Программное обеспечение как сервис (SaaS) должно управляться как часть управления программными активами (Software Asset Management, SAM). Главный аналитик Forrester Бисваджита Махапатра, соавтор отчета Forrester " Why you must rethink your software asset management practices«, дает на портале ComputerWeekly несколько практических советов о том, как это реализовать.

SAM превратилось из простого бэк-офисного учета в более сложное управление лицензиями и контрактами, в которое интегрированы такие инновационные технологии, как искусственный интеллект, машинное обучение и генеративный ИИ (GenAI).

Успешное внедрение SAM позволяет сэкономить на стоимости лицензий, повысить уровень соответствия и сократить количество корректировок. Оно также повышает эффективность использования ПО, позволяя компаниям извлекать больше пользы из существующих инвестиций, удалять неиспользуемые, ненужные или архитектурно непригодные приложения, а также улучшать отношения с поставщиками за счет более эффективного управления контрактами. Большинство практик и инструментов SAM существуют уже давно, и SAM продолжает играть важную роль на протяжении всего цикла приобретения ПО.

Фирмы сегодня используют процессы SAM не только для поддержки разовых мероприятий, аудита ПО или продления контрактов, но и для эффективного управления затратами и оптимизации технологий. Отслеживание облачных лицензий, регистрация контрактов, управление и связывание активов, а также понимание прав доступа остаются областями, на которых должны сосредоточиться поставщики SAM.

В исследовании Forrester «The State Of Modern Technology Operations Maturity, 2023» только 37% всех специалистов по цифровым технологиям и ИТ (43% на крупных предприятиях) согласились с тем, что ПО их организации хорошо контролируется и управляется командой SAM. Перед ИТ-отделом стоит множество задач, включая разработку новых систем и устранение высокоприоритетных инцидентов. Но с точки зрения процесса, который должен быть последовательным и повторяемым, SAM является сложным и трудным, и немногие компании считают, что полностью овладели им.

Кажущийся простым вопрос о том, установлено ли на том или ином устройстве то или иное ПО, таит в себе множество сложностей и подводных камней. Согласование этого трудно устанавливаемого технического факта с договорными правами на использование ПО является сложной задачей.

Основным ценностным предложением SAM является снижение операционного риска за счет уменьшения вероятности неблагоприятных аудиторских проверок ПО и неожиданных массовых корректировок. Но даже это менее выгодное, чем получение дохода или сокращение затрат, предложение делает SAM привлекательным способом сокращения расходов.

Сложность SAM

Экспертов в предметной области нелегко найти, и их часто приходится готовить изнутри — они ценны и поэтому подвержены переманиванию.

В качестве примера можно привести крупное предприятие, в котором работает более 5000 сотрудников, поручившее команде SAM, состоящей всего из трех человек, еженедельно составлять отчет о соблюдении требований по всем отделам и отправлять его руководителям подразделений. Перед компанией встала дилемма: с одной стороны, ей требовалось больше ресурсов, чтобы обеспечить точный учет каждого приложения, его фактическое использование и соответствие требованиям; с другой стороны, соображения оптимизации расходов привели к планам либо передать функцию SAM на аутсорсинг, либо привлечь для подготовки отчетов SAM внештатных сотрудников.

Каталоги технологий

Каталог технологий — это список технологий, которыми управляют, укомплектовывают персоналом и защищают предприятия.

Корпоративным архитекторам, часто отвечающим за управление жизненным циклом технологий, необходим надежный и чистый основной список всех поставщиков и наименований ПО (в том числе с открытым исходным кодом), представленный в виде цифрового актива, в идеале с указанием дат жизненного цикла, включая общую готовность, окончание срока службы и расширенную поддержку.

Службе безопасности требуются аналогичные данные для исправлений и управления поверхностью атаки, что, согласно недавним исследованиям, является наиболее важной практикой для улучшения результатов обеспечения безопасности.

Некоторые SAM-инструменты, такие как Flexera IT Visibility и аналогичные предложения ServiceNow и других компаний, предоставляют эту информацию в виде каталога.

Еще одна сложность заключается в том, что распространение SaaS-решений, доступных через веб-браузеры, первоначально вызвало определенные трудности у поставщиков SAM. Лицензирование облачных вычислений — это не столько вопрос лицензирования и соблюдения требований, сколько проблема оптимизации и использования.

