AUDYT - NARZĘDZIE EFEKTYWNEGO ZARZĄDZANIA ZASOBAMI INFORMATYCZNYMI

Transkrypt

1 AUDYT - NARZĘDZIE EFEKTYWNEGO ZARZĄDZANIA ZASOBAMI INFORMATYCZNYMI Streszczenie Krystian Gembala Katedra Informatyki Akademia Ekonomiczna Katowice gembala@ae.katowice.pl Piotr śurowiec Biuro Usług Komputerowych Komplex piotr@komplex.info.pl Nowe koncepcje stanowią organizacyjną podstawę do podjęcia działań zmierzających do informatyzacji nowoczesnego przedsiębiorstwa, co wpływa z podkreślania roli informacji jako bardzo istotnego zasobu. Pomimo wielkich zmian w procesach zarządzania, w których informatyka odgrywa kluczową rolę jest paradoksem, Ŝe zasoby informatyczne są niewłaściwie zarządzane. W większości polskich przedsiębiorstw posiadających infrastrukturę informatyczną moŝna zaobserwować pewne nieprawidłowości lub zupełny brak polityki za-rządzania. Słowa kluczowe: audyt, informatyka, efektywne zarządzanie, narzędzie wspomagania, informacja 1. Wstęp Termin zarządzanie nie jest jednoznacznie rozumiany i definiowany. Interpretuje się go jako kompleks działań słuŝących kierowaniu organizacją. Działania te słuŝą realizacji zadań przedsiębiorstwa, dla których zostało ono powołane, w celu osiągnięcia załoŝonego celu. Według [NIED01] takie podejście do zarządzania, nazywamy funkcjonalnym, poniewaŝ główny nacisk połoŝono w nim na podstawowe funkcje, słuŝące realizacji zadań przedsiębiorstwa 1. Wśród funkcji zarządzania naleŝy wymienić przede wszystkim planowanie, organizowanie i kontrola. Funkcje te wchodzą w zakres działań określanych mianem czynności kierowniczych lub czynności zarządzania, które są podstawą działań menedŝera. 1 p.red. E. Niedzielskiej Informatyka ekonomiczna. WAE Wrocław 2001.

2 54 Teoretyczne podstawy tworzenia SWO i strategie budowy e-biznesu W literaturze dokładnie sklasyfikowano czynności zarządzania, bardzo precyzyjnie skategoryzowano działania menedŝerskie, dlatego w niniejszym referacie nie będą poruszane. Za najistotniejsze czynności, w pracy menedŝera, uwaŝa się role informacyjne. Z nimi związane są takie procesy jak: wprowadzanie, gromadzenie, przechowywanie, przetwarzanie i udostępnianie informacji. Procesy te są realizowane i wspomagane nową technologią opartą na informatyce. MoŜna zaryzykować mówiąc, Ŝe w nowoczesnej organizacji dobre zarządzanie nie jest moŝliwe bez wsparcia informatycznego. Wiele osób pyta o procesy biznesowe i miejsce informatyki w zarządzaniu firmą. Informatyka słuŝy tylko do obsługi procesu przetwarzania informacji w firmie. Nie jest sama w sobie procesem 2. W ostatnich latach powstały nowe koncepcje zarządzania, które kładą główny nacisk na organizacyjne przygotowanie przedsiębiorstwa do wprowadzania nowoczesnych technik informacyjnych. Koncepcje te stanowią organizacyjną podstawę do podjęcia działań zmierzających do informatyzacji nowoczesnego przedsiębiorstwa, co wpływa z podkreślania przez nie roli informacji jako bardzo istotnego zasobu. Technologie informatyczne mają duŝy wpływ na proces zarządzania, dzięki czemu pojawiają się nowe techniki zarządzania. MoŜna stwierdzić, Ŝe stanowią one próbę realizacji idei zintegrowanego zarządzania strategicznego. Pomimo tak wielkich zmian w procesach zarządzania, w których informatyka odgrywa kluczową rolę jest paradoksem, Ŝe zasoby informatyczne są źle, słabo, niewłaściwie lub w ogóle nie zarządzane. W większości polskich przedsiębiorstw posiadających infrastrukturę informatyczną moŝna zaobserwować pewne nieprawidłowości lub zupełny brak polityki zarządzania. Począwszy od 2003 roku rozpoczęły się działania mające na celu szeroko pojętą edukację w zakresie legalności oprogramowania i zarządzania zasobami informatycznymi. Działania te skierowane zostały m.in. do małych średnich firm posiadających od 1 do 50 (100) komputerów. 2. Zasoby informatyczne (ZI) Aby określić co rozumiemy pod pojęciem zasoby informatyczne zacznijmy od związków informatyki z procesem zarządzania, szeregowania zadań i rozdziału. OtóŜ na system komputerowy moŝna patrzeć jako na system zasobowy, którego zasoby (np. procesory, pamięć, urządzania zewnętrzne) współubiegają się o programy (zadania), a na system operacyjny - jako na zbiór procedur zarządzających tymi zasobami. Od jakości tego zarządzania zaleŝy wydajność 2 Jarosław śeliński Strategie rozwoju technologii, zarządzania i biznesu. 2003

