel worden gebruikt, - Contractuele softwareverplichtingen. 2. Opstellen van een SAM-strategie en -projectplan. 3. Standaardiseren en communiceren van beleid en werkstandaarden. 4. Volledige audit en inventarisering van alle software-assets. 5. Resultaat van inventarisering vergelijken met de softwarecontracten. 6. Implementatie van (additionele) tools en onderlinge integratie van tools. 7. Het geven van workshops om bewustzijn en verantwoordelijkheid te kweken. 8. Implementatie van een geautomatiseerd monitoringproces. 9. Periodieke audit en bepalen van de effectiviteit van het monitoren. AANDACHTSPUNTEN VOOR DE IMPLEMENTATIE VAN COBIT Voor de invoering van SAM moet het vertrekpunt van de organisatie op het gebied van softwarebeheer worden bepaald. Philips gebruikt voor het meten van de volwassenheid van haar IT-processen de Process Survey Tool (PST), een aangepaste versie van COBIT. Deze tool gebruikt COBIT om de volwassenheid van de belangrijkste processen te meten, en een zelf ontwikkelde methode voor het samenvoegen en kalibreren van de assessmentresultaten. COBIT heeft als voordeel dat het niet is opgesteld vanuit technisch oogpunt en daardoor zeer toegankelijk is voor managers van verschillende afdelingen. COBIT identificeert 34 IT-processen, verdeeld over vier domeinen. De volwassenheid van een proces wordt gemeten op de schaal van 0 tot 5 waarbij 0 staat voor non-existent en 5 voor optimaal. Omdat SAM niet tot een specifiek proces

5 Methodieken Aandachtspunten voor Software Asset Management: aanvullingen op COBIT en ITIL behoort en hier geen kant-en-klare oplossing voor biedt, is gekozen om een samenstelling van COBIT-processen te gebruiken. Het feit dat COBIT al werd gebruikt binnen Philips heeft hier zeker een rol in gespeeld. De volgende stap is het identificeren van de COBITprocessen die voor SAM kunnen worden gebruikt. Hierbij zijn vijf kernprocessen geidentificeerd: 1. Ensure compliance with external requirements - dit proces moet verzekeren dat het bedrijf aan externe eisen voldoet. Het beslaat de gebieden van wetgeving en contracten. Doel is om verplichtingen in deze gebieden te identificeren, analyseren en beheren door het nemen van voldoende maatregelen. Zo loopt de organisatie minder kans dat op een gegeven moment blijkt dat ze niet voldoet aan de externe eisen, en dus non-compliant is. 2. Manage the IT investment - het beheren van de IT-investeringen moet de softwarekosten beheersbaar maken. Dit is een belangrijk onderdeel van SAM. Bij de selectie van software en het licentietype (bijv. concurrent of per processor) moeten efficiëntie en de wensen van de business tegen elkaar worden afgewogen. 3. Identify and allocate costs - het identificeren en toekennen van de kosten. De kosten van IT-resources worden in dit proces beheerd. Om software goed te beheren en de juiste beslissingen over de samenstelling te nemen, moeten de kosten ervan worden geïdentificeerd, geaggregeerd en gerapporteerd aan het management. 4. Manage changes - dit proces heet in ITIL changemanagement en heeft als doel gestructureerd, in fasen, wijzingen door te voeren zonder daarbij de integriteit van de infrastructuur te schaden. Voor SAM is het belangrijk dat alle wijzigingen met betrekking tot software-assets juist worden doorgevoerd en na afloop kunnen worden getraceerd. 