Управление программами как активом

Современный бизнес трудно представить без IТ-составляющей. Но очень часто под последней понимается в первую очередь аппаратное обеспечение (компьютеры), на которое по-прежнему приходится львиная доля IТ-затрат отечественных компаний. Между тем в мире в целом картина совершенно иная – расходы на ПО являются самой крупной статьей в IТ-бюджетах. Причины такой разницы большого секрета не составляют: пиратство у нас превышает все разумные пределы, и даже государство, которое вроде бы борется с этим явлением, не всегда само может служить положительным примером.

Необходимость контроля

Бесконтрольное использование ПО, особенно нелицензионного, порождает многочисленные риски. Это могут быть снижение продуктивности сотрудников, утечки конфиденциальных данных и проч., вплоть до штрафов и уголовной ответственности. Тем не менее крайне редко руководители компаний и IТ-отделов имеют полное представление о том, какие программы применяют в своей практике их сотрудники. К сожалению, идеальная политика, когда ПК обслуживается исключительно выделенным системным администратором, применима далеко не всегда, скажем, работники умственного труда, как правило, предпочитают самостоятельно обустраивать свой компьютер и препятствовать им в этом вряд ли разумно. Ситуация дополнительно усугубляется по мере популяризации модели BYOD (Bring Your Own Device), в рамках которой в рабочих целях используются личные устройства сотрудников.

Возможно также, что некоторое пренебрежение контролем за ПО связано с его нематериальной природой, тем более что даже в случае его приобретения в действительности покупается не сама программа, а лишь лицензия, право на ее использование в оговоренных рамках. Понятно, что это привносит дополнительный элемент сложности: на ПО нельзя наклеить бирку, как на стул или системный блок ПК, и быстро проверить его наличие, исправность.

Таким образом, хотя контролировать закупки и использование ПО желательно с первого дня в проактивном режиме, совершенно необходимы и реактивные меры, которые учитывали бы динамику «софтверного хозяйства». На это и направлена Software Asset Management (SAM) – методика оптимизации процессов управления программным обеспечением как одним из активов компании (пусть и нематериальным). Под SAM иногда ошибочно понимают инвентаризацию ПО с последующим соотнесением его количества с имеющимися лицензиями. На самом деле речь идет об управлении полным жизненным циклом ПО от закупки до вывода из эксплуатации, ведь приложения также стареют – морально, что может выражаться в несоответствии текущим требованиям или повышенной их опасности (к примеру, когда разработчик прекращает сопровождать определенную версию).

Суть процесса

В настоящее время процессы SAM в достаточной степени формализованы в рамках стандарта ISO/IEC 19770, в любом случае они должны охватить несколько обязательных этапов:

• инвентаризацию ПО;
• инвентаризацию имеющихся лицензий и сопоставление их с парком ПО, описанным на предыдущем этапе;
• разработку политик и процедур по управлению ПО;
• внедрение описанных процедур и формирование долгосрочной стратегии.

Инвентаризации программного обеспечения, естественно, должна предшествовать инвентаризация вычислительных устройств, используемых в компании. Причем сегодня к ним уже относятся не только серверы и персональные компьютеры (настольные и ноутбуки), но и планшеты, КПК, смартфоны, поскольку многие из них позволяют использовать сторонние программы. Данный этап – хороший момент для построения карты локальной сети с привязкой к помещениям и рабочим местам, для ранжирования сотрудников и стандартизации, где это возможно, рабочих мест и проч. Вся эта информация пригодится в дальнейшем и не только для решения вопросов, связанных с SAM.

Учет лицензий, на первый взгляд, кажется тривиальным делом, однако надо помнить, что каждый из таких документов может совершенно по-разному регламентировать использование ПО.

Конкретная схема лицензирования может распространяться на определенное число инсталляций или на всю компанию без ограничений; привязываться к числу процессоров в сервере или к количеству одновременно подключаемых пользователей; действовать ограниченное время или бессрочно и т. д. Не следует также думать, что все это касается только коммерческого ПО – есть различные категории программ, бесплатное использование которых разрешается в тестовых или личных целях, но не в бизнесе, и не факт, что пользователи вникали в подобные детали.
Как видно, первые два этапа не только достаточно трудоемки, но и сложны чисто технически.