3 Audyt - narzędzie efektywnego zarządzania zasobami informatycznymi 55 systemu, a niekiedy wręcz jego przydatność 3. NaleŜy podkreślić, Ŝe zarządzanie zasobami odnosi się nie tylko do pojedynczych komputerów, ale takŝe, a nawet głównie, do systemów złoŝonych, w tym geograficznie rozproszonych. Zasoby informatyczne podlegają podziałom wg róŝnych kryteriów. Pod względem podmiotowym dzielą się na: sprzętowe, programowe, personalne (ludzkie) itd. Z uwagi na objętość referatu ograniczymy się do omówienia zasobów sprzętowych i programowych. Zasoby sprzętowe obejmują całą infrastrukturę systemów informatycznych począwszy od indywidualnych stacji komputerowych wraz z współpracującymi urządzeniami wejścia-wyjścia, a skończywszy na technologicznie i topologicznie rozbudowanych systemach sieciowych wyposaŝonych w odpowiednie oprogramowanie. Zakres oprogramowania obejmuje systemy operacyjne, systemy sieciowe, aplikacje, narzędzia, programy uŝytkowe i dane. Wszystko to wchodzi w zasoby informatyczne i stanowi istotny składowy element procesu zarządzania w kaŝdej jednostce gospodarczej. Aby efektywnie wykorzystać posiadane zasoby musimy nimi odpowiednio kierować. KaŜda firma dla procesu zarządzanie ma określone potrzeby zasobów informatycznych, a z tym związane problemy i zagroŝenia. 3. Zarządzanie zasobami informatycznymi (ZZI) Aby dobrze i efektywnie zarządzać zasobami, konieczne jest posiadanie pełnej, dokładnej, rzetelnej i szczegółowej informacji. Sposobem jej uzyskania jest inwentaryzacja. Dynamicznie zmieniająca się struktura (rozwój firmy, podziały, reinŝynieria procesów, odchudzone zarządzanie itd.) wymusza szczegółowe zaplanowanie i sprecyzowanie działań. Chcąc efektywnie wprowadzać zmiany w ZI, konieczne jest posiadanie pełnych informacji zgromadzonych w bazach danych. Efektywne ZZI oparte jest na wiedzy o stacjach roboczych, serwerach, systemach operacyjnych i zainstalowanych na posiadanym sprzęcie aplikacjach.. KaŜda, nawet najmniejsza jednostka organizacyjna przeprowadza okresowo inwentaryzację posiadanych zasobów, określaną jako "spis z natury", której celem jest uzyskanie aktualnej informacji o sprzęcie i programach. Operacja taka jest czasochłonna i wymaga oderwania się od pracy grupy ludzi na dłuŝszy czas po to tylko, by zebrać informacje o komputerach i oprogramowaniu, a z infor- 3 Jan Węglarz agh.edu 2002

