Software Asset Management или как навести порядок в программном обеспечении
Софт*
На хабре много пишут о самом разнообразном программном обеспечении для частного и корпоративного использования, начиная от маленьких плагинов и утилит и заканчивая огромными комплексами для распределённых клиент-серверных систем.
Но меня всегда удивляет отношение к такой вещи как программное обеспечение в организациях. Большинство (т.е. больше 50%) из тех, с кем мне приходилось общаться по своей профессии (руководители среднего и высшего звена) вообще не представляют что у них творится с софтом. За парком машин следят — всё наперечёт, за недвижимостью следят, за ТМЦ следят, за туалетной бумагой и то следят, а вот за софтом как-то не очень. Скорее всего это связано с нематериальностью данного «явления» — пощупать нельзя.
Но программное обеспечение это тоже активы предприятия и зачастую более ценные чем другие активы (сравните стоимость любого абстрактного проприетарного серверного решения и стоимость кресла сотрудника). И этот актив рекомендуется держать в порядке. В наведении этого порядка нам и поможет наука называемая Software Asset Management (SAM) — Технология управления активами программного обеспечения.
В этой статье я постараюсь вкратце описать суть этой технологии и как её применить у себя.
Тут я сделаю ремарку во избежании причисления моего топика к многочисленным темам о защите авторских прав и появления множества соответствующих комментариев, речь пойдёт совсем не о том, как важно платить за софт.
9 мая 2006 года был выпущен международный стандарт ISO 19770-1 «SAM Processes» который может нам помочь в этом направлении.
Итак у нас есть организация с количеством компьютеров от 1 до бесконечности, на компьютерах стоит абсолютно любой софт. Организация хочет внедрить у себя данную технологию. Поможем.
Шаг первый: Сбор информации.
Собираем всю общую информацию которая может касаться программного обеспечения — количество компьютеров, серверов, структура сети, расположение компьютеров территориально (офисы, филиалы), как происходит процесс выбора ПО, покупки (если покупаем), установки, настройки, использования, удаления, хранения, кто отвечает за все эти процессы и т.п.
Т.е. нам надо максимально полно оценить что происходит в организации сейчас не вдавайсь в мелкие подробности.
Итогом этого этапа для небольших компаний будет несколько строк текста, для больших тут могут легко выйти десятки и сотни листов.
Шаг второй: Проведение инвентаризации программного обеспечения.
На этом этапе нам необходимо любых доступным и удобным способом собрать абсолютно весь список ПО имеющегося на всех устройствах организации — компьютеры, ноутбуки, сервера, кпк, сервера находящиеся у хостеров, личные компьютеры используемые в работе и т.п.
Всё, что установлено, записано, сохранено и т.п. на всех относящихся к работе организации устройствах нам необходимо найти и занести в единый список, это касается как обычных программ, так и всевозможных плагинов и даже сторонних шрифтов.
Этот процесс можно проводить несколькими способами или их комбинированием:
а) в ручную через список установленного софта и путём осмотра содержимого жёстких дисков (маленький парк ПК, удалённые офисы)
б) полуавтоматически — подошли с флешкой к компьютеру, запустили любой понравившийся нам сканер, сохранили отчёт в файлик, пошли к следующему компьютеру
в) полностью автоматически — установив на всю сеть программный комплекс для сбора и консолидации такой информации
Итогом этого этапа должна стать сводная таблица со списком всего найденного ПО, количеством, расположением и т.п.
Шаг третий: Проведение инвентаризации имеющихся лицензий.
Если организация хотя-бы раз покупала ПО в любом его виде и проявлении — нам нужен этот шаг. Мы собираем всё полученные при покупках подтверждения наших прав на использование ПО и сопутствующие им материалы — сертификаты, лицензионные соглашения, коробки, пересчитываем наклейки на корпусах, установочные диски, серийные номера в электронном виде и т.п. Где всё это искать в своей организации Вы знаете лучше меня — ВЕЗДЕ. Начиная от шкафа сисадмина и заканчивая складом со старыми коробками от техники.
