Odpovědnost za nelegálně získané programy lze přenést na zaměstnance Do popředí zájmu českých firem se poslední dobou dostává softwarový audit. Hlavním přínosem takového rozhodnutí je především snížení nákladů na softwarové licence.
Odpovědnost za nelegálně získané programy lze přenést na zaměstnance
Do popředí zájmu českých firem se poslední dobou dostává softwarový audit. Hlavním přínosem takového rozhodnutí je především snížení nákladů na softwarové licence. Druhým efektem je pak zjednodušení evidence hardwaru i softwaru.
Problém, jak zjistit aktuální počet licencí na software, zajistit jeho evidenci a pravidelnou kontrolu, nastává v okamžiku, kdy máme ve firmě více než cca 15 počítačů. Administrátor je nucen je všechny obcházet. Kontrolovat, zda si uživatelé náhodou nenainstalovali nějaký další nelicencovaný software, atd.
Kdo, s kým a jak
Soukromé organizace nemají na rozdíl od státních povinnost softwarový audit provádět. Státním institucím to nařizuje usnesení vlády čís. 624/01, ve kterém se říká, že instituce státní správy jsou povinny pravidelně provádět kontrolu a soupis softwarových produktů tak, aby nedocházelo k užívání nelegálního softwaru. Ale i soukromým organizacím přinese takový audit mnoho pozitivního. Budete mít kompletní a pravidelně aktualizovaný přehled veškerého softwaru, který na firemní síti máte. Je úplně jedno, jestli máte Windows 98, ME, NT, 2000 nebo XP. Softwary pro audit rozpoznají mnoho těch nejběžnějších programů a utilit. Vypíší vám jejich seznamy a vy si k nim už jenom doplníte počty zakoupených licencí, a tak zamezíte zbytečnému nákupu dalších licencí, pokud někde máte nainstalovaný software, který jedno oddělení firmy nepoužívá, ale někde jinde by se uplatnil. Pro softwarový audit existuje mnoho programů, ale jen málo z nich je skutečně hodných pozornosti. Asi dva nejzajímavější jsou PCinfo od společnosti FairNet Systéme a Audit Pro od Trueconnexion. Oba produkty srovnáme na konci našeho výletu do tajů SW auditů. Mezi další důležité funkce auditovacích nástrojů patří také seznam hardwaru. Oba zmíněné nástroje umí vytvořit seznam hardwaru na jednotlivých strojích na síti, a tak vám dají kompletní přehled o nutných upgradech vašich pracovních stanic. Dají vám také dobrý základ pro plánování nákupů.
Jednoduchost především
Každý auditovací nástroj by měl být jednoduše spustitelný i na síti, kde fungují tisíce počítačů zároveň, bez zbytečně strávených hodin obcházením všech počítačů a instalací. Základním kamenem pro takovouto funkčnost je používání losovacích skriptů při přihlášení uživatele do sítě. Jde o velice jednoduchou proceduru, kdy se do login skriptu vloží dávka pro instalaci klientské části auditovacího softwaru. Zbytek je již automatický proces, kdy se uživatel přihlásí ke svému PC a spustí se automaticky instalace. Zbytek je již rutina - program se nainstaluje a začne administrátorovi hlásit stavy hardwaru a softwaru. Softwarový audit nemá pozitivní stránky jen pro administrátora, ale také pro finanční oddělení firmy. Pomocí pečlivého vedení seznamů softwaru lze předejít zbytečným nákupům softwaru (když už ho třeba někde máte, ale nepoužíváte), zamezí také ztrátám z nevyužívání multilicencí. Multilicence vám totiž mohou ušetřit někdy až 50 % ceny softwaru a navíc jsou občas výhodnější také z hlediska upgradu. Dalším pozitivním dopadem je cena softwarového auditu provedeného vlastními silami. Existuje řada firem, které vám nabídnou softwarový audit. Povětšinou za něj však zaplatíte balík peněz, ale výsledek bude naprosto shodný s tím, který vám „vyleze“ z některého auditovacího SW. A ještě k tomu většina takových externích auditorů používá naprosto stejné produkty. Velkým pozitivem je také diskrétnost celé operace, pokud si ji provádíte vlastními silami - riziko zneužití získaných informací je minimální a záleží jen na důvěryhodnosti člověka pověřeného softwarový audit provést. Použitím nástroje pro softwarový audit lze také ušetřit čas IT manažera při plánování přechodu na nové verze programů a operačních systémů. Jednoduše se podívá do sestav a zjistí, co je potřeba a zda-li je to vůbec z hlediska výkonu hardwaru možné. To by bylo krátké shrnutí výhod softwarového auditu a nyní se podívejme na oba zmíněné nástroje.