5. Manage the configuration - dit proces maakt ook deel uit van ITIL, onder de naam configuratiemanagement. Het is het meest belangrijke proces voor SAM, omdat het alle gegevens registreert ('configuration items') in een CMDB (Configuarion Management Database), en controleert. Dit voorkomt ongeautoriseerde wijzigingen en bevestigd de aanwezigheid van de software, geïnstalleerd of fysiek bewaard op media. Naar aanleiding van het praktijkonderzoek zijn er een aantal best practices voor de implementatie van COBIT gedefinieerd. Tabel 2 geeft een aantal voorbeelden: 337 COBIT-proces Ensure compliance with external requirements Manage the IT investment Identify and allocate costs Manage changes Manage the configuration Voorbeelden van best practices COBIT voor SAM Er moet continu toezicht zijn op softwarecontracten, en eventueel daaruit volgende maatregelen. Dit stelt een organisatie in staat niet alleen te voldoen aan de contractvoorwaarden maar ook te controleren of de leverancier zijn verplichtingen naleeft. Vaak worden relatief kleine uitgaven aan sofwarelicenties niet afgeschreven. Dit leidt er toe dat ze op de operationele hoop worden meegenomen en minder inzichtelijk zijn. Daarom is het aan te raden om alle uitgaven aan software te registeren in de CMDB. Om de consistentie tussen de financiële IST- en SOLL1 -positie te waarborgen is het aan te raden om de CMDB, met daarin informatie over de daadwerkelijk aanwezige softwareassets, te verbinden met de financiële administratie waar de sofwarekosten worden opgevoerd. Naast het opstellen van richtlijnen en werkstandaarden, moeten changes in een systeem worden ingevoerd en gevolgd. Dit is noodzakelijk om de volledigheid en correctheid van de software-assets te kunnen waarborgen. Elk configuratie-item in de CMDB moet een eigenaar hebben, die verantwoordelijk is voor het up-to-date houden en controleren van het betreffende item. Daarnaast moet worden bepaald op welke detailniveau informatie over de software-assets wordt bijgehouden. Tabel 2 Best practices voor Software Asset Management voor de implementatie van COBIT 6 1 De financiële IST-situatie is het huidige budget voor software assets. De financiële SOLL-situatie is het toekomstige budget voor software assets. IT Service Management best practices, deel 3

6 338 AANDACHTSPUNTEN VOOR DE IMPLEMENTATIE VAN ITIL Hoewel ITIL en COBIT beiden als framework voor IT-Governance fungeren, zijn er toch verschillen. Waar COBIT vooral de vraag beantwoordt: 'Wat moet er worden gedaan?' gaat ITIL meer in op de vraag: 'Hoe moet het worden gedaan? ITIL is een procesraamwerk, terwijl COBIT meer een controleraamwerk is. Ook inhoudelijk verschillen beide frameworks. De kern van ITIL bestaat uit servicemanagement, terwijl COBIT op vier peilers is gebouwd: Planning & Organization, Acquisition & Implementation, Delivery & Support en Monitoring. De belangrijkste ITIL-processen voor SAM zijn: changemanagement, configuratiemanagement en releasemanagement: 1. Changemanagement - changes kunnen verschillende oorzaken hebben: als gevolg van een incident of probleem, de release van een nieuwe softwareversie, een wijziging in de technische infrastructuur of een wijziging qua functionaliteit. Changemanagement is een kritiek proces binnen SAM omdat wijzigingen de volledigheid en juistheid van software-assets kunnen verstoren. 2. Releasemanagement - als een change leidt tot een nieuwe softwareversie, krijgen we te maken met releasemanagement. Dit proces gaat over de daadwerkelijke distributie en installatie van nieuwe softwareversies. Hierbij wordt software vrijgegeven uit de Definitive Software Library (DSL). Releasemanagement vind plaats tussen change- en configuratiemanagement. Changemanagement Releasemanagement Configurationmanagement Request for Change Reports and Configurations audit to check environment Asses Change Reports on CI s, areas and parties impacted Approved Change Update CM records Implement Change Post Implementation Review Release and distribute new versions of software Baseline, release software from DSL and update DSL and CM records CMDB DSL Close Change Check all CM records updated END Figuur 1 De belangrijkste ITIL-processen voor Software Asset Management

