Samenvatting
Deze sessie geeft praktijk oplossingen en bespreekt software asset management in relatie tot de industrie standaarden als ISO 19770-1 en ITIL. Helaas gingen de vragen uit de zaal vooral over de details van de Novell tool, waardoor het proces bijna niet aan bod is gekomen en de industrie standaarden helemaal niet. Toch is er vanuit COBIT en ISO 27002 een interessante link te leggen tussen asset management en informatiebeveiliging, waar de tool nog niet in voorziet...
Spreker
Christina Chamberlain
Technology Sales Specialist
Novell, Inc.
Analyse
Onafhankelijk van de tool, kan het gehele proces software asset management worden samengevat in de volgende deel activiteiten:
aankopen van software
Het verzamelen van alle aankoop gegevens. Uit deze gegevens wordt afgeleid welke software er 'zou moeten' bestaan in de organisatie. Indien het aankopen van software decentraal is georganiseerd, kan het nog wel eens lastig zijn de juiste informatie te krijgen van alle departementen. Ook de verschillende formaten en interpretatie van de aankoopgegevens veroorzaken problemen.
software inventarisatie
Het handmatig of geautomatiseerd inventariseren van geïnstalleerde software op alle hardware systemen. Deze gegevens geven weer welke software er daadwerkelijk geïnstalleerd is.
licentie beheer
Licenties zijn de koppeling tussen aankopen en daadwerkelijke installaties. Uit een aankoop blijkt een bepaalde licentie, die zeer diverse vormen kan aannemen. (per installatie, CPU, gebruiker, enz.) Aan deze licentie zijn de daadwerkelijke installaties te koppelen, waardoor uiteindelijk blijkt welke software zonder toestemming of zelfs illegaal wordt gebruikt.
Ook het intrekken en opnieuw uitdelen van licenties valt hieronder.
aanleveren van software
Het installeren en toegankelijk maken van de software voor de eindgebruiker.
toewijzen/kosten verrekening
Een IT organisatie berekent (intern of extern) de kosten door aan de afnemende organisatie. Kosten bestaan uit software licenties, maar ook begrote kosten voor de helpdesk of technische werkzaamheden.
Kijkend naar de processen uit Cobit en de controls uit ISO/IEC 27002, zijn processen als patch management en configuratie management sterk gerelateerd of zelfs afhankelijk van software asset management. Configuraties behoren bij software assets, dezelfde assets kunnen ook beveiligingslekken bevatten waarvoor patches worden uitgebracht. Het beheer van software assets houd dus veel meer in dan alleen licenties bijhouden. Bijvoorbeeld: wie is systeem eigenaar? Wie is verantwoordelijk voor de veiligheid van de software? Wie controleert of de aankopen van software pakketten voldoen aan de security requirements die door de organisatie gesteld zijn? Deze zaken zijn niet triviaal te ondersteunen met de tools en bijbehorende documentatie. Vaak zijn dit losse producten die delen van de processen ondersteunen. Technisch zal het vast wel aan elkaar te koppelen zijn, wat nog niet betekent dat een organisatie het goed weet in te bedden in alle processen.
Links
www.iaitam.org - International Association of Information Technology Asset Managers
Abonneren op:
Reacties posten (Atom)
1 opmerking:
Mooie eind analyse :) Patch management en end of life management zal een belangrijk onderdeel van Software Asset Management moeten vormen naar mijn idee...
Marco
Een reactie posten