3332

»

Bedrijfsproces

IT -architectuur

Enterprise Architecture

Bedrijfsproces

IT-architectuur

Service & Applicatie

Portfolio Management

IT-service portfolio,

Applicatie portfolio

IT Governance, Risk & Compliance

Management

IT-risico’s, Audits

Licentie/So�ware

Asset Admininstratie

So�wareproduct,

Licenties, So�waregebruik

IT Financial Management

IT-budget, Facturen, IT-kosten

Inkoop & Contract

Management

Leverancier,

Inkooporder,

Contract

Document & Kennis

ManagementDocument,

Kennisrecord

CMDBServicemodellen

Configuratie-

gegevens

Interfaces

Identity & Access

Management

Gebruikers- en

toegangsrechten

Service & Security

MonitoringEvent, Vulnerability,

Performance - en capaciteitsgegevens

Investeringsvoorstel

Project, Tijdregistratie

Requirement, Source

code, Build,

Test case,

DefectInvestment /

Project Portfolio

Development Deployment package,

Runbooks

Deployment Service request, Incident,

Probleem, ChangeIT-service Management

IT-administraties met de voornaamste

gegevens die daarin worden bijgehoudenVoor reacties en nieuwe bijdragen van IT-experts: Henk Ester, 070 3046812h.ester@automatise-ringgids.nl

pact op de kosten en kwaliteit van de IT-dienst-verlening. Zonder een goede informatievoor-ziening kan een IT-organisatie niet goed functioneren (zie figuur). Wat zijn de tien be-langrijkste hiaten in de administratie van een IT-organisatie?

1. Geen overzicht van IT-diensten en applicatiesEen van de grootste gebreken van

de huidige IT-administratie is dat er geen volle-dig overzicht is van alle applicaties en IT-dien-sten die aan de business worden aangeboden. Men weet niet hoeveel en welke applicaties er zijn, hoe goed zij aansluiten bij de behoefte van de business, welke investeringen er nodig zijn om de applicaties in stand te houden en welke applicaties eigenlijk uitgezet kunnen worden. En dat terwijl een dergelijke dienstencatalogus en applicatieportfolio het fundament vormen van een optimale IT-dienstverlening.Het is daarom van belang om het portfolio met applicaties en diensten in kaart te brengen. Ver-volgens zal men het IT-portfolio periodiek moe-ten evalueren om te bepalen waar aanpassingen

nodig zijn om beter aan te sluiten bij de wensen van de business of om kosten te besparen door bijvoorbeeld het applicatieportfolio te rationali-seren.

2. Geen zicht op IT-infra-structuur die door een applicatie wordt gebruikt

Een applicatie maakt gebruik van diverse IT-in-frastructuurcomponenten zoals virtuele ser-vers, databases, load balancers en opslagsyste-men. Het is van groot belang dat de CMDB een gedegen overzicht biedt van alle IT-middelen en de daarbij behorende applicaties. Het vastleg-gen van al deze relaties en afhankelijkheden wordt ook wel een servicemodel genoemd. He-laas moet men constateren dat de CMDB in veel

Bij de meeste IT-organisaties is de ad-ministratie van de IT-dienstverle-ning niet op orde. De informatie-voorziening ter ondersteuning van IT-activiteiten is sterk gefragmen-

TIEn tekortkomingen in it-administraties

Op veel IT-afdelingen rammelt de informatievoorziening

Een slechte IT-administratie heeft direct gevolgen voor de kosten en kwaliteit van de

it-dienstverlening. Zonder een goede informatievoorziening kan een it-organisatie niet

functioneren, zegt rob akershoek. Hij bespreekt tien belangrijke hiaten in de administratie

van it-organisaties.door: rob akersHoek

teerd, verspreid over veel IT-managementtools. Denk daarbij aan een CMDB, een projectma-nagementtool, een helpdesksysteem, diverse ontwikkel- en testtools, een documentmanage-mentsysteem, diverse kennisdatabases, een

enterprise-architectuurtool, de licentieadmini-stratie of het inkoop- en contract manage ment-systeem. Vooral de integratie tussen al deze losse administraties laat te wensen over.Een slechte IT-administratie heeft direct im-

gevallen niet adequaat wordt bijgehouden. Zo is het vaak niet bekend welke servers of databases er door een applicatie worden gebruikt. Vaak weet men niet eens hoeveel servers of databa-ses er op het netwerk aangesloten zijn.Het servicemodel is essentieel voor nagenoeg alle IT-processen binnen de IT-organisatie. Bij-voorbeeld in het geval van een verstoring of wij-ziging op een infrastructuurcomponent kan men zodoende de impact bepalen op de betrok-ken IT-dienst of applicatie.Om de relatie tussen applicaties en onderlig-gende infrastructuur bij te houden is het van belang om vooral het aanvraagproces van een nieuwe infrastructuur te standaardiseren. Men dient ervoor te zorgen dat bij het aanvragen van een nieuwe infrastructuur de desbetref-