Так-же на этом этапе нам надо сделать копии всех документов касающихся софта, но хранящихся в бухгалтерии — договора поставки, накладные, акты приёма-передачи прав и т.п.
После сбора нам необходимо проанализировать найденные документы, что-бы точно понимать — на что они дают право, а на что нет (часто тут не обойтись без специалистов в этой области).
Итогом этого этапа будет сводная таблица со списком имеющихся лицензий на программное обеспечение и количеством.
Шаг третий с половиной: Сопоставление двух списков.
Соединяя две имеющиеся таблицы в одну общую мы ищем совпадения и разногласия в них.
Если совпадение — на данный софт у нас имеются лицензии и его использование легально.
Если расхождение в сторону отсутствия лицензии или лишней лицензии — разбираем каждый случай индивидуально.
Маленькая ремарка — я знаю что такое GPL, BSD и прочие симпатизирующие мне слова, но на данный момент если у нас в таблице найденного ПО есть что-нибудь вроде убунты, а в таблице найденных лицензий и документов у нас нет ничего упоминающего убунту — у нас могут быть проблемы.
Тут мы должны свести расхождение таблиц к нулю тем или иным способом.
Шаг четвёртый: Разработка процедур.
На этом этапе нам нужна сводная информация полученная в самом начале и очень пригодится стандарт ISO-19770-1
Здесь нам необходимо разработать внутренние документы и положения, которые будут регулировать весь жизненный цикл программного обеспечения в организации.
Т.е. пошаговые инструкции, описывающие необходимые действия ответственных лиц и обычных пользователей в конкретных ситуациях. Например что должен делать пользователь если ему понадобилось новое ПО для работы. Как новое ПО должно попадать в организацию извне. Как с ним обращаться в процессе — установка, использование, хранение, списание и т.п.
Количество и сложность документов зависит от размера организации, небольшие обходятся двумя-тремя бумажками по 1 странице, большие составляют некислый многотомник.
ISO-19770-1 поможет нам в этом деле тем, что даст множество шаблонов таких процедур.
Данные документы позволят поддерживать наведённый на прошлом этапе порядок постоянно.
Шаг пятый: Внедрение.
Применить сразу два-три десятка документов и процедур в устоявшуюся жизнь компании — практически невозможно, мы рискуем вообще парализовать её работу.
Поэтому тут мы разрабатываем план постепенного принятия составленных нами документов для избежания шокового эффекта. После того как приняли последний — со второго по третий с половиной лучше по возможности повторить, ибо внедрение всех документов может занимать достаточно много времени.
PROFIT!
В чём профит для организации от такого порядка? Думаю человек разумный и так всё поймёт, но я некоторые перечислю:
1) Полная лицензионная чистота — думаю не надо объяснять почему это хорошо, статья 146 до шести лет и много-много денег
2) Экономия на приобретаемом ПО — много видел ситуаций когда покупалость то, что уже есть, но затерялось в закромах или покупалось совсем не то, что нужно.
3) Дополнительная безопасность всей ИТ-инфраструктуры — у кого хоть раз пользователи не ловили вируса вместе со скачанным из инета непонятным софтом
4) Возможность планирования расходов на ПО — за счёт формализации процесса приобретения
можно придумать ещё десяток пунктов не столь явных, но остановимся на этом.
Если аудитории данная тема интересна — каждый из пяти шагов я могу разобрать в дополнительный топик, что в принципе и планирую сделать вскоре.
послесловие:
1) Если набить SAM в поисковике — можно увидеть, что эту технологию активнее всего продвигает Microsoft, связано это лишь с тем — что он лидер на рынке программного обеспечения и соответственно больше всех заинтересован в наведении порядка у пользователей (чаще всего выявляются именно недостачи лицензий естественно).