7 Methodieken Aandachtspunten voor Software Asset Management: aanvullingen op COBIT en ITIL IT-proces Changemanagement Releasemanagement Configuratiemanagement Voorbeelden van best practices ITIL voor SAM Vanwege de grote impact die changes kunnen hebben moet er een formeel proces zijn waarin changes worden gedocumenteerd, gecategoriseerd, geautoriseerd, en gemonitord. Ook moeten er procedures voor prioriteitstelling en noodwijzigingen zijn. De master copies (originelen) van software moeten fysiek beveiligd in de DSL worden opgeslagen en geregistreerd in de CMDB. Alleen geautoriseerde personen mogen toegang krijgen tot de DSL. Er moet zoveel mogelijk gebruik worden gemaakt van de standaard softwarecatelogus in de CMDB, om het samenvoegen van configuration items mogelijk te maken. 339 Tabel 3 Best practices voor Software Asset Management voor de implementatie van ITIL 3. Configuratiemanagement - in dit proces moeten alle IT-assets van een organisatie, inclusief de onderlinge relaties, worden geregistreerd. Dit gebeurt in de CMDB. Een CMDB bevat vaak een standaard softwarecatalogus waarin een (minimum) aantal configuration items zijn voorgedefinieerd. Zoals te zien is in figuur 1, zijn deze processen nauw verweven met elkaar. In aanvulling op de best practices voor COBIT staan in tabel 3 voorbeelden van best practices voor ITIL-processen voor SAM. TOOLS VOOR SOFTWARE ASSET MANAGEMENT Naast de gedefinieerde processen en organisatorische verantwoordelijkheden, zijn er ook tools die SAM kunnen ondersteunen. Voordat deze tools worden ingezet, moeten eerst de processen goed zijn gedefinieerd. Hier hoort ook het opstellen van werkinstructies en het toewijzen van taakverantwoordelijkheden bij. SAM is namelijk voor tachtig procent een organisatie- en procesvraagstuk en voor slechts twintig procent een toolsvraagstuk. Er zijn verschillende soorten tools die in combinatie kunnen worden gebruikt: 1. Servicedesktools - een servicedesktool ondersteunt meestal diverse ITIL-processen en bevat daarnaast een CMDB met informatie over alle hardware en software. Voorbeelden van informatie die de configuration items in de CMDB kunnen bevatten zijn: - algemene informatie over bijvoorbeeld softwareversies - financiële informatie over bijvoorbeeld de kosten van software assets voor een afdeling - historische documentatie, bijvoorbeeld welke wijzigingen zich voorgedaan hebben in het verleden - relaties met andere configuration items, bijvoorbeeld welke software op welke hardware is geïnstalleerd en welke interfaces er zijn met andere software 2. Opslagtools - 'repository tools' richten zich op het consolideren van fysieke, financiële en contractuele informatie, om op centraal niveau informatie te verschaffen. Meestal zit deze functionaliteit ook in servicedesktools. 3. Autodetectie- en inventarisatietools - om een zo accuraat mogelijk overzicht te hebben van de software-assets is het nodig om na te gaan welke software is geïnstalleerd op desktops of servers. Het is zeer tijdrovend om dit handmatig te doen, daarom zijn er tools die dit automatisch kunnen doen via het netwerk. 4. Tools die het licentiegebruik meten - om de optimale hoeveelheid licenties te kunnen bepalen, is het meten van het licentiegebruik belangrijk. Een ingebouwde trendanalyse met behulp van 'metering' of 'usage tools' helpt overbodige licenties of juist een licentietekort voorkomen. In de tabel 4 staat per onderdeel de belangrijkste aanbeveling voor SAM die uit het praktijkonderzoek naar voren is gekomen. 6 IT Service Management best practices, deel 3

