Совокупная стоимость владения ПО в числе прочего включает затраты на управление программными активами в течение их жизненного цикла — установка, обновление, работа с лицензиями. В отсутствие централизованного подхода и должного специального инструментария эти расходы могут стать очень существенными и, что немаловажно, неоправданными, что особенно верно для крупных компаний. Как известно, существует целый класс специальных продуктов для управления ПО, в западной терминологии — SAM (Software Asset Management), основная цель которых состоит в автоматизации и оптимизации данной составляющей TCO.
Базируются SAM-продукты на международном стандарте ISO/IEC 19770, который ориентирован — в том виде, в каком он существует сейчас, — в основном на крупный бизнес, охватывая несколько десятков ключевых бизнес-процессов организации. Тесную связь системы управления ПО с эффективностью бизнес-процессов компаний подчеркивали все выступавшие на Russian SAM Academy — Второй деловой конференции по управлению программными активами в России, проведенной недавно газетой “Ведомости”. В списке тем представленных докладов были мировая практика SAM, актуальность системы управления ПО при сделках слияний и поглощений, степень понимания российским бизнесом характера корпоративных лицензионных соглашений и многие другие вопросы. По итогам конференции ее участники рекомендовали компаниям оценить риски безопасной эксплуатации своего ПО, а также поддержали инициативу создания отечественного ГОСТа на базе международного ISO/IEC 19770.
SAM: основные проблемы, задачи и результаты
Хизер Янг, директор программ по управлению программными активами Microsoft и действительный член ISO/IEC JTC 1 SC 7, рабочей группы 21 по стандартам управления активами ПО, выступившая на конференции одной из первых, подчеркнула, что SAM — инструмент, использование которого имеет прямое отношение к фундаменту бизнеса. Высокий уровень зрелости при внедрении SAM-практики предполагает подготовку базовых бизнес-процессов компании, включая разворачивание ПО, мониторинг его использования и инвентаризацию. За последнее десятилетие произошло качественное изменение ИТ-ландшафта современной компании, отметила г-жа Янг. Ранее ПО находилось исключительно на территории заказчика и представляло собой набор дискретных элементов, сегодня же, в связи с виртуализацией ИТ-инфраструктуры и все большим распространением гибридных сред, сочетающих физическую и виртуальную компоненты, центр ответственности постепенно смещается в ЦОД, которому и необходимо брать на себя функцию управления программными активами, уверена Хизер Янг. В портфеле Microsoft, отметила она, имеются три варианта услуг в связи с внедрением SAM: начального уровня (инвентаризация установленного ПО Microsoft, проверка документальных доказательств лицензий и др.), оценка (анализ существующей в компании практики управления ПО, оценка ее зрелости согласно стандартам SOM — SAM Optimization Model и др.) и планирование внедрения (инвентаризация, контроль и др.). В своем докладе г-жа Янг особенно подчеркнула, что упорядочение управления лицензиями может привести к уменьшению лицензионных выплат и как результат — к снижению совокупной стоимости владения ПО. На вопрос из зала, какой интерес у Microsoft снижать лицензионные выплаты, она ответила, что корпорация в первую очередь “рассчитывает на хорошие долгосрочные отношения” с клиентами.
Крис Джонсон, вице-президент компании Anglepoint, так же, как и коллега из Microsoft, уверен, что управление ПО не сводится только к внедрению специальных инструментов, но еще подразумевает изменение управленческих процессов. В то же время существует большая разница между SAM согласно ITIL и тем, как это работает на практике. Согласно ITIL, напомнил г-н Джонсон, управление программными активами относится ко всей ИТ-инфраструктуре и процессам, необходимым для эффективного управления, контроля и защиты программных активов в течение всего жизненного цикла. Но практика внедрения ни в одной компании мира данному определению не соответствует, констатировал он. В действительности SAM — это “поступки”, которые организация совершает (или не совершает) в связи с программными активами, отметил г-н Джонсон. При этом контроль информации и процессов на всех этапах жизненного цикла ПО отсутствует, но компания все равно занимается управлением ПО, уверен он. Один из участников конференции на сессии вопросов творчески развил данный тезис докладчика, предложив исключить из практики внедрения SAM ключевое понятие “программный актив”. Следует говорить лишь о комплексе мероприятий с целью минимизировать риски нарушения правил использования ПО, обобщил он личный внедренческий опыт в данной сфере, потому что “бухгалтеры не понимают, что такое программный актив”. Крис Джонсон не согласился с таким подходом. Программа — хоть и неосязаемый, но реальный и живой актив, специфика которого в том, что условия его использования меняются в зависимости от внешних факторов и в результате ПО начинает жить по собстенным правилам, — это важно понимать, подчеркнул представитель компании Anglepoint.
Дэвид Скотт, партнер KPMG, обозначил три важных пласта в управлении ПО: управление финансовыми задачами (оплата счетов, выплата налогов и др.), операционное управление (установка, обновление, деинсталляция) и управление контрактными отношениями с вендорами. В числе основных и реально достижимых результатов внедрения системы управления ПО г-н Скотт перечислил избавление от избыточного ПО, получение реальной картины установленных и на деле работающих систем, централизацию закупок программных активов и мониторинг использования ПО в реальном времени.
