Twoje PC  
Zarejestruj się na Twoje PC
TwojePC.pl | PC | Komputery, nowe technologie, recenzje, testy
M E N U
  0
 » Nowości
0
 » Archiwum
0
 » Recenzje / Testy
0
 » Board
0
 » Rejestracja
0
0
 
Szukaj @ TwojePC
 

w Newsach i na Boardzie
 
TwojePC.pl © 2001 - 2019
Wtorek 17 lipca 2007 
    

Felieton: audyt legalności oprogramowania


Autor: Spieq | 11:38
(15)
Świadomość polskich przedsiębiorców zdaje się wzrastać w dziedzinach pozornie nie przynoszących zysków, czego dowodem jest wiedza na temat usług audytów informatycznych. W większości przypadków nie ma już potrzeby mozolnego tłumaczenia niuansów wdrażanych operacji, jak też tłumaczenia samej zasadności przeprowadzenia zewnętrznej kontroli informatycznej. Dużą rolę w zmianie podejścia odegrała tu policja (szczególnie aktywny wydaje się być ośrodek dolnośląski), nagłaśniając wyjątkowo spektakularne akcje zakończone sukcesem i kasacją tysięcy nielegalnych kopii oprogramowania. Miałem okazję widzieć szczegóły takowej akcji policyjnej (niesamowita pomysłowość piratów ukrócona przez wyjątkową wnikliwość organów ścigania). Na tyle, na ile pozwalają tajemnice handlowe i tym podobne zmowy milczenia, postaram się przemycić temat bardziej od kuchni.

Oferta kilkudziesięciu polskich firm (uczestniczących w programie partnerskim Microsoft License Management Program; sekciarstwo, acz z najwyższej półki) to przede wszystkim uprawnienia do przeprowadzania audytów oprogramowania w firmach i instytucjach. Audyt oprogramowania to usługa jeszcze z syndromem raczkującego brzdąca. Ma ona na celu przeprowadzenie badania i inwentaryzacji oprogramowania pod względem legalności i jego zoptymalizowanie pod względem przydatności oraz efektywności. Usługi audytu polegają na analizie oprogramowania w firmach klientów, uporządkowaniu licencji i wdrożeniu procedur ułatwiających korzystne używanie oprogramowania i innych zasobów IT. Po wykonaniu prac analitycznych i sprawdzeniu zgodności licencji wystawiany jest "Certyfikat Zarządzania Licencjami" (firmy zazwyczaj wydają własny certyfikat oraz występują o nadanie certyfikatu Microsoft na ichnie oprogramowanie), którego posiadanie chroni prawnie firmę, potwierdzając legalność używanego oprogramowania. Z tym jest do dziś pewien problem. Z przeprowadzonych rozmów z przedstawicielem jednej z największych polskich kancelarii prawnych wynika zatrważająco niewiele. W każdym razie kwestie prawne (sporne?) kierują się czasem dziwną logiką (wieloznaczność) i mają punkt zbieżności z polityką Microsoftu: "każdy przypadek rozpatrywany jest indywidualnie".

Celem audytu legalności oprogramowania jest zaprowadzenie porządku w oprogramowaniu, tak by klient miał pewność, że każdy program (który ma na stanie firmy) jest używany zgodnie z licencją i optymalnie wykorzystywany przez pracowników. Ten ostatni aspekt, przez pozornie mniejszą wagę problemu, może przynieść firmie poważne straty finansowe. Nierzadko bowiem można mieć do czynienia z sytuacją, gdzie pracownik korzystał np. wyłącznie z edytora tekstu Bardzo Popularnej Firmy z pakietu Professional (firma klienta - tak czy siak - miała na stanie kilka zakurzonych samodzielnych edytorów). Różnica cenowa jest oczywista, właściciel firmy wychodzi na minusie. Przy okazji warto jednak zaznaczyć, że czasem kupno np. samego arkusza kalkulacyjnego do rozsądnych operacji nie należy (pakiety = "taniej"). Przy dobrze wykonanej usłudze audytu legalności pracodawca ma okazję nie tylko uporządkować software (często są to setki nośników, pudełek, licencji i książek), ale i uzyskać korzyści finansowe, szkolenia z zakresu polityki zarządzania oprogramowaniem, a nawet pewną ochronę prawną w przypadku kontroli. Często jest to sporym zaskoczeniem dla pracodawcy, dla którego manipulacje przy oprogramowaniu i komputerach to oczywiste potrajanie kosztów. W wielu przypadkach da się tego uniknąć - audytor, poprzez zgodne z licencją manewry, może zminimalizować dodatkowe wydatki. Mamy więc do czynienia m.in. z ankietami potrzeb pracowniczych, przesunięciami boxów na bardziej newralgiczne stanowiska, instalacją programów typu freeware (czyli np. zastępowaniem zdublowanego Nero, Total Commandera lub ACDSee ich darmowymi odpowiednikami na cele komercyjne). Szkolenia to również gra warta świeczki. Wprawdzie nie są to średniowieczne, czytaj skuteczne, tortury dla krnąbrnych pracowników-piratów (upiekłoby się wówczas kobietom w ciąży, chorym oraz... duchownym i innym ówczesnym elitom), za to wprowadzona ścieżka edukacyjna pozwoli w wielu przypadkach na uświadomienie wszystkim zainteresowanym skali zagrożeń, jak i pełnego relaksu w momencie legalizacji firmy. Jeśli to nie poskutkuje, pracodawca może uchronić swój cenny kuper poprzez wprowadzenie odpowiednich procedur i umów z pracownikami, które skutkują "przeniesieniem odpowiedzialności" na najniższy (bezpośredni) poziom.

