Verwacht je komend jaar een audit op de softwarelicenties? Ben je bang dat het aantal licenties dat je hebt afgenomen sterk afwijkt van het feitelijk gebruik van de aangeschafte software? Als je geen zicht hebt op de verhouding tussen de afgenomen en daadwerkelijk gebruikte licenties loopt je onderneming kans op een fikse boete. Ook kunnen de softwarekosten hoger uitvallen dan noodzakelijk is omdat licenties misschien wel afgenomen zijn, maar helemaal niet worden gebruikt. Het proactief beheren van de software-eigendommen is een waardevol proces voor iedere organisatie.
Er zijn diverse oorzaken aan te wijzen waardoor organisaties onnodig kosten maken voor licenties. Zo ontbreekt het organisaties vaak aan een algemene procedure voor het toekennen van applicaties of/en centrale afdeling die verantwoordelijk is voor het beheer van de softwarelicenties. Het gevolg hiervan is dat heel eenvoudig goedkeuring wordt verleend wanneer een medewerker toegang voor een bepaalde applicatie aanvraagt. Of er wordt bij het toekennen van autorisaties een kopie gemaakt van een collega, ook wel ‘voorbeeldgebruiker’ genoemd. Het risico daarvan is dat nieuwe medewerkers zo onterecht en onnodig toegang kunnen krijgen tot bepaalde applicaties en systemen. Daarnaast worden autorisaties vaak niet afgenomen wanneer een medewerker een andere functie krijgt of de organisatie verlaat.
Organisaties proberen dit probleem aan te pakken door licentiemanagers aan te stellen of Software Asset Management (SAM)-tools in te zetten. Echter, zowel de licentiemanager als de SAM-tools werken reactief. De licentiemanager controleert om de zoveel tijd of misschien voorafgaand een audit en stelt daarna pas bij. Met de SAM-tools kan in kaart worden gebracht wat de organisatie in gebruik heeft qua hardware en software. Dit is een mooie inventarisatie, maar is helaas ook reactief. Zou het niet beter zijn om te weten of een medewerker een applicatie echt nodig heeft alvorens toegang wordt verleend en dus kosten voor licenties worden gemaakt?
De oplossing is ook niet de it-afdeling verantwoordelijk maken voor het beheren van de licentiekosten. Deze afdeling heeft namelijk geen idee wat medewerkers daadwerkelijk nodig hebben voor het uitvoeren van hun dagelijkse werkzaamheden. En zij hebben geen zicht op de licentiekosten. Voor hen betekent het toekennen van autorisaties enkel een medewerker lid maken van een bepaalde Active Directory-groep en niet een hap uit het licentiebudget.
Het is mogelijk om proactief de licentiekosten te beheren. Dat kan door precies duidelijk te hebben welke applicaties een medewerker exact nodig heeft, middels Role Based Access (Application) Control. Of door de manager/organisatie centraal te stellen in dit proces in plaats van de it-afdeling, middels Self-Service.
Role Based Access Control (RBAC)
Role Based Access Control (RBAC) is een methode om het autorisatiebeheer binnen een organisatie in te richten. Volgens deze methode worden autorisaties niet op individuele basis toegekend, maar op basis van RBAC-rollen en die rollen zijn weer opgebouwd uit afdeling, functie, locatie en kostenplaats van een medewerker in een organisatie. Een toegekende autorisatie resulteert in licentiekosten en daarom kunnen we misschien wel spreken over Role Based Application Control, oftewel het toekennen van applicaties op basis van de rol/functie binnen de organisatie. Doordat met behulp van RBAC is gedefinieerd ‘wie wat mag en niet mag’ in het netwerk, wordt voorkomen dat medewerkers toegang hebben tot applicaties die zij in hun rol helemaal niet nodig hebben en zo worden dus onnodige licentiekosten voorkomen.
Het startpunt van RBAC is het opstellen van een matrix waarin op basis van functie en/of afdeling wordt aangegeven welke applicaties medewerkers krijgen. Zo’n matrix kan opgesteld worden door het hrm-systeem en netwerk met elkaar te vergelijken. Het resultaat van een dergelijke matching kan zijn dat 90 procent van een bepaalde organisatierol gebruik maakt van een bepaalde applicatie. Op basis van dat gegeven is het logisch om alle (nieuwe) medewerkers in deze rol automatisch alleen toegang tot deze applicatie te geven. Het gaat hier uiteraard om de relatief goedkopere licenties die in hoge volumes worden ingekocht en door een grote groep medewerkers wordt gebruikt, zoals Microsoft Office, Acrobat of antivirus software.
Een ander resultaat van de matching is dat de uitzonderingen naar boven komen. Als bekend is welke applicaties nodig zijn voor een bepaalde organisatierol, is het opvallend wanneer een medewerker in diezelfde rol afwijkende applicaties tot zijn beschikking heeft. De kans is groot dat deze medewerker onnodig licentiekosten verspilt.