8 340 Software Asset Management onderdeel Organisatie Processen Tools Best practices voor Software Asset Management Omdat SAM in meerdere functiegebieden binnen een organisatie plaatsvindt, moet duidelijk worden bepaald waar de eindverantwoordelijkheid ligt. Daar moet een rol worden gecreëerd die SAM centraal aanstuurt en coördineert: de assetmanager. In grote organisaties zijn vaak verschillende IT-organisaties operationeel, op lokaal en op corporate niveau. SAM kan het meest efficiënt door de hele organisatie worden uitgerold als de verschillende IT-afdelingen uniforme processen hanteren. Als verschillende tools worden gebruikt moeten deze op elkaar worden afgestemd. Een repositorytool kan bijvoorbeeld de CMDB vullen met informatie en een discoverytool kan met behulp van de regels van de servicedesktool bepalen welke software niet is geautoriseerd. Tabel 4 Best practices voor Software Asset Management DE INVLOED VAN OPEN SOURCE- SOFTWARE OP SOFTWARE ASSET MANAGEMENT Open source-software is niet alleen sterk in opkomst in Nederland. Landen als China en India zijn de grootste open source-softwarelanden. Bij dergelijke software moet de oorspronkelijke broncode zonder vergoeding beschikbaar blijven voor iedereen. Bedrijven mogen echter wel wijzigingen aanbrengen aan de open source-software zonder dat deze worden verspreid. Afhankelijk van de oorspronkelijke licentie mogen deze wijzigingen zonder broncode en soms zelfs tegen betaling van een gebruikersvergoeding worden aangeboden. Open source-software stelt dus meer eisen aan SAM, want er moeten veel meer kwalitatieve aspecten van de software worden vastgelegd: het aantal licenties, de einddatum, de initiële aanschafkosten en de onderhoudskosten zijn niet voldoende. Ook specifieke afspraken in de licentieovereenkomst moeten worden vastgelegd: Welke vereisten zijn er voor aanpassingen die het bedrijf doet aan de software? Op welk moment verschijnen er nieuwe versies van de open source-software? Dit vraagt om veel meer inhoudelijke softwarekennis, van met name het IT-management. Deze ontwikkelingen raken vooral het changemanagementproces, omdat een keuze voor open source-software leidt tot een groter aantal nieuwe releases. Door de dynamiek waar bedrijven mee worden geconfronteerd bestaat de natuurlijke neiging om aanpassingen in de software door te voeren. Bedrijven kunnen ook zelf bepalen op welke moment er een nieuwe release wordt uitgerold. Bij softwarepakketten bepaalt de softwareleverancier het aantal releases. Dit 'nieuw' type software vraagt ook om aandacht bij het opstellen van de IT-strategie. Is het wenselijk om open source-software mee te nemen in de applicatieportfolio van een bedrijf? Hierbij moet een bedrijf zich vooral de vraag stellen of de licentie voor de open source-software niet te veel beperkingen oplegt. Ook is de beschikbaarheid van specialisten voor het onderhoud en aanpassen van open source-software belangrijk bij het maken van deze afweging. Het aantal beschikbare Linux-specialisten is op dit moment bijvoorbeeld heel klein. Bij het evalueren van de software moeten bedrijven de beschikbaarheid van IT-professionals meenemen in hun beslissing. Toch kiezen veel innovatieve bedrijven zoals Google ervoor om open source-software te adopteren. Naast het kostenvoordeel, draagt het op grote schaal gebruiken van open source-software bij aan het innovatieve imago van een bedrijf. Hiervoor moeten medewerkers van de interne automatiseringsafdeling niet alleen kennis en ervaring opdoen met de geselecteerde open source-