Oburzonych miłośników liberalnego pożycia w firmie (karty, wino i kobiety z kadrowego) pragnę uspokoić - tego typu obostrzenia nie skutkują totalnym ubezwłasnowolnieniem pracownika. Wręcz przeciwnie, przy dobrej taktyce (ograniczenie się do leniwego "power on - power off") zrzucimy z siebie niektóre obowiązki dotyczące higieny stanowiska pracy. Za proces instalacji, deinstalacji oraz inwentaryzacji odpowiedzialna będzie wyznaczona osoba z kierownictwa IT. Będzie to obszar jej zmartwień do czasu, gdy nie przyjdzie nam ochota do kombinowania i przejścia na drugą stronę. W zależności od talentów renegata widełki sięgają pięciu lat pozbawienia wolności. Odpowiedzialność karna i cywilna to zresztą materiał na osobny artykuł, więc pomijam. Przy zachowaniu pasywnego stosunku do powyższego mamy spokój na lata. Dla potwierdzenia - podpisywałem tego typu cyrograf i wciąż cieszę się powietrzem na wolności, a komputerowym aniołkiem nie jestem (choć staram się ograniczać swoje hobby do testowania różnorakiego freeware'u, co zresztą wpisane jest w logikę moich obowiązków). Jeśli brak podpisu będzie niezgodny z polityką działalności firmy, nie warto podskakiwać, co najwyżej cmoknąć z niechęcią przy składaniu autografu.

Przy realizacji audytu legalności oprogramowania dochodzi pośrednio do inwentaryzacji stacji roboczych (w znacznie mniejszym stopniu serwerów), co niekiedy prowadzi do szokujących odkryć. W jednej ze śląskich firm dowiedziono braku kilkunastu kart graficznych, dysków twardych, a nawet monitorów LCD. Podzespoły te były zastępowane przez gorsze odpowiedniki (oczywiście na pierwszy rzut oka dyski twarde nie różnią się niczym dla średnio zorientowanego właściciela firmy) przez dział IT. Przez lata proceder kwitł w najlepsze aż do momentu, gdy właściciel placówki zdecydował się na outsourcing. Przez brak jasnych procedur odpowiedzialności za poszczególne szczeble nie było szans na złapanie za przysłowiową lisią kitę. Sprawa ma swój finalny "smaczek" - część sprzętu w cudowny sposób objawiła się w obudowach i na biurkach, a na liście rzeczy do zdjęcia ze stanu firmy znalazły się całkowicie sprawne części komputerowe (celem ich późniejszego przywłaszczenia). Bezczelność ludzka to materiał badawczy dla kosmitów...

Nie zawsze jest tak różowo, jak oczekiwaliby tego nie tylko audytorzy, ale i zleceniodawcy. Bywają sytuacje braku współpracy ze strony działu IT klienta (dość mylne przekonanie o niebezpieczeństwie przejęcia jego obowiązków lub kontroli pracy), a nawet najwyższego kierownictwa (powtarzane do znudzenia: "panie prezesie, proszę sprawdzić, czy nie ma pan tej płytki w domu"). Przy takim założeniu procedury naprawcze mogą ciągnąć się jak wczesne westerny z Clintem. Rzadko natomiast zdarzają się problemy z użytkownikami końcowymi - sądzą zazwyczaj, iż mają do czynienia z kontrolą z ramienia policji lub szefa wszystkich szefów (co akurat jest zgodne z prawdą). Informatycy bywają zresztą przeszkodą nie do przebycia już na samym początku - oto perypetie z kolejną firmą z województwa śląskiego… Kierownik IT nie widział sensu w przeprowadzeniu audytu, gdyż miał stuprocentową pewność co do legalności oprogramowania. Wydawałoby się - profesjonalista. Zgodził się w końcu na przeprowadzenie zewnętrznej kontroli, ale przy założeniu, że audytorzy nic nielegalnego nie znajdą i usługę dostanie gratis. Po przeprowadzeniu skanów oprogramowania i porównaniu ich ze stanem firmy wyszły nieprawidłowości w systemach Windows, pakietach Office (nadmiarowe kopie) i w pomniejszych aplikacjach. Nokautem okazała się dla niego wiadomość o wszędobylskiej muzyce w formacie MP3 i zbiorze klasyki niemieckiej pornografii na jednym z komputerów pracowników. Firma ta do dziś nie uzyskała statusu legalności.

