Zarządzanie oprogramowaniem możliwe problemy. Auditoria tel

Transkrypt

1 Zarządzanie oprogramowaniem możliwe problemy Auditoria tel

2 Inwentaryzacja zasobów IT Polityka zarządzania oprogramowaniem Narzędzia do zarządzania oprogramowaniem Auditoria tel

3 3 Plan prezentacji 1. Zarządzanie oprogramowaniem Software Assets Management (SAM) 2. Omówienie potencjalnych problemów 3. Omówienie obszarów ryzyka 4. Jak zarządzamy oprogramowaniem 5. Wdrożenie polityki zarządzania oprogramowaniem Działania przedwdrożeniowe Działania wdrożeniowe Kontrola działań poaudytowych oraz powdrożeniowych Strategia działania w przyszłości Zakończenie wdrożenia 6. Korzyści

4 4 Zarządzanie oprogramowaniem Software Assets Management (SAM) zarządzanie oprogramowaniem to proces zapewniający pełną kontrolę nad licencjami, dający pewność że są one wykorzystywane w sposób zgodny z prawem i korzystny dla firmy. W skład SAM wchodzi: dopasowanie zasad licencjonowania do firmy/instytucji; umiejętność rozpoznawania nielicencjonowanego oprogramowania; polityka legalności; polityki zakupów oprogramowania i dystrybucji wewnętrznej; regularna weryfikacja legalności i procedur.

5 5 Potencjalne problemy Naruszanie praw autorskich Korzystanie niezgodne z postanowieniami licencji Instalowanie nielegalnych kopii Ściąganie i rozpowszechnianie plików naruszających prawa autorskie (muzyka, filmy) Brak optymalizacji zakupów Nie korzystanie z optymalnej formy licencjonowania Brak dostatecznej analizy zapotrzebowania na oprogramowanie i sprzęt Brak strategicznego planowania zakupów Brak wyboru odpowiednich dostawców Decentralizacja zakupów Problemy związane z brakiem standaryzacji Problemy komunikacyjne Czasochłonna aktualizacja produktów Zwiększone koszty obsługi informatycznej Brak mobilności pracowników i komputerów pomiędzy poszczególnymi stanowiskami

6 6 Potencjalne problemy Bezpieczeństwo sieci i danych Podatność sieci na wirusy, oprogramowanie szpiegujące i złośliwe Brak możliwości aktualizacji nielegalnego oprogramowania Brak dostępu do pomocy technicznej Problemy z odtworzeniem infrastruktury w przypadku awarii systemu informatycznego Brak odpowiednio wdrożonych procedur Brak określonej odpowiedzialności za nieautoryzowane działania dla pracowników Nieautoryzowane instalacje Decentralizacja zakupów Wyciek danych i oprogramowania Wyższe koszty utrzymania IT

7 7 Konsekwencje Ryzyko prawne odpowiedzialność: prawna finansowa Ryzyko biznesowe: Koszty przestojów Zwiększone koszty obsługi informatycznej Utrata danych Utrata prestiżu Utrata kontraktów i kontrahentów

8 Wdrożenie polityki zarządzania oprogramowaniem minimalizacja ryzyka biznesowego oraz prawnego

9 9 Agenda 1. Jak zarządzamy oprogramowaniem 2. Wdrożenie polityki zarządzania oprogramowaniem Działania przedwdrożeniowe Działania wdrożeniowe Kontrola działań poaudytowych oraz powdrożeniowych Strategia działania w przyszłości Zakończenie wdrożenia 3. Korzyści

10 10 Jak zarządzamy oprogramowaniem 1. Czy wiadomo ile komputerów/laptopów/serwerów jest obecnie używanych w Państwa organizacji? 2. Czy posiadają Państwo licencje na wszystkie programy zainstalowane na komputerach? 3. Czy mają Państwo pewność, że żaden pracownik nie dokonywał nieautoryzowanych kopii oprogramowania? 4. Czy wszystkie programy zainstalowane na komputerach były kupione u wiarygodnych sprzedawców? 5. Czy Państwa organizacja posiada spisane jasne zasady zarządzania licencjami zaaprobowane i wspierane przez kierownictwo najwyższego szczebla?