9 Methodieken Aandachtspunten voor Software Asset Management: aanvullingen op COBIT en ITIL software, maar moet ook het management meer sturen op interorganisationele samenwerking. De programmeurs moeten immers nauw gaan samenwerken met de programmeurs van de open source-software. Het doorvoeren van dergelijke veranderingen vraagt veel managementaandacht en doorlooptijd. Bedrijven doen er verstandig aan om eerst een pilotproject te initiëren vóórdat ze op grote schaal open source-software implementeren. De meeste bedrijven kiezen ook niet voor honderd procent open sourcesoftware. Een combinatie van open sourcesoftware en COTS-software reduceert de onzekerheid. aantal licenties, en daarmee de kosten, terug te brengen. Tevens heeft een volledige registratie een positieve invloed op het streven naar compliancy, bijvoorbeeld ten aanzien van de SOX-eisen. Deze informatie kan ook worden gebruikt tijdens onderhandelingen met leveranciers of om de kosten van het softwaregebruik beter door te kunnen belasten aan de eindgebruikers. Door een transparante doorbelasting worden gebruikers zich bewust van de kosten van hun softwaregebruik. Dit kan leiden tot een vermindering van het aantal licenties dat wordt aangevraagd door eindgebruikers, en leidt op termijn tot een kostendaling. 341 Verder is open source-software op dit moment nog een minder voor de hand liggende optie voor bedrijven die grote delen van hun IT-dienstverlening hebben uitbesteed. De mogelijkheden van leveranciers op het ontwikkelen en onderhouden van open source-software zijn in de meeste gevallen erg beperkt. Leveranciers richten zich op de standaardpakketten. Door de sterk groeiende opkomst van open source-software is dit wel aan het veranderen. Niet alleen de gespecialiseerde leveranciers maar ook grote internationale leveranciers zijn bezig om hun mogelijkheden voor open sourcesoftware uit te bouwen. CONCLUSIES In de organisatie is de verantwoordelijkheid voor SAM niet alleen de verantwoordelijkheid van IT-management. Ook de inkoop- en financiële afdeling zijn verantwoordelijk voor SAM. Zij kunnen het IT-management ondersteunen bij het nemen van een rationele beslissing over de vaak substantiële investeringen en kosten die zijn gemoeid met de aanschaf van software. Deze afdelingen kunnen de technische focus van het IT-management neutraliseren. De invloed van open source-software op SAM is groot. Open source-software vraagt om veel inhoudelijke softwarekennis. Daarmee wordt de rol van IT-management bij SAM groter. Ook vraagt open source-software om de vastlegging van veel meer kwalitatieve aspecten van de software. Behalve het vastleggen van het aantal licenties, de einddatum en de kosten van aanschaf en onderhoud, moeten ook specifieke afspraken van de licentieovereenkomst worden vastgelegd. Verder speelt risicoevaluatie en -beheersing een belangrijke rol bij open sourcesoftware. Dr. Erik Beulen is werkzaam voor Accenture als senior manager Application Outsourcing Management en verbonden aan de Universiteit van Tilburg als universitair docent. Drs. Bert Scherrenburg heeft onderzoek gedaan bij Philips Semiconductors op het gebied Software Asset Management. Momenteel is hij werkzaam bij KPMG Information Risk Management. Roel Straetemans is Director Corporate Datacenters bij Philips Global Infrastructure Services. 6 Ook kan het inrichten van SAM leiden tot grote kostenbesparingen. Door het meten en registeren van het softwaregebruik, kunnen er maatregelen worden genomen om het IT Service Management best practices, deel 3

10 342 LITERATUUR Adams, P., Software License Compliance Remains a Problem for Many Companies, Gartner Research Note, 24 March Berkhout, M. e.a., ITIL, Service Support, Office of Governance Commerce, London, Publisher TSO, Bourn, J., Purchasing and Managing Software Licenses, National Audit Office, 2003, available: eports/02-03/ pdf accessed 18 July ITGI, Board briefing on IT Governance, available: ups/itgi3/resources1/board_briefing_on _IT_Governance/26904_Board_Briefing_fi nal.pdf, 2001 accessed: 9 November Marciniak, J. Reifer, D., Software Acquisition Management: managing the acquisition of custom software systems, New York, Publisher Wiley, Pous, V. de, Open source software en politiek, white paper 2004.