Szewc bez butów chodzi. Gdzie panuje największy bałagan z licencjami? Oczywiście na komputerach szefa i pracowników działu IT (ze szczególnym akcentem na kierowników). Rola kobiet zdaje się tu być niezauważalna - głównymi grzechami są zazwyczaj pliki MP3 i co najwyżej podstawowe programy shareware typu WinRar. Panowie mają mniejsze opory, więc często sprawdzanie zawartości dysków twardych to fascynująca szkoła życia z naciskiem na koedukację. Oporów żadnych nie powinni mieć w przypadku kontroli zewnętrznych - w 99,9% przypadków takie cudze wglądy mają sens i podstawę. Warto wydać parę tysięcy, by uniknąć ich krotności, sądu i wstydu przed kontrahentami w przypadku kontroli policji.

PS. Biedny pracodawco! Jeśli Ty, jak i Twoi pracownicy, wpadacie w panikę na wieść o nowych rewolucyjnych zmianach w software - pamiętajcie, że Office'a 2003 można było kupić w normalnej dystrybucji tylko do końca czerwca tego roku. Składy magazynowe to nie worek bez dna, za czas jakiś pozostanie nam wyłącznie podziemna dilerka. Kto by pomyślał, że ostatnie tchnienie normalnego międzymordzia Bardzo Popularnej Firmy może stać się klasyką i powodem westchnień przyrośniętych do obrotowych krzeseł pracowników administracji państwowej...

 

    
K O M E N T A R Z E
    

  1. Fajnie, że skrobnąłeś (autor: bwana | data: 17/07/07 | godz.: 12:39)
    I fajnie, że skrobnąłeś fajnie.

    W dwóch firmach przechodziłem zewnętrzny audyt oprogramowania i w obu (firma IT i dział IT dużej gazety) niedoinformowanie pracowników w kwestii celów audytu spowodowało postawy buntu, oburzenia oraz strachów (typowa reakcja na nieznane, nieprawdaż?).

    Faktem jest, że korytarzowa wieść w obu przypadkach niosła, iż za niedopatrzenia głowy polecą. Sporo winy tu spada na pracodawców, którzy odpowiednią akcją propagandową powinni przekazać pracownikom rzeczywiste cele audytu, czyli, jak bodaj właśnie napisałeś, względy higieniczne. Cóż, ewoluujemy, każdy swoim tempem.


  2. No i fajnie (autor: Ament | data: 17/07/07 | godz.: 12:52)
    skomentowalbym ale jest zbyt goraco:)

  3. wolne oprogramowanie (autor: mintaj | data: 17/07/07 | godz.: 14:21)
    i "problem" rozwiazuje sie sam :)

  4. @mintaj (autor: bwana | data: 17/07/07 | godz.: 15:29)
    jasne. z mojej działki - znajdź opensorsowy zamiennik dla Toad-a, bazy Oracle, Forms Buildera i Reports Buildera.

  5. Wolne oprogramowanie (autor: gigas! | data: 17/07/07 | godz.: 15:31)
    i problemow masa, wiecej niz przed era komerchy :|

    I problemu nie stanowi tutaj 01010101, tylko zwykly czlowiek, ktory nie ma pojecia o:
    1. Linuksie
    2. Free Commanderze (bo nie ma ftpa, a AltComm BEE)
    3. 7Zipie
    4. Open Offisie, bo gdzie tu opcje etc.


    W gronie informatykow "wolne oprogramowanie i problem rozwiazuje sie sam", ale nie w biurach, gdzie tyraja sekretarki, kasjerki, handlowcy itp. (czyli pewnie z 90% populacji przy kompach).