ITExp

ErT

men weet niet Hoeveel servers er op Het netwerk

Zijn aangesloten

34

ITExp

ErT

»

fende applicatie wordt vermeld. Door het kop-pelen van de dienstencatalogus, het requestma-nagementsysteem en deployment-tools kan de CMDB automatisch worden bijgehouden.

3. Geen inzicht in toegangs-rechten van gebruikersGebruikers hebben een breed scala

aan toegangsrechten om gebruik te maken van bedrijfsapplicaties, bedrijfsgegevens te kunnen raadplegen of toegang te krijgen tot diverse IT-middelen. Bij de meeste IT-organisaties ont-breekt echter het overzicht van alle gebruikers (en hun identities) en de toegekende rechten per applicatie of andere IT-middelen. Gebruikers en hun rechten, ook wel subscriptions genoemd, moeten actief beheerd worden om te zorgen dat men alleen toegang heeft tot bedrijfsapplicaties die men ook daadwerkelijk nodig heeft. Dit is noodzakelijk om bijvoorbeeld de kosten ten aan-zien van licenties onder controle te houden en om te voorkomen dat men ongeautoriseerd toe-gang heeft tot bedrijfsgegevens.Het is van belang dat de IT-organisatie op basis van de IT-dienstencatalogus de toegangsrechten van gebruikers gaat bijhouden. De gebruikers en hun rechten worden gemanaged in een Identity- en Access Management Tool (IAM) dat gekop-peld moet worden aan de CMDB. Aanpassingen van rechten dient plaats te vinden door middel van formele autorisatieverzoeken gebruik ma-kend van een requestmanagementsysteem met daarin de standaarddienstencatalogus. Op basis van goedgekeurde aanvragen worden rechten automatisch aangepast in de daarbij behorende administratie.

4. Geen grip op licenties en gebruik van softwareEen IT-organisatie heeft vele hon-

derden softwarepakketten aangeschaft met een grote variëteit aan licentieovereenkomsten en contractvoorwaarden. Licentiebeheer (of soft-ware asset management) moet zorgen voor de administratie van enerzijds de aangeschafte li-centierechten en anderzijds het meten van het daadwerkelijke gebruik om zodoende ‘software compliance’ en de kosten van software te kun-nen beheersen.Men zal in eerste instantie een inventarisatie moeten uitvoeren van alle softwareproducten en bijbehorende licenties. Vervolgens zal men periodiek tellingen moeten doen om de in ge-bruik zijnde software op basis van afgesproken licentiesmetrieken te meten.

5. Contractadministratie niet gekoppeld met de CMDBEen IT-organisatie heeft een toene-

mend aantal contracten met diverse externe le-veranciers. Denk aan onderhouds- en support-contracten voor software, hardware en diverse cloud-diensten, zoals SAAS. Veelal ontbreekt een volledig overzicht van al deze contracten, de daarbij behorende kosten en gerelateerde infra-structuur, zoals vastgelegd in de CMDB.Als gevolg hiervan heeft men onvoldoende grip op de kosten van deze contracten en prestaties van de leveranciers. Zo worden contracten niet op tijd aangepast of opgezegd en wordt zelfs nog betaald voor diensten die al niet meer in gebruik zijn. Het is dus van belang om alle contracten ac-

tief te managen en te koppelen aan de applica-ties, softwarelicenties en infrastructuurcompo-nenten in de CMDB.

6. Onduidelijkheid over totale IT-kosten per applicatieIT-kosten worden veroorzaakt door

het gebruik van IT-resources. Denk aan perso-neelskosten van IT-medewerkers, licentiekos-ten van software of het gebruik van infrastruc-tuurdiensten, zoals hosting. Deze totale kosten per kostensoort mogen dan wel bekend zijn in de financiële administratie, maar dat levert nog geen kosteninzicht op.De totale IT-kosten per dienst of applicatie zijn totaal niet inzichtelijk. Het is echter wel degelijk van belang om een goed beeld te krijgen van de total-cost-of-ownership (TCO) per applicatie. Al-leen dan is het mogelijk om efficiency te verbe-teren en meer sturing te geven aan het toeken-nen van schaarse IT-middelen. Kostenallocatie dient te gebeuren op basis van het daadwerkelij-ke gebruik van IT-resources, zoals servercapaci-teit, gerelateerde supportcontracten en aantal manuren van betrokken IT-medewerkers. Hier-voor dient een kostenmodel ontwikkeld te wor-den om kosten op basis van gebruik toe te ken-nen aan applicaties. Daarbij is het noodzakelijk om diverse administraties te koppelen, zoals de dienstencatalogus (of portfolio), de CMDB met het servicemodel, tijdregistratie en de financië-le-administratie in het ERP-systeem.