Self-service
Sommige medewerkers hebben toegang nodig tot meer unieke (duurdere) software, zoals Visio, Photoshop of SPSS. Deze applicaties gelden niet voor een rol of functie maar worden enkel toegekend aan een individu. Het toekennen van toegang tot deze kostbare applicaties kun je het beste overlaten aan de organisatie zelf. De organisatie weet zelf het beste welke applicaties iemand daadwerkelijk nodig heeft en daarom is het ook logisch om de organisatie zelf verantwoordelijk te maken voor het bewaken van het rechtsgeldig gebruik van deze duurdere software (self-service). In tegenstelling tot de it-afdeling ‘voelt’ de manager de licentiekosten wel, omdat dit doorbelast wordt op zijn kostenplaats en dat maakt de manager bewuster van het onnodig gebruik van licenties.
Self-service kan gefaciliteerd worden via bijvoorbeeld een webportaal, waarmee medewerkers toegang tot applicaties, netwerkshares, functionele mailboxen en distributielijsten kunnen aanvragen. Goedkeuring verloopt op basis van een vastgestelde workflow automatisch via de juiste manager en indien gewenst ook via een licentiemanager.
Managers, systeem- en applicatiebeheerder kunnen vervolgens op een dashboard zien hoe vaak een applicatie door een medewerker is opgestart, het aantal minuten dat een applicatie in gebruik is en het aantal idle-minuten. Daarop kan de manager actie ondernemen. Een applicatie voor een bepaalde gebruiker kan stopgezet worden, wanneer deze de applicatie lange tijd niet actief gebruikt. Of de gebruiker ontvangt een bericht dat hij/zij een applicatie niet actief gebruikt en dus onnodige licentiekosten maakt. Door een interface met een Facility Management systeem of Configuration Management Database (CMDB) te maken is het mogelijk om voor de manager de totale licentiekosten, de toegewezen en de gebruikte applicatie(s) per medewerker in kaart te brengen.
Conclusie
Licentiekosten worden opgebouwd door relatief lagere kosten van bulksoftware en hogere kosten voor software die slechts door een kleinere groep medewerkers in de organisatie wordt gebruikt. Voor het vaststellen van de autorisaties op de bulksoftware is het werken met Role Based Access Controle een prima methode. Voor de relatief duurdere software is het verstandig om de organisatie zelf verantwoordelijk te maken voor het toekennen van autorisaties. Zij hebben een beter idee van de benodigde software en voelen de gemaakte kosten.
Arnout van der Vorst, managing ICT Consultant bij Tools4ever
Met enige verbazing lees ik dit soort berichtgevingen. Licentiebeheer zou normaal gesproken een standaard onderdeel van de keten uitmaken en wanneer het wat uitgebreider zou zijn, zou men er een ietwat uitgebreidere discipline van kunnen maken.
Vaak ziet men dat dit soort zaken het ondergeschoven kind van de keten is waar een heel duur prijskaartje aan kan hangen. Met het afnemen van de kwaliteit van IT professionals, ziet men dat deze kernzaken en taken naar de achtergrond verdwijnen met alle gevolgen van dien.
Zelfs wanneer men deze discipline over zou laten aan de individuele KA werkplek procedureel dan nog is het nog maar de vraag of dit onderdeel prioriteit genoeg kan en zal krijgen.
Zolang er dit soort artikelen verschijnen, dan weet men dat men op het vlak van E2E processen en ketens nog steeds niet op orde is.
Dit artikel vraagt om een reactie van een leverancier van Software Asset Management toepassingen. Bij RBAC voor een Producten & Diensten Portal kan ik mij wel wat voorstellen; ik zie de aanzet voor een praktijk gerichte werkwijze om de business verantwoordelijk te maken voor lusten en lasten van software inzet. Tegelijkertijd komen veel vragen op:
-het voorbeeld gaat uit van een ‘user based’ licentie model
-er zijn tientallen andere licentie modellen die langs deze weg niet worden gemanaged; RBAC is een deeloplossing in een groter geheel
-hoe wordt de relatie gelegd met de actuele licentie voorraad
-hoe wordt geborgd dat licenties kunnen worden hergebruikt
-hoe wordt licentie gebruik gemeten
-hoe worden kosten toegerekend aan divisies,afdelingen,projecten
Ik ben kritisch omdat er standaard Software Asset Management Oplossingen zijn die dit alles in zich hebben. Enterprise SAM van License Dashboard is een goed voorbeeld waarin SAM Director de rol van het selfservice portaal vervult, License Manager het onderliggende licentie beheer uitvoert en Cloud Console het web rapportage interface biedt. Een integrale oplossing voor licentie management uitdagingen die verder grijpt dan een kwalitatief ongetwijfeld goede deeloplossing.