  6. @gigas! (autor: bwana | data: 17/07/07 | godz.: 18:58)
    nie do końca problem rozwiązuje się sam w gronie informatyków. wręcz o wiele łatwiej go rozwiązać w biurach, gdzie nie używa się specjalistycznego oprogramowania tylko, powiedzmy, e-mail plus "jakiś office". w przypadku informatyków specjalistów brak ekwiwalentnych/zgodnych programów. W biurach brak jedynie przeszkolenia.

  7. W Twoim przypadku (autor: gigas! | data: 17/07/07 | godz.: 21:04)
    istotnie jest to o wiele trudniej. Jednak statystycznie rzecz biorac - bo jestescie elita IT w tym kraju, btw ;) - problemu nie ma :D

    W biurach brakuje (wg mnie) glownie swiadomosci TYCH_Z_GÓRY - a mowa o kosztach i alternatywach. Linux tylko na serwach plikow, a OO testowo na 2 stanowiskach i robi sie bigos, bo brak standaryzacji stanowisk. Itede.


  8. Warto wydać parę tysięcy (autor: RusH | data: 17/07/07 | godz.: 21:19)
    NIE
    Warto miec kompetentny dzial IT i placic im adekwatnie, wtedy nie dosc ze bedzie porzadek w sofcie, to i stan srodkow trwalych bedzie sie zgadzac.

    Zgadzam sie z bwana, problemem jest lekcewarzenie pracownikow. Potem placz ze soft drogi, ze kontrole, ze sramto owamto. Nikt nie kazal zatrudniac blond debilek czy emerytow, nikt nie zabranial szkolen.

    Ten "felieton" to raczej reklama outsourcingu. Spieq przekonuje nas jakim to problemem jest balagan w oprogramowaniu a wybawieniem zewnetrzny audyt. ZADEN zewnetrzny audyt nie zlikwiduje zrodla problemu, zlikwiduje jedynie objawy. Wszystko zaczyna i konczy sie na ludziach w firmie.


  9. art fajny, popieram Rusha (autor: Demo | data: 17/07/07 | godz.: 21:46)
    Trzeba zawsze szukać u źródła, a nie bawić się objawami. Jak informatyk nie potrafi połączyć 2 kompów kablem (taaak, mamy takich) to kible szorować a nie dyplomem się chwalić.

    Poza tym mamy tyle darmowego i KOMPATYBILNEGO softu, że usprawiedliwianie się "popularnością" softu M$ jest nie na miejscu :)

    To mówiłem ja: Demo


  10. hmm rush (autor: XiSiO | data: 18/07/07 | godz.: 00:25)
    chyba pierwszy raz w zyciu nie bede polemizowal z Toba :) popieram

  11. lekcewarzenie (autor: RusH | data: 18/07/07 | godz.: 00:57)
    lekcewazenie :P

  12. Czy coś w tym tekście jest od "strony kuchni"? (autor: IV0nka | data: 18/07/07 | godz.: 02:01)
    H20, H20, H20...

  13. O przepraszam... (autor: IV0nka | data: 18/07/07 | godz.: 02:04)
    Jest jeden ciekawy akapit, ale niestety edycji komentarzy nie ma :(

  14. heh, no fakt (autor: mintaj | data: 18/07/07 | godz.: 12:27)
    spieq chyba zapomnial o czyms:

    podac na koncu adres www ;)


  15. .... (autor: OrbitaL_2001 | data: 19/07/07 | godz.: 14:05)
    Wystarczy zrobić jedną rzecz:

    Nauczyć użytkownika w jakiejkolwiek firmie, że komputer mu dany to narzędzie pracy a nie jego domowa zabawka. Zabrać mu wszystkie uprawnienia administracyjne i pozwolić mu korzystać tylko z określonych zasobów.

    Druga sprawa - szkolenia - byłem już na kilku takich i zazwyczaj trwają od 3-5 dni roboczych. Jeśli pracownik nie ma parcia na wiedzę to nic się nie nauczy w tak krótkim czasie. Często również szkolenia są prowadzone z produktów które umierają jeszcze przed oficjalnym wdrożeniem i tym samym pracownik traci zapał na następne szkolenie - bo i po co mam sie czegoś uczyć ?

    Wyższość licencjonowanych programów nad open-sourcem to support, ale nie taki że łatki wychodzą szybciej czy wolniej, tylko taki że jest kogo pociągnąc do odpowiedzialnośc za straty wywołane użytkowaniem program XX firmy w zakładzie pracy.

    A co do artykuły czy też felietonu... proponuję Ci zostawić w spokoju filmy z Clintem, bo one przynajmniej miały klimat i czas przy nich spędzony nie można uznac za stracony


    
D O D A J   K O M E N T A R Z
    

Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.