2) Стандарт ISO-19770 можно найти тут — www.iso.org/iso/catalogue_detail?csnumber=33908
к сожалению платный — 112 франков.
Но меня всегда удивляет отношение к такой вещи как программное обеспечение в организациях. Большинство (т.е. больше 50%) из тех, с кем мне приходилось общаться по своей профессии (руководители среднего и высшего звена) вообще не представляют что у них творится с софтом. За парком машин следят — всё наперечёт, за недвижимостью следят, за ТМЦ следят, за туалетной бумагой и то следят, а вот за софтом как-то не очень. Скорее всего это связано с нематериальностью данного «явления» — пощупать нельзя.
Но программное обеспечение это тоже активы предприятия и зачастую более ценные чем другие активы (сравните стоимость любого абстрактного проприетарного серверного решения и стоимость кресла сотрудника). И этот актив рекомендуется держать в порядке. В наведении этого порядка нам и поможет наука называемая Software Asset Management (SAM) — Технология управления активами программного обеспечения.
В этой статье я постараюсь вкратце описать суть этой технологии и как её применить у себя.
Тут я сделаю ремарку во избежании причисления моего топика к многочисленным темам о защите авторских прав и появления множества соответствующих комментариев, речь пойдёт совсем не о том, как важно платить за софт.
9 мая 2006 года был выпущен международный стандарт ISO 19770-1 «SAM Processes» который может нам помочь в этом направлении.
Итак у нас есть организация с количеством компьютеров от 1 до бесконечности, на компьютерах стоит абсолютно любой софт. Организация хочет внедрить у себя данную технологию. Поможем.
Шаг первый: Сбор информации.
Собираем всю общую информацию которая может касаться программного обеспечения — количество компьютеров, серверов, структура сети, расположение компьютеров территориально (офисы, филиалы), как происходит процесс выбора ПО, покупки (если покупаем), установки, настройки, использования, удаления, хранения, кто отвечает за все эти процессы и т.п.
Т.е. нам надо максимально полно оценить что происходит в организации сейчас не вдавайсь в мелкие подробности.
Итогом этого этапа для небольших компаний будет несколько строк текста, для больших тут могут легко выйти десятки и сотни листов.
Шаг второй: Проведение инвентаризации программного обеспечения.
На этом этапе нам необходимо любых доступным и удобным способом собрать абсолютно весь список ПО имеющегося на всех устройствах организации — компьютеры, ноутбуки, сервера, кпк, сервера находящиеся у хостеров, личные компьютеры используемые в работе и т.п.
Всё, что установлено, записано, сохранено и т.п. на всех относящихся к работе организации устройствах нам необходимо найти и занести в единый список, это касается как обычных программ, так и всевозможных плагинов и даже сторонних шрифтов.
Этот процесс можно проводить несколькими способами или их комбинированием:
а) в ручную через список установленного софта и путём осмотра содержимого жёстких дисков (маленький парк ПК, удалённые офисы)
б) полуавтоматически — подошли с флешкой к компьютеру, запустили любой понравившийся нам сканер, сохранили отчёт в файлик, пошли к следующему компьютеру
в) полностью автоматически — установив на всю сеть программный комплекс для сбора и консолидации такой информации
Итогом этого этапа должна стать сводная таблица со списком всего найденного ПО, количеством, расположением и т.п.
Шаг третий: Проведение инвентаризации имеющихся лицензий.
Если организация хотя-бы раз покупала ПО в любом его виде и проявлении — нам нужен этот шаг. Мы собираем всё полученные при покупках подтверждения наших прав на использование ПО и сопутствующие им материалы — сертификаты, лицензионные соглашения, коробки, пересчитываем наклейки на корпусах, установочные диски, серийные номера в электронном виде и т.п. Где всё это искать в своей организации Вы знаете лучше меня — ВЕЗДЕ. Начиная от шкафа сисадмина и заканчивая складом со старыми коробками от техники.