PCinfo
Produkt PCinfo je velice propracovaný, má všechny funkce pro správný chod a je vcelku jednoduchý na ovládání. Jedná se o program o velikosti cca 15 MB pro správce a nějaký ten megabajt pro klienta, tedy velikosti zcela zanedbatelné. Po instalaci vás software uvítá s obrazovkou, kde si můžete zvolit, jakou funkci chcete spustit, a pak již jen čekat na výsledek. Pozoruhodnou funkcí PCinfo je vzdálená správa počítače. Jde o možnost kompletně převzít kontrolu nad uživatelským PC a ovládat ho přes síť, jako byste u něho seděli, a okamžitě tak provádět potřebné změny v konfiguracích, instalovat nové programy a pomáhat uživatelům s ovládáním programu, aniž byste museli opustit kancelář. PCinfo je akreditováno jako nástroj vyhovující Usnesení vlády č. 624/01, lze jej tedy považovat za dostatečný pro všechny potřebné úkony při softwarovém auditu.
Audit Pro
O tomto nástroji už byla v Profitu řeč, proto jen v krátkosti shrneme jednotlivé body. Software je taktéž akreditován stejně jako jeho kolega PCinfo, jeho ovládání je naprosto intuitivní a veškeré úkony provádí zcela sám a téměř bez pomoci. U tohoto softwaru je ohromnou výhodou ukládání dat do SQL databáze, tudíž lze mít několik strojů s verzí programu pro správce bez nutnosti spouštět celý proces pro každého zvlášť - všechna potřebná data jsou brána z centrální databáze nezávislé na správcově stroji.
Závěrem
Když shrneme všechna fakta, která tu zazněla, zjistíme, že softwarový audit je sice výborná věc, ale pouze pro někoho - nemá cenu nakupovat auditování nástroje, pokud máte ve firmě 5 počítačů a na každém z nich maximálně tak operační systém, office a nějaké drobné hry. Ale pokud máte alespoň 15 počítačů v síti a používáte mnoho rozličného softwaru, uvažujte o zavedení pravidelných softwarových auditů. Možná zjistíte, kolik lze ušetřit při správném plánování nákupů softwaru. A drobnost na konec - oba představené produkty vám umožní vytisknout formulář se seznamem licencovaného softwaru na jednotlivých uživatelských stanicích a předat je uživatelům k podpisu, čímž se administrátor de-facto zbaví odpovědnosti za nelegálně nainstalovaný a používaný software, který si instalují sami uživatelé bez vědomí vedení. Tím se také firma zbaví odpovědnosti při případné kontrole softwarové policie.
Výňatek z Usnesení vlády č. 624/01 o pravidlech, zásadách a způsobu zabezpečování kontroly užívání počítačových programů
(týká se státní správy, ale je velice užitečné ho dodržovat i v soukromém sektoru - jde o soubor skutečně užitečných zásad)
1. Kontroly programového vybavení musí zajistit nalezení všech počítačových programů nainstalovaných na lokálních pevných discích počítače v době jeho testování. Výsledky testování musí být nezávislé na umístění jednotlivých programů na disku, na tom, zda program zapisuje informace do registrů, konfiguračních souborů či jiné lokální registrační databáze, i na tom, zda jsou tyto programy či jejich součásti v okamžiku kontroly počítače aktivní či nikoli.
2. Provádění pravidelných kontrol má být zajištěno vlastními silami v rámci útvaru IT. Systém kontrol musí být zvládnutelný bez nároků na podstatné zvýšení počtu pracovníků.
3. Systém musí umožňovat snadné opakování pravid
elných kontrol ve zvolených časových intervalech. Toto pravidelné opakování nesmí přinášet neúnosně vysoké nároky na hardware, ani na osoby technicky zajišťující kontrolu programového vybavení, ani na uživatele počítače. Pravidelné kontroly musí být zajištěny tak, aby nepřinášely opakované vysoké finanční náklady.
4. Jednoznačná identifikace PC musí být nezávislá na uživateli počítače, na jednotlivých hardwarových komponentách počítače, či síťových nastaveních. Musí být zajištěn jednotný způsob identifikace pro počítače v rámci sítě i pro počítače, které do sítě připojeny nejsou.
5. Systém evidence musí umožňovat jednoduché vyhledání počítače a jeho uživatele. Proto musí systém umožňovat ruční zadání automaticky nezjistitelných údajů, např. jednoznačná identifikace uživatele zodpovědného za konkrétní počítač a jeho zařazení do organizační struktury organizace. Tento uživatel je zodpovědný nejen za programové vybavení nainstalované na svěřeném počítači, ale i za správnost vyplnění identifikačních údajů.
6. Seznam nalezených programů musí být zjištěn zcela bez možnosti ovlivnění uživatelem, či osobou provádějící sběr dat na jednotlivých počítačích. Mezi základní informace o nalezených programech patří zejména výrobce a název programu, verze a počet instalací programu na počítači.
7. Centrální vyhodnocení počtů nainstalovaných programů musí být maximálně automatizované, rychlé a přesné. Souhrnné výsledky musí obsahovat minimálně porovnání počtu nalezených instalací softwarových produktů s počtem oprávněně pořízených licencí a seznam uživatelů vybraného programu. Automatizované zpracování musí mít vazbu na další standardní prostředky sloužící k vyhodnocování strukturovaných dat (tabulkové kalkulátory, také databázové nástroje).
8. Softwarový nástroj k provádění kontrol nesmí neoprávněně nakládat s chráněnými daty.