4 56 Teoretyczne podstawy tworzenia SWO i strategie budowy e-biznesu matycznego punktu widzenia zabrane informacje są zazwyczaj mało przydatne. SłuŜą jedynie do weryfikacji stanu środków trwałych.. Rzadko równieŝ wyniki inwentaryzacji gromadzone są w formie elektronicznej chociaŝby po to, by tworzyć raporty grupujące sprzęt informatyczny wg potrzebnych kryteriów. W tym to celu naleŝało zmienić metodę ZZI i usprawnić proces inwentaryzacyjny wspierając go narzędziami informatycznymi, by wyniki pokontrolne spisu z natury moŝna było uzyskać teŝ w postaci elektronicznej. Elektroniczna forma daje teŝ moŝliwość, bez dodatkowego nakładu pracy, poszerzenia kompletności informacji o sprzęcie i oprogramowaniu oraz sformalizowania zasad uŝytkowania, eksploatacji oraz modyfikacji zasobów. Zarządzanie zasobami informatycznymi obejmuje kilka istotnych etapów : - audyt sprzętu i oprogramowania, - inwentaryzację dokumentacji licencyjnej, - zestawienie oprogramowania z dokumentacją licencyjną - polityki i procedury - plan zarządzania oprogramowaniem 4. Audyt Definicja: A u d y t oznacza procedurę oceny bilansu pojedynczego obiektu, systemu dystrybucji określonego nośnika czy przedsiębiorstwa jako całości, ze wskazaniem zauwaŝonych nieprawidłowości czy nieefektywności w zakresie uŝytkowania. Jest porównaniem stanu rzeczywistego ze stanem oczekiwanym lub zalecanym. Zatem, aby móc przeprowadzić audyt konieczne jest posiadanie wzorca, który będzie stanowił punkt odniesienia. Aby wdroŝyć politykę zarządzania musimy posiadać pełną i rzetelną wiedzę o naszych zasobach. Najlepszą, sprawdzoną drogą do uzyskania takich informacji jest audyt informatyczny (AI). Cel audytu: Głównym celem audytu jest uzyskanie pełnej informacji o posiadanych zasobach informatycznych. Audyt informatyczny polega na zebraniu pełnych informacji o wszystkich programach zainstalowanych na komputerach, a takŝe o szczegółowej konfiguracji i lokalizacji posiadanych komputerów. Jest sposobem uzyskania wyczerpujących i aktualnych informacji o zainstalowanym oprogramowaniu, posiadanych licencjach oraz zasobach sprzętowych. Pozwala zoptymalizować zakupy i umoŝliwia administratorom szybsze i bardziej precyzyjne reagowanie - zwłaszcza w sytuacjach awaryjnych. MoŜemy wyróŝnić kilka rodzajów AI, w zaleŝności od zastosowanego kryterium. Ze względu na zakres działań wyróŝniamy :

5 Audyt - narzędzie efektywnego zarządzania zasobami informatycznymi 57 - audyt pełny obejmujący inwentaryzację wszystkich zasobów informatycznych - audyt cząstkowy wykonywany okresowo dla losowo wybranych zasobów W zakresie podmiotu audytu wyróŝniamy : - audyt oprogramowania - audyt sprzętowy Pod względem sposobu realizacji audytu moŝemy mówić o : - audycie wewnętrznym wykonanym samodzielnie, siłami informatyków zatrudnionych w firmie - audyt zewnętrzny zlecony zewnętrznej firmie specjalizującej się w takich usługach i posiadającej odpowiednie doświadczenie i wiedzę Z uwagi na rodzaj uŝytych narzędzi mówimy o : - audycie ręcznym polegającym na ręcznej weryfikacji zainstalowanego oprogramowania i/lub konfiguracji komputera - audycie automatycznym wykonywanym przy uŝyciu specjalistycznych programów skanujących, pozwalających na zgromadzenie pełnej informacji o zainstalowanych plikach i zasobach komputera Wieloletnia praktyka firm przeprowadzających audyty oraz doświadczenia zebrane podczas współpracy z klientami zaowocowały opracowaniem dwóch kompleksowych programów audytowych odpowiadających na potrzeby zgłaszane przez klientów. Są to: Audyt legalności i Legalna firma. Jeden z wymienionych wyŝej podziałów audytu dotyczy oprogramowania i sprzętu. PoniŜej pokrótce je scharakteryzujemy Audyt sprzętu Jest niczym innym jak okresowo przeprowadzoną inwentaryzacją posiadanych zasobów komputerowych i sprzętu z nim współpracującego. Dostarcza informacje uzyskane z inwentaryzacji, poszerzone o dodatkowe dane omówione w poprzednim rozdziale. Wyniki audytu sprzętu komputerowego mogą być natomiast wykorzystane nie tylko przez działy finansowe i administracyjne w celu zweryfikowania informacji inwentaryzacyjnych ale będą przydatne dla kadry menedŝerskiej, która dzięki ich elektronicznej formie moŝe szybko i łatwo generować praktycznie dowolne zestawienia. Raporty, szczególnie te regularnie aktualizowane, umoŝliwią takŝe administratorowi śledzenie zmian w konfiguracji sprzętowej komputerów, co ułatwi wystawienie diagnozy w przypadku ewentualnych problemów i przywrócenie stanowiska do normalnej pracy. Audyt sprzętowy powinien dostarczyć nie tylko informacji o miejscu znajdowania się komputera, ale dać równieŝ odpowiedzi na inne na przykład pytania:

