Oprogramowanie jest dość szczególnym zasobem w firmach. Jest to środek trwały, ale jego śledzenie jest dość trudne. Jeszcze trudniejsze w zastosowaniu są niektóre modele licencjonowania systemów i aplikacji. Tymczasem każda pomyłka lub zaniedbanie może być kosztowne w skutkach. Skala samego zjawiska rośnie bardzo szybko.
Systemy operacyjne oraz aplikacje są niezbędne do pracy dzisiejszych firm. Są wszechobecne i jest ich coraz więcej. Dla typowej firmy, która posiada ok. 1000 komputerów, wartość działającego tam oprogramowania może przekraczać nawet 10 mln euro. Tym oprogramowaniem trzeba umieć zarządzać. Wykorzystywane są do tego coraz częściej narzędzia typu SAM (Software Asset Management). Każdy błąd związany z nieprawidłowym licencjonowaniem skutkuje bowiem albo nadmiernymi kosztami – związanymi np. z zakupem niepotrzebnych licencji – albo problemami natury prawnej i jeszcze większymi kosztami ich rozwiązywania.
W gąszczu stosowanych w firmie aplikacji
Typowa firma dużej wielkości korzysta z aplikacji od różnych dostawców. Dla przedsiębiorstwa zatrudniającego ok. 1000 pracowników możemy mieć do czynienia z ponad 2000 aplikacji od kilkudziesięciu dostawców. Na serwerach i stacjach roboczych zainstalowane jest ponad 100 tys. różnych plików należących do różnych aplikacji. Tymi aplikacjami trzeba będzie zarządzać, aby wiedzieć: gdzie każda z nich jest zainstalowana oraz która z licencji została użyta do danej instalacji. Dopiero porównanie istniejących umów licencyjnych ze stanem rzeczywistym przynosi pełny obraz tego, co naprawdę w firmie zostało zainstalowane.
Ze skomplikowanej natury umów licencyjnych wynika konieczność bardzo dokładnego poznania listy oprogramowania komercyjnego, które w danym przedsiębiorstwie może funkcjonować na podstawie umów licencyjnych.
Aplikacje komercyjne mogą być wykorzystywane na mocy różnych umów licencyjnych, wynikających z różnych programów licencjonowania. Przy rozważaniu właściwego wyboru rozważa się wiele parametrów, w tym np. sposób dystrybucji. Pewną część tych zapisów można negocjować na etapie zakupu oprogramowania. W miarę wzrostu liczby dostawców i różnych umów (w tym osobno negocjowanych), powstaje prawdziwy gąszcz zależności i warunków, na jakich można oprogramowanie wykorzystywać. Przykładowe oprogramowanie Microsoft Office posiada co najmniej 7 wariantów licencjonowania. Wersje Enterprise mają takich wariantów jeszcze więcej. Sprawa staje się jeszcze bardziej skomplikowana, gdy w firmie korzysta się z oprogramowania używanego, odkupionego od innego przedsiębiorstwa. Znaczące ułatwienie dają narzędzia typu SAM.
Wirtualizacja wprowadza kolejne utrudnienia w zarządzaniu licencjami
Wiele umów licencyjnych wprowadza dodatkowe skomplikowanie zasady licencjonowania, jeśli mamy do czynienia z wirtualizacją. Część licencji nie pozwala na stosowanie tej technologii. Inne aplikacje – szczególnie bazy danych – są licencjonowane w taki sposób, że uruchomienie w zwirtualizowanym środowisku wymaga zakupu licencji na większą liczbę instalacji. Jeszcze inne programy wymagają zakupu licencji na konkretne wersje systemu operacyjnego lub systemu wirtualizacji, nawet jeśli funkcjonują poprawnie w innym. Pewna część programów lub systemów może być zwirtualizowana bezpłatnie przy wykorzystaniu z wybranych narzędzi wirtualizacyjnych konkretnego producenta, co z kolei może nakładać ograniczenia na inne aplikacje. Po uwzględnieniu zależności oraz wybranego modelu licencjonowania powstaje lista możliwych instalacji każdej kopii używanego w firmie oprogramowania.
Używane aplikacje oraz oprogramowanie plus usługa
Od kilku lat obserwujemy wzrost zainteresowania sprzedażą i zakupem używanego oprogramowania. W praktyce jednak takie zakupy są obwarowane pewnymi ograniczeniami, co wynika m.in. z wyroku Europejskiego Trybunału Sprawiedliwości (ETS), w sprawie C-128/11 UsedSoft przeciwko Oracle. Użytkownik takiego oprogramowania powinien przede wszystkim upewnić się, czy wszyscy poprzedni użytkownicy usunęli swoje kopie i nie używają ich, a ponadto – ponieważ to na używającym program komputerowy ciąży obowiązek udowodnienia swoich uprawnień do korzystania – powinien wykazać, że rzeczywiście oprogramowanie pochodzi z legalnego źródła. W praktyce oznacza to obowiązek udokumentowania legalności każdego poprzedniego przeniesienia nabywanego programu komputerowego, od pierwotnego zakupu od producenta lub jego autoryzowanego dystrybutora poprzez wszystkich pośrednich użytkowników. Ponadto konkretny program z drugiej ręki powinien być po raz pierwszy wprowadzony na terenie Unii Europejskiej w zamian za stosowne wynagrodzenie. Z kolei według innego wyroku ETS, poprzedni użytkownik nie ma z kolei prawa odsprzedawać swoich kopii zapasowych. Niestety na rynku krąży ogromna liczba produktów, które „udając” oprogramowanie z drugiej ręki, są po prostu pirackim oprogramowaniem, które w ogóle nie spełnia wymogów określonych przez ETS.