Качественно выполнить всю необходимую работу вручную можно разве что в простейших случаях, когда речь идет буквально о нескольких компьютерах, но даже при этом многие операции можно и стоит автоматизировать. Существует множество сканеров, способных обнаружить все присутствующие на компьютере программы, определить их названия, разработчиков, версии и проч. – даже это уже немало. Имеются также более общие системы управления, в которые уже встроены элементы SAM, по крайней мере в части инвентаризации ПО и сопоставления лицензий – в качестве примера можно привести Microsoft System Center Configuration Manager.

Перспективным выглядит применение в данных целях «облачных» служб – они разворачиваются и обслуживаются самими разработчиками, а заказчики работают с ними через интернет. В арсенале той же Microsoft это – Windows Intune. Основное преимущество заключается в простоте контроля за компьютерами, находящимися вне офисной сети.

Два последних этапа SAM являются организационными. В идеале желательно стандартизовать рабочие места в зависимости от категории работника, зафиксировав, когда возможно, конфигурации. Необходимо также формализовать и описать процедуры подачи заявок на новое ПО, принятия решений о закупке, осуществления закупок, выдачи и распространения новых программ, хранения лицензий (договоров) и носителей. Подробность и объем данных документов, конечно, зависит от размеров компании. В простейшем случае это может быть страничка с общими положениями и фамилией ответственного, а в самом сложном – не исключена необходимость привлечения сторонних консультантов, юристов и др.

Финальным пунктом является создание стратегии развития парка ПО в компании и принятие решения о периодичности осуществления контрольных мероприятий (начиная с инвентаризации). Последнее совершенно необходимо для актуализации данных, поскольку по мере роста компании, диверсификации бизнеса, применения новых вычислительных устройств учитывать все нюансы и изменения довольно проблематично. Таким образом, хотя разовое прохождение описанной процедуры может стать отправной точкой для легализации ПО, долгую спокойную жизнь обеспечит только циклический процесс контроля.

Результат внедрения

Результатом внедрения SAM станет полная прозрачность информационной инфраструктуры, соблюдение юридических норм и разграничение ответственности, исключение многих операционных проблем, простота бюджетирования. Но преимущества могут быть и совершенно конкретными. Так, четкое знание потребностей своих сотрудников и сформированный график централизованных закупок ПО разом для всех подразделений помогут подобрать оптимальную схему лицензирования и таким образом сэкономить до 25% затрат. Грубо говоря, чем больше пакет лицензий, тем больше скидка на него. Кроме того, для некоторого прикладного ПО имеются кооперативные схемы лицензирования, когда сотрудники могут его использовать поочередно – нередко это оказывается гораздо экономичнее приобретения персональных лицензий.

Инвентаризация ПО и контроль за его использованием, стандартизация рабочих мест и инструктаж пользователей по применению нестандартного программного обеспечения также помогут повысить общий уровень информационной безопасности. Ведь лишнее в рабочей среде, пиратское, малоизвестное или устаревшее ПО нередко является объектом для атак злоумышленников или источником утечек конфиденциальных данных.

В заключение стоит уточнить, к чьей компетенции относится проблематика SAM. Вопреки тому, что можно было бы подумать, это не уровень IТ-директора, хоть он, безусловно, имеет возможность выступить с соответствующей инициативой, и уж тем более внедрение необходимых процедур никак не может пройти мимо него. Наиболее заинтересованной стороной являются владельцы и высший менеджмент компании, особенно финансовый директор, на плечах которых лежит ответственность за успешное функционирование бизнеса в целом. При внедрении технологии SAM служба IТ предприятия перестает быть для высшего руководства компании некоей «черной дырой», в которую регулярно уходят значительные материальные средства, и становится полностью прозрачной службой, руководитель которой всегда может четко показать экономический эффект от инвестиций в свое подразделение. 

Статьи и затраты В SAM-проектах есть две основные статьи затрат: оплата консультантов и собственных работников; покупка специализированного ПО для управления лицензиями. Что касается первой статьи, то она очень индивидуальна. Велик разброс и по второй статье, поскольку на рынке есть как бесплатные SAM-инструменты, так и довольно дорогие. Первые ограничены по функциональности и величине инвентаризируемого парка рабочих мест, вторые, как правило, распознают все известные коммерческие продукты и не имеют ограничений по масштабам. Такие продукты выпускают не только крупнейшие мировые IT-корпорации, но и относительно небольшие компании. Не нужно забывать, что SAM-продукт не может отследить, насколько активно конкретный сотрудник использует ту или иную программу. По логике системы установлено, значит, используется. Но если на данном рабочем месте программа за год ни разу не открывалась, то компания напрасно тратит средства на соответствующую лицензию.