6 58 Teoretyczne podstawy tworzenia SWO i strategie budowy e-biznesu Czy konkretny komputer znajduje się w firmie? Jaka jest konfiguracja poszczególnych stacji roboczych? Jakie dodatkowe komponenty są w komputerze zainstalowane? Jaka jest przeciętna konfiguracja stacji roboczej w jednostce organizacyjnej (firmie)? Które z komputerów w znaczący sposób odstają od przeciętnej (zarówno silniejsze jak o znacznie słabsze sprzętowo konfiguracje)? Czy konfiguracja komputerów pokrywa się z ich konfiguracjami zakupu lub ostatnimi odnotowanymi modyfikacjami? Nawet warto by się pokusić o zweryfikowanie tak mało istotnych, jak mogłoby się wydawać, parametrów, jak to, czy klawiatura komputera posiada klawisz Windows? (przydatne w aktualizacji systemu operacyjnego bądź aplikacji biurowych) Informacje te pozwolą wykryć wszystkie anomalie konfiguracyjne, których znajomość jest przydatna do przygotowania do migracji na nowszą platformę systemową. Będzie równieŝ pomocna w ocenie istniejącej konfiguracji do wdro- Ŝenia nowych aplikacji. Na podstawie posiadanych informacji moŝna stwierdzić, czy nie ubywają na stacjach roboczych komponenty takie jak procesory, dyski twarde, urządzenia wejścia-wyjścia itp. Odpowiedzi na wszystkie tak postawione pytania nie są moŝliwe do uzyskania mając do dyspozycji arkusze inwentaryzacyjne wypracowane podczas okresowej kontroli spisu z natury. Wykorzystane są one przez działy finansowe oraz administracyjne w celu weryfikacji standardowych informacji inwentaryzacyjnych. Natomiast dobrze wykonany audyt, daje moŝliwość tworzenia dowolnych raportów. Jest podstawą wdroŝenia procedur zarządzania, polegających na określeniu zasobów sprzętowych i programowych, opisaniu marki sprzętu, informacji o jego dostawcy, a w dalszym części na określeniu treści i sposobu zbierania informacji związanej z modernizacją sprzętu Audyt oprogramowania. Proces przeprowadzenia tego audytu jest podobny do sprzętowego. Polega na uruchomieniu na kaŝdym komputerze specjalnego skanera, który zbiera informacje o wszystkich plikach przechowywanych na lokalnych dyskach twardych i wynik takiej inwentaryzacji zapisuje w oddzielnym pliku. Wszystkie takie pliki z inwentaryzacjami porównywane są następnie z bazą danych zawierającą wzorce pakietów oprogramowania, co umoŝliwia identyfikację aplikacji zainstalowanych na komputerach uŝytkowników na podstawie charakterystycznych kombinacji plików skatalogowanych podczas inwentaryzacji. Automatyzacja rozpoznawania aplikacji nie jest jednak stuprocentowa. Często na dyskach uŝytkowników odnajdywane są pliki wykonywalne EXE, które trzeba zidentyfikować w