11 11 Jak zarządzamy oprogramowaniem 6. Czy Państwa organizacja prowadzi rejestr posiadanych programów, urządzeń, licencji? 7. Czy personel odpowiedzialny za przestrzeganie warunków licencji dysponuje specjalistyczną wiedzą na temat zagadnień związanych z nieprawidłowym zarządzaniem licencjami na oprogramowanie? 8. Czy prowadzą Państwo regularne kontrole zgodności ilości zainstalowanego oprogramowania z posiadanymi licencjami?

12 12 Agenda 1. Wdrożenie polityki zarządzania oprogramowaniem Działania przedwdrożeniowe Działania wdrożeniowe Kontrola działań poaudytowych oraz powdrożeniowych Strategia działania w przyszłości Zakończenie wdrożenia 2. Korzyści

13 13 Etapy wdrożenia I ETAP działania przedwdrożeniowe - AUDYT II ETAP weryfikacja i wdrożenie procedur III ETAP weryfikacja działań poaudytowych oraz powdrożeniowych ETAPY WDROŻENIA POLITYKI ZARZĄDZANIA OPROGRAMOWANIEM IV ETAP plan zarządzania w przyszłości

14 14 Co wchodzi w skład audytu 1. Analiza posiadanej infrastruktury, podpisanie dokumentów (umowa, oświadczenie klienta), ustalenie harmonogramu działań. 2. Inwentaryzacja oprogramowania i sprzętu. 3. Zebranie informacji o użytkownikach i od użytkowników. 4. Inwentaryzacja licencji. 5. Konfrontacja danych. 6. Wstępny raport 7. Propozycja planu naprawczego

15 15 Agenda 1. Wdrożenie polityki zarządzania oprogramowaniem Działania przedwdrożeniowe Działania wdrożeniowe Kontrola działań poaudytowych oraz powdrożeniowych Strategia działania w przyszłości Zakończenie wdrożenia 2. Korzyści

16 16 Co wchodzi w skład audytu Umowa o audyt. Analiza posiadanej infrastruktury, przygotowanie się do audytu Inwentaryzacja oprogramowania oraz licencji Wdrożenie programu naprawczego Opracowanie danych oraz przedstawienie raportu poaudytowego WYNIK POZYTYWNY TAK Wdrożenie SAM NIE

17 17 Wstęp do audytu Analiza posiadanej infrastruktury, zapoznanie się z firmą, lokalizacjami Podpisanie umowy Wyznaczenie osób odpowiedzialnych za audyt z obu stron Przygotowanie harmonogramu prac Poinformowanie pracowników o odbywającym się audycie

18 18 Wstęp do audytu Analiza infrastruktury Wyznaczenie osób biorących udział w audycie Harmonogra m prac Podpisanie umowy Informacja dla pracowników

19 19 Inwentaryzacja Oprogramowania Dokumentacji licencyjnej Skanowanie komputerów pod kątem zainstalowanego oprogramowania, posiadanych plików instalacyjnych, multimedialnych oraz konfiguracji sprzętowej Znakowanie komputerów Fotografowanie COA Zebranie informacji o użytkowniku Ankieta satysfakcji, informacje o wykorzystywanym oprogramowaniu Stworzenie bazy posiadanych licencji na oprogramowanie Sprawdzenie atrybutów legalności Spisanie dokumentacji zakupowej faktury Zapoznanie się z protokołami przekazania

20 20 Wstępny raport Analiza danych Wstępny raport poaudytowy Porównanie zainstalowanego oprogramowania z posiadanymi licencjami Przygotowanie raportu poaudytowego Przygotowanie programu naprawczego Informacje o przeprowadzonym audycie Zestawienie sprzętu, licencji oprogramowania Wskazanie nadmiarów, niedoborów oprogramowania Rekomendacja działań Rekomendacja zakupu brakującego oprogramowania Usunięcie zbędnego oprogramowania bez licencji Relokacja niewykorzystanych aplikacji

21 21 Program naprawczy GGWA-SMO Get Genuine Windows Agreement Pełna wersja legalizacyjna Windows w licencjach grupowych skierowana dla klientów (przedsiębiorstwa, instytucje rządowe i akademickie) posiadających: nielegalne/niewłaściwie licencjonowany system operacyjny na posiadanych już komputerach