Aplikacjami trzeba zarządzać, aby wiedzieć: gdzie każda z nich jest zainstalowana oraz która z licencji została użyta do danej instalacji. Dopiero porównanie istniejących umów licencyjnych ze stanem rzeczywistym przynosi pełny obraz tego, co naprawdę w firmie zostało zainstalowane.
Powszechnie dostępna chmura obliczeniowa sprawia, że firmy coraz częściej korzystają z modelu usługowego. Dostawcy oprogramowania oferują obecnie produkty w połączeniu z różnymi usługami, które uzupełniają funkcjonalność aplikacji instalowanych na firmowych komputerach. W odróżnieniu od licencji kupowanych w tradycyjnym modelu, w momencie rezygnacji z usług chmurowych firma traci również prawo do korzystania z oprogramowania, które było oferowane wraz z tymi usługami.
Przygotowania i przeprowadzenie audytu stosowanego oprogramowania
Ze skomplikowanej natury umów licencyjnych wynika konieczność bardzo dokładnego poznania listy oprogramowania komercyjnego, które w danym przedsiębiorstwie może funkcjonować na podstawie umów licencyjnych. Po sporządzeniu listy – za pomocą odpowiednich narzędzi – analizowane są „zasoby” komputerów pracujących w danym przedsiębiorstwie. W wyniku zestawienia uprawnień wynikających z umów z rzeczywistymi zasobami powstaje lista niezgodności, przy czym istotne są obie strony zagadnienia – zarówno nadmiar, jak i niedostatek licencyjny jest niekorzystny dla przedsiębiorstwa.
Na podstawie wyników audytu przygotowywane są działania korygujące. Część niepotrzebnego oprogramowania – często samodzielnie wgranego przez użytkowników – można odinstalować. Brakujące licencje należy dokupić. Jeśli ten proces przeprowadzi się przed audytem – którego może zażądać dostawca oprogramowania – brakujące licencje da się dokupić po korzystnych stawkach. Firma może te stawki z powodzeniem negocjować. Jeśli proces audytu i działań korygujących prowadzi się okresowo i firma wykonuje to poprawnie (lub korzysta z usług specjalizowanych dostawców w tym zakresie), audyt przeprowadzony przez dostawcę oprogramowania nie przyniesie rażących niezgodności.
Analiza stosowanych licencji w praktyce
W ciągu ostatnich lat kilka tysięcy polskich przedsiębiorstw zdecydowało się na przeprowadzenie Software Asset Management (SAM), czyli procesu zarządzania licencjami i oprogramowaniem, według procedur BSA i Microsoft. Jedną z pierwszych firm z sektora ubezpieczeniowego, które zdecydowały się na certyfikację jest Concordia Ubezpieczenia. SAM pozwolił potwierdzić wysokie standardy ubezpieczyciela oraz wypracować nową strategię w obszarze IT. „SAM, czyli zbadanie i wdrożenie odpowiedniego wykorzystania licencji, był dla nas szczególnie ważny z perspektywy przetwarzania wrażliwych danych naszych klientów i upewnienia się, że nie mamy w obszarze compliance żadnych uchybień. Projekt przyniósł również dodatkową wartość dla działu IT” – powiedział Maciej Izmajłow, dyrektor finansowy Concordii Ubezpieczenia.
Zgodnie ze standardem SAM, główna część projektu została przeprowadzona dwuetapowo. Odpowiadała za niego firma Auditoria, jeden z Partnerów Microsoft w obszarze SAM w Polsce. W pierwszej kolejności dokonano inwentaryzacji oprogramowania i dokumentacji licencyjnej oraz zgodności ich użycia. W kolejnej fazie badano stosowane w Concordii procedury zarządzania licencjami oraz oprogramowaniem. Analiza dotyczyła kwestii związanych z bezpieczeństwem, zarządzaniem ryzykiem, compliance oraz poziomem optymalizacji wykorzystywania posiadanych zasobów. Proces udało się zamknąć w 6 tygodni.
Ostatni element procesu stanowi faza doradcza, podczas której omawiane są rekomendacje na przyszłość, uwzględniające zarówno wykorzystanie alternatywnych technologii, jak i rozwiązań kilku dostawców. Wyznaczony zespół brał także udział w szkoleniach z licencjonowania. Proces SAM jest prowadzony w zgodzie z normą ISO/IEC 19770-1:2006 oraz metodami ITIL. „SAM pozwoliły nam poczynić przymiarki do nowej strategii IT oraz lepiej planować ewentualne wydatki w tym obszarze. Przedstawione rekomendacje wskazały nam nowe technologie i rozwiązania licencyjne, np. przeniesienie naszej poczty do chmury, co pozwoliłoby zoptymalizować zarówno budżet działu IT, jak i procesy biznesowe we wszystkich działach firmy” – podsumowuje Maciej Izmajłow.