Большинство поставщиков SAM используют стандартные брокеры безопасного доступа к облаку (CASB) с единым входом или плагины для браузеров для учета и управления контрактами и использованием SaaS. Поставщики SAM также могут иметь стандартные API, которые интегрируются с большинством крупных поставщиков SaaS для получения данных о лицензиях и контрактах.

Стоит также отметить, что свободное ПО с открытым исходным кодом имеет свой собственный набор проблем, связанных с распространением и коммерциализацией. Поэтому компаниям крайне важно регистрировать любое ПО категории Open Source, особенно то, которое поставляется с лицензией GNU Affero General Public License.

Изменение стратегии SAM

В области управления ИТ-активами (ITAM) и SAM акцент смещается с аудита ПО и соблюдения лицензионных требований. Теперь они больше сосредоточены на управлении использованием, безопасности и управлении рисками по контрактам, а также на оптимизации затрат, расходов и бизнес-ценности. По мнению Forrester, при правильном построении процессов и использовании инструментов компании могут получить от инструментов SAM больше пользы для бизнеса.

Одно из направлений их использования — управление поставщиками. Инструменты SAM могут предоставить командам по управлению поставщиками информацию об использовании активов, их местонахождении и данных о производительности для заключения сделок с поставщиками ПО, оборудования и услуг. Они также помогают точно настроить соглашения и заключать более выгодные сделки, выявляя области, которые необходимо оптимизировать, расширить или исключить.

Инструменты SAM также способствуют оптимизации затрат на использование ПО и снижают риск дополнительных расходов на корректировку. Хотя выставление претензий по ПО часто является движущей силой внедрения SAM, правильное использование программных активов и лицензий с помощью SAM снижает другие риски. К ним относятся риски несоблюдения нормативных требований, связанные с несанкционированной установкой ПО, превышением лицензионных лимитов или использованием ПО без соответствующих лицензий; финансовые риски, связанные со штрафами за несоблюдение нормативных требований или оплатой ненужных подписок или лицензий на ПО; а также риски безопасности, связанные с использованием неподдерживаемого ПО, что может приводить к кибератакам или утечкам данных.

Роль искусственного интеллекта в SAM

По мере усложнения среды, когда облачные, периферийные и в перспективе квантовые вычисления создают «путаницу» в активах, а структура лицензий постоянно меняется, становится все более важным применять интегрированный подход к управлению активами и внедрять инновационные технологии, такие как GenAI и автоматизация, для повышения операционной эффективности и снижения ручной нагрузки, рисков и затрат. Хотя поставщики еще не выпустили эти новые функции, они активно разрабатывают ряд возможностей MО и GenAI.

По мнению Forrester, GenAI облегчит управление жизненным циклом контракта, автоматизировав такие этапы, как составление, переговоры, утверждение, исполнение и мониторинг. Управляющие активами смогут использовать GenAI для быстрого создания и изменения контрактов в соответствии со своими специфическими потребностями, соблюдая при этом организационную политику и нормативные требования.

Машинное обучение также может быть использовано для контроля соблюдения требований и оценки рисков. Инструменты MО могут тщательно изучать контракты для выявления рисков соответствия, прогнозировать нарушения лицензий, обнаруживать несанкционированное использование ПО и оптимизировать решения о закупке лицензий. Автоматически сопоставляя данные об использовании ПО с правами и условиями лицензий, алгоритмы MО могут помочь организациям подготовиться к аудиту, выявить потенциальные пробелы в соблюдении требований и предоставить доказательства в поддержку усилий по сверке лицензий. Алгоритмы обнаружения аномалий на основе MО могут также выявлять попытки несанкционированной установки, использования или доступа к ПО.

Все основные корпоративные платформы управления сервисами, поддерживающие ITAM, — ServiceNow, BMC Helix, Ivanti — предлагают чат-боты. По прогнозам Forrester, чат-боты на базе GenAI будут предоставлять все более персонализированные рекомендации для принятия решений по управлению активами, анализируя предпочтения пользователей, исторические взаимодействия и контекстные данные, и смогут подстраивать ответы под индивидуальные потребности пользователей, будь то рекомендации по лицензированию ПО на основе моделей использования или предложения инвестиционных стратегий на основе профилей риска.