22 22 Program naprawczy GGWA-SMO Czym się charakteryzuje GGWA? Pełna wersja systemu operacyjnego na podstawie umowy licencjonowania zbiorowego (umowa trwa 2 lata) Możliwość dokupienia SA w ciągu 90 dni Minimalne zamówienie 5 licencji W trakcie obowiązywania umowy można domawiać jednostkowe licencje Prawo do używania wcześniejszych wersji produktu (Vista Business + XP Professional) Atrybutem legalności jest umowa GGWA Nie wolno przenosić licencji jest ona związana ze sprzętem

23 23 Program naprawczy GGWA-SMO Możliwe scenariusze: Firma korzysta z OS zainstalowanego przy użyciu klucza instalacyjnego, który nie jest jego własnością lub który został skradziony Oprogramowanie zostało uzyskane z nieznanego źródła np. z Internetu (prawdopodobieństwo podróbek) Zakup gołych komputerów bez OS a następnie zakup licencji uaktualniających do Windows upgrade w VL Zakup systemu operacyjnego, który nie kwalifikuje się jako podstawa do zakupu Windows up grade w VL

24 24 Program naprawczy GGWA-SMO Jak zamówić? Umowa GGWA-SMO jest dostępna w ramach programu licencjonowania zbiorowego. Można ją zamówić u odsprzedawcy Microsoft. Wymagane jest podanie danych klienta (ale nie ma potrzeby składania podpisu). Należy zamówić co najmniej pięć licencji. Przez okres dwóch lat w ramach umowy można składać ponowne zamówienia.

25 25 Agenda 1. Wdrożenie polityki zarządzania oprogramowaniem Działania przedwdrożeniowe Działania wdrożeniowe Kontrola działań poaudytowych oraz powdrożeniowych Strategia działania w przyszłości Zakończenie wdrożenia 2. Korzyści

26 26 Co wchodzi w skład działań wdrożeniowych 1. Wdrożenie planu naprawczego (60-90 dni) 2. Weryfikacja zasad i procedur pod kątem: Merytorycznym Prawnym Poprawności funkcjonowania Jasności i przejrzystości dla pracowników Bezpieczeństwa systemów 3. Wdrożenie jednolitej polityki zarządzania oprogramowania (Spis procedur zatwierdzony przez dyrekcję firmy i ogłoszony w formie regulaminu lub uchwały, dostępny i przedstawiony wszystkim pracownikom).

27 27 Schemat funkcjonowania zasad i procedur FIRMOWE ZASADY Świadczą o tym, że firma poważnie traktuje Zarządzanie Licencjami PROCEDURY Zapewniają skuteczne wdrożenie i przestrzeganie zasad REJESTR Spis oprogramowania, Spis sprzętu, Spis licencji INWENTARYZACJA AUDYT Pozwala ustalić, że odpowiednie procesy funkcjonują i są wdrożone aby zapewnić aktualność i dokładność rejestrów

28 28 Grupy zasad i procedur Zasady podstawowe: Zasady korzystania z oprogramowania dla pracowników i porozumienie pracodawca - pracownik Wyznaczenie osoby odpowiedzialnej za oprogramowanie oraz sprzęt, a także określenie zakresu jej obowiązków Opracowanie zasad i strategii dotyczących zakupów Zasady dotyczące wprowadzania i obrotu oprogramowaniem i sprzętem w organizacji Zasady sytuacyjne: Zmieniające się w zależności od specyfiki sytuacji np. protokół przekazania sprzętu komputerowego spółce zależnej Odzyskanie programu po awarii systemu operacyjnego

29 29 Zasady korzystania z oprogramowania Co wolno pracownikom, a czego robić nie mogą Jak autoryzować instalację oprogramowania Kto może dokonywać instalacji Informacje o możliwości przeprowadzania wewnętrznych audytów Konsekwencje za nieprzestrzeganie zasad

30 30 Porozumienie pracodawca/pracownik Jest formą prawnego zabezpieczenia interesów klienta. Jako załącznik przedstawiana jest metryka komputera Określenie odpowiedzialności pracownika w związku z nieprzestrzeganiem firmowych procedur

31 31 Osoba odpowiedzialna za oprogramowanie Wyznaczenie osoby/osób odp. za oprogramowanie oraz określenie obowiązków: Wewnętrzny audyt Cykliczna weryfikacja zapotrzebowania na sprzęt i oprogramowanie Aktualizacja oprogramowania Instalacja / Deinstalacja Realizowanie zakupów Gromadzenie i przechowywanie dokumentacji licencyjnej Aktualizacja rejestrów