Так-же на этом этапе нам надо сделать копии всех документов касающихся софта, но хранящихся в бухгалтерии — договора поставки, накладные, акты приёма-передачи прав и т.п.
После сбора нам необходимо проанализировать найденные документы, что-бы точно понимать — на что они дают право, а на что нет (часто тут не обойтись без специалистов в этой области).
Итогом этого этапа будет сводная таблица со списком имеющихся лицензий на программное обеспечение и количеством.
Шаг третий с половиной: Сопоставление двух списков.
Соединяя две имеющиеся таблицы в одну общую мы ищем совпадения и разногласия в них.
Если совпадение — на данный софт у нас имеются лицензии и его использование легально.
Если расхождение в сторону отсутствия лицензии или лишней лицензии — разбираем каждый случай индивидуально.
Маленькая ремарка — я знаю что такое GPL, BSD и прочие симпатизирующие мне слова, но на данный момент если у нас в таблице найденного ПО есть что-нибудь вроде убунты, а в таблице найденных лицензий и документов у нас нет ничего упоминающего убунту — у нас могут быть проблемы.
Тут мы должны свести расхождение таблиц к нулю тем или иным способом.
Шаг четвёртый: Разработка процедур.
На этом этапе нам нужна сводная информация полученная в самом начале и очень пригодится стандарт ISO-19770-1
Здесь нам необходимо разработать внутренние документы и положения, которые будут регулировать весь жизненный цикл программного обеспечения в организации.
Т.е. пошаговые инструкции, описывающие необходимые действия ответственных лиц и обычных пользователей в конкретных ситуациях. Например что должен делать пользователь если ему понадобилось новое ПО для работы. Как новое ПО должно попадать в организацию извне. Как с ним обращаться в процессе — установка, использование, хранение, списание и т.п.
Количество и сложность документов зависит от размера организации, небольшие обходятся двумя-тремя бумажками по 1 странице, большие составляют некислый многотомник.
ISO-19770-1 поможет нам в этом деле тем, что даст множество шаблонов таких процедур.
Данные документы позволят поддерживать наведённый на прошлом этапе порядок постоянно.
Шаг пятый: Внедрение.
Применить сразу два-три десятка документов и процедур в устоявшуюся жизнь компании — практически невозможно, мы рискуем вообще парализовать её работу.
Поэтому тут мы разрабатываем план постепенного принятия составленных нами документов для избежания шокового эффекта. После того как приняли последний — со второго по третий с половиной лучше по возможности повторить, ибо внедрение всех документов может занимать достаточно много времени.
PROFIT!
В чём профит для организации от такого порядка? Думаю человек разумный и так всё поймёт, но я некоторые перечислю:
1) Полная лицензионная чистота — думаю не надо объяснять почему это хорошо, статья 146 до шести лет и много-много денег
2) Экономия на приобретаемом ПО — много видел ситуаций когда покупалость то, что уже есть, но затерялось в закромах или покупалось совсем не то, что нужно.
3) Дополнительная безопасность всей ИТ-инфраструктуры — у кого хоть раз пользователи не ловили вируса вместе со скачанным из инета непонятным софтом
4) Возможность планирования расходов на ПО — за счёт формализации процесса приобретения
можно придумать ещё десяток пунктов не столь явных, но остановимся на этом.
Если аудитории данная тема интересна — каждый из пяти шагов я могу разобрать в дополнительный топик, что в принципе и планирую сделать вскоре.
послесловие:
1) Если набить SAM в поисковике — можно увидеть, что эту технологию активнее всего продвигает Microsoft, связано это лишь с тем — что он лидер на рынке программного обеспечения и соответственно больше всех заинтересован в наведении порядка у пользователей (чаще всего выявляются именно недостачи лицензий естественно).
2) Стандарт ISO-19770 можно найти тут — www.iso.org/iso/catalogue_detail?csnumber=33908
к сожалению платный — 112 франков.
комментарии (24)