SAM и Россия
Георг Херрнлебен, старший директор BSA в странах Европы, Ближнего Востока и Африки, привел данные IDC по распространению нелегального ПО в России (63% ПО — нелегальное) за минувший год, попутно отметив позитивную динамику (еще недавно было 83%). Самая же большая проблема в сфере SAM, как считает представитель BSA, состоит в том, что ни один вендор уже не способен гарантировать, что всё легальное ПО, установленное в компании, полностью соответствует приобретенным лицензиям и допустимым условиям его использования. В связи с этим сегодня, сделал вывод г-н Херрнлебен, на первый план выдвигается задача создания экосистемы SAM, включающей в себя такой необходимый элемент, как сертификация специалистов — как в мире, так и в России.
Игорь Хлебников, руководитель консалтинговых проектов компании Consistent Software Distribution (CSD), констатировал, что интерес к управлению ПО в России растет (только за последние несколько месяцев CSD инвентаризировала более 60 тыс. компьютеров и серверов в нескольких крупных российских компаниях, отметил он). Переходя к методической части проблем внедрения SAM, он подчеркнул, что SAM не отменяет ITIL, а только дополняет тремя важными положениями: управление безопасностью, эффективностью развертывания и лицензионной чистотой (compliance). Докладчик подчеркнул, что внедрение управления ПО — не разовая инвентаризация ПО, а постоянные процессы, нацеленные на “изменения в головах”. Вместе с тем инвентаризация — это первое, что необходимо сделать в рамках любого проекта внедрения SAM, и в крупных компаниях с гетерогенной ИТ-средой, включающей виртуальные серверы, это непростая задача, сообщил докладчик.
В прошлом году, напомнил Игорь Хлебников, был утвержден “процессный стандарт” ISO/IEC 19770-1: SAM process, основная идея которого в том, что ни одна компания не способна осуществить постановку SAM “мгновенно”, поэтому разработчики стандарта предусмотрели пошаговое приближение к постоянно функционирующей системе управления лицензированием. Он согласился с коллегой из BSA о необходимости сертификации специалистов по SAM, в связи с чем подчеркнул также чрезвычайную важность создания и принятия российского ГОСТа на базе международных стандартов, за “непосильную задачу” разработки которого и взялась компания CSD.
Информация с российских полей
Елена Денисова, генеральный директор Danik Advisory Services, поделилась с коллегами любопытной информацией о типичных российских проблемах и интересных случаях при внедрении SAM. Так, по ее словам, в российских компаниях часто не знают, что начинать оптимизировать расходы на лицензии можно уже на стадии покупки ПО — путем корпоративного соглашения с вендором (так называемое Enterprise Agreement). В его рамках можно предусмотреть скидки, причем не только для центрального офиса и региональных подразделений головной компании, но и для всех предприятий, входящих в холдинг или корпорацию. Правда, сразу оговорилась г-жа Денисова, у таких договоренностей есть множество нюансов, о которых следует знать и которые нужно учитывать. Одна из таких тонкостей — условие стандартизации конфигурации покупаемого ПО, что не всегда и не всех может устроить. Или такой момент, о котором порой не знают (а иногда откровенно забывают): наличие бонусов корпоративного соглашения в виде технической поддержки ПО со стороны вендора и бесплатного обучения пользователей в рамках заключенного соглашения. Есть для компаний и еще одна возможность облнгчить себе жизнь в плане управления ПО, дополнила г-жа Денисова, — приобретение электронных лицензий вместо коробочных, что сильно упрощает процесс хранения и учет лицензий.
Незнание особенностей лицензионной политики вендоров может привести не только к упущенной выгоде в виде экономии при покупке лицензий, но и к противоположному результату. В одной компании, рассказала докладчица, персонал работал на OEM-версиях операционных систем, приобретенных вместе с компьютерами. Затем было принято решение и с вендором заключено корпоративное соглашение на обновление установленных ОС. Предполагая, что вместе с правом на обновление были приобретены базовые лицензии на операционные системы, компания стала отказываться от предустановленных OEM-версий при покупке новых компьютеров. В результате вместо запланированного перехода на использование лицензионного ПО случился переход на нелицензионное, констатировала Елена Денисова.
Она рассказала еще о нескольких случаях, некоторые из них вполне анекдотичны. Одна компания приобрела так называемые “легализационные пакеты”, получила “кучу наклеек” и вместо того, чтобы наклеить на компьютер, тут же поместила их в шкаф — для большей сохранности, как объяснили свои действия сотрудники. Другой оригинальный пример непонимания важности лицензионной наклейки — чересчур старательная уборщица, сдирающая наклейки со всех компьютеров на подведомственной ей территории. Привела Елена Денисова и довольно редко встречающийся сегодня случай (хотя, добавим, еще лет пятнадцать назад такое случалось частенько): самоликвидация системы управления ПО в результате конфликта и увольнения в полном составе ИТ-отдела, вместе с которым “ушли” все пароли. Встречались в её практике и другие интересные примеры — когда в региональном офисе компании тайком от головного приобреталось и пряталось ПО (из опасений, что могут отобрать) или же в некой организации полностью отсутствовал не только контроль за действиями системных интеграторов, но даже понимание сути выполняемых на территории компании работ.
В итоговую резолюцию, принятую участниками конференции, была включена в числе прочего рекомендация выделить сотрудника, который проведет оценку рисков безопасности, связанных с эксплуатацией ПО, и подготовит план дальнейших мер по улучшению практик управления программными активами. Отметим, что хотя многое из услышанного на конференции выглядит вполне обоснованным и актуальным, внедрение SAM означает для бизнеса новые затраты — по крайней мере на предварительной стадии, а насколько они окажутся экономически целесообразными в перспективе, это конечно же предстоит выяснять каждой компании самостоятельно.