7. Ontbreken van informatie over performance en capaciteitsgebruik

IT-organisaties zijn slecht in staat om de perfor-mance van applicaties vanuit klantperspectief meetbaar te maken en eventuele bottlenecks in capaciteit te identificeren. Men heeft bovendien maar een beperkt zicht op het gebruik en de be-zettingsgraad van beschikbare IT-capaciteit, zo-als CPU, memory en storage. Als gevolg hiervan duurt het te lang om performanceproblemen op te lossen en is er vaak sprake van onbenutte ca-paciteit wat onnodige kosten met zich mee-brengt.IT-organisaties zullen steeds meer aandacht moeten geven aan het meten van capaciteitsge-bruik en performance van applicaties, om zo-doende overcapaciteit te reduceren en beschik-bare capaciteit optimaal uit te nutten. Dit laatste wordt steeds belangrijker aangezien de infra-structuur door cloud-computing steeds flexibe-ler kan worden aangepast. Diverse monitoring-tools zijn nodig om deze capaciteitsgegevens te verzamelen om vervolgens tijdig IT-resources aan te passen aan veranderde gebruikspatronen.

8. Veel tijd kwijt aan zoeken van informatieHet vastleggen van kennis en het

terugvinden van documentatie zijn een terug-kerend probleem bij veel IT-organisaties. Kost-

Rob Akershoek

(Rob.Akershoek@

LogicalisSMC.com) is

IT-managementarchi-

tect bij Logicalis SMC.

Hij is onder meer

werkzaam als IT4IT-

architect bij Shell

(http://www.open-

group.org/IT4IT).

bare tijd van IT-medewerkers gaat verloren bij het terugvinden van de juiste informatie of do-cumentatie, zoals handleidingen, ontwerpdocu-menten of oplossingen voor bekende proble-men. Kennis kan weliswaar worden vastgelegd in een documentmanagementsysteem, zoals MS SharePoint, een Wiki of in meerdere kennis-databases, maar het simpel en snel vinden van informatie blijft een lastige opgave. Documenta-tie is vaak verouderd, op meerdere plekken vast-gelegd en kennis van IT-medewerkers wordt slechts beperkt gedeeld.

9. Geen actueel overzicht van mogelijke IT-risico’s en vulnerabilities

De huidige IT-dienstverlening wordt steeds va-ker geconfronteerd met beveiligingsrisico’s, se-curity events, vulnerabilities, cyberattacks of andere compliancevraagstukken. Eventuele risi-co’s ten aanzien van de IT-dienstverlening moe-ten actief in de gaten gehouden worden. Daarbij dient men steeds sneller te acteren op mogelijke bedreigingen, denk bijvoorbeeld aan het tijdig installeren van noodzakelijke patches of het aanpassen van beveiligingsparameters. Helaas ontbreekt nog vaak een actueel inzicht in moge-lijke vulnerabilities en IT-risico’s. De IT-organi-satie zal een centrale risico-administratie moe-ten bijhouden die gekoppeld is aan de CMDB en IT-dienstenportfolio.

10. Geen zicht op wijzingen in het IT-landschapDagelijks worden veel wijzigin-

gen en aanpassingen doorgevoerd in applicaties en de onderliggende IT-infrastructuur. Denk aan upgrades, het installeren van patches of het uit-voeren van enhancementverzoeken. Meestal ontbreekt er een goed overzicht van welke ver-anderingen er allemaal voor een klant of applica-tie zijn uitgevoerd. Terwijl juist veel problemen veroorzaakt worden door onjuist doorgevoerde veranderingen of het aanbrengen van ongeauto-riseerde wijzigingen. Het is van belang om alle nieuwe ideeën, requirements en andere wijzi-gingsverzoeken in een integrale ‘backlog’ te ma-nagen om zodoende meer sturing te kunnen ge-ven aan het prioriteren en implementeren van wijzigingen.

it-kosten per dienst of applicatie Zijn totaal niet inZicHtelijk