7 Audyt - narzędzie efektywnego zarządzania zasobami informatycznymi 59 sposób manualny. Audyt oprogramowania obejmuje takŝe przygotowanie kompleksowych raportów, które odpowiadają na pytania postawione przed wykonaniem inwentaryzacji. Analiza wyników audytu oprogramowania pomoŝe kadrze menedŝerskiej w przygotowaniu i optymalizacji planu zakupów oprogramowania. Jest to o tyle istotne, Ŝe często łączna wartość oprogramowania przewyŝsza wartość sprzętu, na którym jest zainstalowane. Zarządzanie oprogramowaniem to pewna i całkowita wiedza na temat posiadanych w danym momencie programów i licencji. Działania związane z zarządzaniem oprogramowaniem obejmują monitorowanie licencji i programów, wdroŝenie zasad uŝytkowania oprogramowania, centralizację procedur nabywania programów, i wiele innych Firma, która nie stosuje fizycznych i programowych zabezpieczeń uniemoŝliwiających uŝytkownikom instalację oprogramowania, moŝe się spodziewać, Ŝe na stacjach roboczych będą się pojawiać niechciane aplikacje. Nawet w firmach posiadających jasno określone zasady instalacji oprogramowania na komputerach uŝytkowników moŝna znaleźć aplikacje nie zarejestrowane oficjalnie przez dział informatyki. Firmy nie mają takŝe pełnej kontroli nad danymi przechowywanymi na stacjach roboczych. Zdarza się, Ŝe na komputerach uŝytkowników rozproszonych jest znacznie więcej informacji niŝ na korporacyjnych serwerach. Zarząd firmy oraz dział informatyki powinny mieć pełną kontrolę nad danymi przechowanymi w sieci korporacyjnej. Bez przeprowadzenia rzetelnego audytu oprogramowania nie jest moŝliwe odpowiedzenie na najwaŝniejsze pytania, niezbędne do zaprowadzenia porządku: Najczęściej audyt jest wykonywany w celu weryfikacji legalności oprogramowania. Przeprowadzane w firmach audyty informatyczne dają moŝliwość uzyskania szerokiej wiedzy o poziomie informatyzacji polskich przedsiębiorstw i legalności uŝytkowanego oprogramowania 5. Wnioski Jako dodatkowe cele audytu i związane z tym korzyści moŝemy wskazać : - uzyskanie informacji o ilości i konfiguracji komputerów - aktualizację listy posiadanych środków trwałych - jednolite oznakowanie posiadanych komputerów - kontrolę wykorzystania aplikacji nie związanych z wykonywaną pracą : np. komunikatory internetowe, pliki MP3 lub pliki video - kontrolę efektywności wykorzystania czasu pracy - stworzenie lub modyfikacja procedur dotyczących wykorzystywanego oprogramowania

8 60 Teoretyczne podstawy tworzenia SWO i strategie budowy e-biznesu - raporty, szczególnie te regularnie aktualizowane - śledzenie zmian w konfiguracji sprzętowej komputerów - uzyskanie szerokiej wiedzy o sposobie wykorzystania komputerów i oprogramowania w firmie Korzyści płynące z zarządzania oprogramowaniem - oszczędności finansowe - nadąŝanie za zmianami technologicznymi - zwiększanie wydajności - dokonywanie uzasadnionych inwestycji w nowoczesne technologie - dostęp do wsparcia technicznego - dostęp do aktualizowanych wersji produktów - zminimalizowane ryzyko zainfekowania wirusami Literatura [NIED01] p.red. E. Niedzielskiej Informatyka ekonomiczna. WAE Wrocław [WĘGL02] Jan Węglarz agh.edu 2002 [śeli03] Jarosław śeliński Strategie rozwoju technologii, zarządzania i biznesu [KOSU04] Łukasz Kosuniak Skuteczna inwentaryzacja oprogramowania. Microsoft dla partnerów. Nr [MICR04] Audyt oprogramowania. Materiały Microsoft Nr1 (29/2004) [KOZL04] Maciej Kozłowski NASK. Chip Nr 3/2004 [MARU04] Marcin Maruta. Jak się zachować? Kontrole antypirackie. CRN Nr 3/ AUDIT - INFORMATION SUPPLIES EFFICIENT MANAGING TOOL Abstract New conceptions establish organization basis for taking steps to a modern business computing, as information plays a part of a substantial supply. In spite of enormous changes in managing actions, where information technology plays a fundamental role, it is a paradox that information supplies are not sufficiently managed. In most Polish companies that have information infrastructure some anomalies or lack of politics are to be observed. Key words: audyt, computer science, efficient managing, managing tool, information