32 32 Zasady zakupów i dysponowania Wyznaczenie osoby odpowiedzialnej za planowanie i realizację zakupów Określenie autoryzowanych dostawców Weryfikacja zgodności zakupionego oprogramowania z zamówieniem Lista kontrolna wprowadzonego oprogramowania Wyznaczenie miejsca przechowywania dokumentacji Aktualizowanie rejestru Określenie zasad instalacji/ deinstalacji produktu Określenie zasad wycofania oprogramowania oraz sprzętu

33 33 Agenda 1. Wdrożenie polityki zarządzania oprogramowaniem Działania przedwdrożeniowe Działania wdrożeniowe Kontrola działań poaudytowych oraz powdrożeniowych Strategia działania w przyszłości Zakończenie wdrożenia 2. Korzyści

34 34 Kontrola działań powdrożeniowych Weryfikacja wdrożenia programu naprawczego ponowne skanowanie komputerów, uzupełnienie dokumentacji Weryfikacja wdrożonych procedur Szkolenie dla działu IT oraz kierownictwa Przygotowanie metryk komputerów Podpisanie porozumień

35 35 Przygotowanie metryk komputerów Metryka komputera zawiera: Informację o użytkowniku Numer komputera oraz nazwę konfigurację sprzętową lista zainstalowanego oprogramowania Daty serwisowania sprzętu i oprogramowania (Zostaje przedstawiona użytkownikowi do wglądu, stanowi załącznik do porozumienia)

36 36 Agenda 1. Wdrożenie polityki zarządzania oprogramowaniem Działania przedwdrożeniowe Działania wdrożeniowe Kontrola działań poaudytowych oraz powdrożeniowych Strategia działania w przyszłości Zakończenie wdrożenia 2. Korzyści

37 37 Strategia działań w przyszłości Działaj zgodnie z procedurami Monitoruj zapotrzebowanie pracowników Dąż do standaryzacji Trzymaj się centralizacji zakupów Zawsze aktualizuj rejestry Dbaj aby oprogramowanie i rejestr były w bezpiecznym miejscu

38 38 Monitoring IT Monitoring IT - Narzędzia wspomagające zarządzanie zasobami IT: Skuteczna inwentaryzacja Wspomaganie wewnętrznych audytów Monitoring wykorzystania aplikacji Ochrona danych firmowych

39 39 Agenda 1. Wdrożenie polityki zarządzania oprogramowaniem Działania przedwdrożeniowe Działania wdrożeniowe Kontrola działań poaudytowych oraz powdrożeniowych Strategia działania w przyszłości Zakończenie wdrożenia 2. Korzyści

40 40 Raport końcowy oraz certyfikacja Raport poaudytowy Kompletna informacja o posiadanej infrastrukturze IT oraz użytkownikach Ocena stanu faktycznego organizacji Spis dokumentacji, zasad procedur, wzory dokumentów Plan zarządzania oprogramowaniem i zalecenia poaudytowe

41 41 Agenda 1. Wdrożenie polityki zarządzania oprogramowaniem Działania przedwdrożeniowe Działania wdrożeniowe Kontrola działań poaudytowych oraz powdrożeniowych Strategia działania w przyszłości Zakończenie wdrożenia 2. Korzyści

42 42 Korzyści z wdrożenia procedur SAM Oszczędności finansowe Zarządzanie zmianami technicznymi Usprawnienie pracy Uzasadnienie inwestycji Bezpieczeństwo i pewność

43 43 Korzyści z wdrożenia procedur SAM Korzyści natychmiastowe Korzyści długofalowe Legalizacja oprogramowania Uporządkowanie zasobów informatycznych Uporządkowanie kwestii odpowiedzialności Wprowadzenie jasnych zasad korzystania z oprogramowania Łatwiejsze monitorowanie działań pracowników Zwiększenie bezpieczeństwa Oszczędności związane z optymalizacją zakupów Zmniejszenie kosztów obsługi informatycznej Polepszenie komunikacji i wydajności pracowników

44 44 Kontakt: Marcin Wojna Dyrektor Auditoria Zapraszamy do współpracy