Тема управления активами ПО (Software Asset Management, SAM) — не из разряда «горячих», но ее значимость нельзя переоценить: SAM позволяет организациям здорово экономить средства, в том числе за счет снижения финансовых и юридических рисков, пишет на портале InformationWeek директор по вопросам защиты от кибератак Deloitte Risk and Financial Advisory Дэйв Доусон.
В последние годы популярность SAM на фоне других технологических инициатив угасла. В погоне за новизной ИТ-директора и другие ИТ-лидеры приступили к цифровой трансформации, осуществляют переход в облако, интересуются консолидацией ЦОДов и другими насущными задачами, отодвинув на второй план вопросы лицензирования, закупок, патчинга, обновления и прогнозирования потребностей в ПО. Возможно, такая ситуация сложилась из-за того, что ПО — это что-то вроде привычного водопровода, который работает скрытно и не требует к себе особого внимания.
Однако ПО — это костяк предприятия, на который опираются бизнес-операции и активы. Более того, оно само по себе очень ценный актив. Применяемое в контексте SAM, которое предназначено для учета, лицензирования, развертывания и использования ПО, оно может принести множество долгосрочных преимуществ, оберегая организацию от лишних рисков.
Задействование SAM позволяет придать устойчивость управлению ИТ-активами (IT Asset Management, ITAM) и сервисами (IT Service Management, ITSM). Что касается ITAM, то собранные с помощью SAM базовые данные могут использоваться для заполнения и подтверждения базы данных управления конфигурациями (CMDB); в ITSM оно может применяться для повышения эффективности управления, предоставляя достоверные данные о том, какие программы и в каких системах запущены.
Казалось бы, преимущества, которые предлагает SAM, не оставляют места сомнениям — это крайне полезный инструмент, но на практике многие компании или игнорируют его, или применяют неправильно. Согласно недавнему опросу Deloitte, 74% компаний вовсе не применяют функционал SAM, а 83% опрошенных исключили его из числа стратегических инициатив. Так почему же предприятия отказываются от SAM тогда, когда ПО становится все более важным для обеспечения операционной деятельности, кибербезопасности и помогает сэкономить средства? Давайте подробнее рассмотрим некоторые причины, которые ими двигают.
Барьеры на пути правильного применения SAM
SAM может стать движущей силой возврата инвестиций, принося экономию средств за счет лицензирования. Как показало недавнее исследование Deloitte, многим компаниям не удалось добиться существенной экономии затрат на ПО, которые в среднем составляют 25% от их ежегодных затрат на техническое обслуживание. Итак, что же мешает большинству руководителей ИТ-подразделений использовать SAM должным образом?
Одной из причин является то, что плохо оптимизированное применение ПО скорее вызывает удивление, чем тревогу. Нередки ситуации, когда ПО, развернутое без должного контроля со стороны SAM, становилось причиной того, что предприятия оплачивают дополнительные лицензионные сборы за неиспользуемые или избыточно закупленные копии ПО. Однако такие ситуации не всегда приводят к тому, что ИТ-руководители пересматривают вопрос управлениями ИТ-активами.
К примеру, если проведенный поставщиком ПО аудит выявляет, что предприятие развернуло большее количество рабочих точек с ПО, чем это предусмотрено лицензионным соглашением, то с большой долей вероятности можно предположить, что ИТ-менеджер проведет оплату за неправомерно используемые лицензии, а избежать штрафов он сможет, купив у поставщика дополнительное ПО (которое часто не требуется). Это порочная практика, которая не позволяет подобраться к решению проблемы избыточных закупок ПО-лицензий. Еще одним препятствием для корректного использования SAM является нестыковка закупочных процедур или выбора поставщиков ПО между отдельными бизнес-подразделениями внутри одной организации.
Например, в следующем финансовом году предприятие запланировало реализовать проект и провело предварительную закупку пакета лицензий. Нужно отметить, что лишь немногие организации имеют адекватные механизмы контроля, чтобы пересмотреть процедуру закупки и «откатить» результаты, если этот проект будет отложен, изменен или отменен. У тех, кто ими не обладает, копится избыток неиспользованных лицензий (т. н. «софт на полке», shelfware) Учитывая, что на лицензирование ПО приходится четверть общих затрат на ежегодное техническое обслуживание, предприятия обрекают себя на значительные расходы.
Акцент на безопасности ПО
Предприятиям пришла пора понять, что цена бездействия слишком высока. Отказываясь от применения SAM или используя его неправильно, они подвергают подключенную и сложную цифровую экосистему ПО опасности заражения вредоносными программами. По оценкам Европейского агентства по сетевой и информационной безопасности, только одна из пяти компаний может похвастаться отсутствием программных уязвимостей, которые эксплуатируются кибер-злоумышленниками для получения доступа к ИТ-системам.
Другими словами, защитить свое ПО может только та компания, которая имеет четкое представление о развернутых копиях. Таким компаниям не грозит взлом из-за того, что у них имеются программы, которые не обновлялись годами или были установлены в качестве бонуса при покупке базовых продуктов. Отсутствие слежения и контроля за установленным парком программ нарушает общую картину безопасности предприятия, что показал пример с вирусом-вымогателем WannaCry. Напомним, это была массированная атака, которая прошла в 2017 г. и показавшая уязвимость корпоративных систем. Несмотря на то, что ее можно было предотвратить — патч для закрытия уязвимости был выпущен за несколько месяцев до атаки — многие предприятия по каким-то причинам его не установили и это привело к серьезным последствиям.
Некачественная работа SAM — это упущенная возможность для защиты ИТ, а также отсутствие возможности видеть угрозы и уязвимости. SAM позволяет лучше понять программный ландшафт, а значит — защитить себя.
Приступая к реализации SAM
Организации, которые желают внедрить SAM, сталкиваются с выбором: стоит ли делать это в одиночку или прибегнуть к услугам консультанта, который специализируется на SAM. Сделать выбор не просто, и вот почему. Обращение к провайдеру управляемых услуг предоставляет несколько потенциальных преимуществ. Он предлагает комплексный подход к управлению ПО, который включает внедрение ведущих технологических SAM-платформ, привлекает специалистов в области лицензирования ПО, избавляя клиента от необходимости копаться в условиях контракта и лицензии, чтобы не нарушить их. Все это обеспечивает его предсказуемыми результатами и достоверными данными для принятия важных бизнес-решений.
В отличие от рынка электроэнергии, который вынужден подчиняться регуляторным нормам, стандартам и требованиям, рынок ПО более свободен от регуляторов, однако взамен свои правила устанавливают поставщики. Они диктуют множество различных лицензионных условий, процессов, правил, операционных стандартов и др., что многократно усложняет процедуру развертывания ПО. Дело в том, что большая организация может устанавливать сотни или тысячи программ, которые соединяются со многими базам данных, и поэтому подпадать под различные типы лицензирования.
Работа с технологическими SAM-платформами требует профессиональных навыков, поэтому в качестве альтернативы можно выбрать внешнего поставщика услуг. Этот выбор предпочтительнее, поскольку не всем предприятиям по карману содержать специалиста на полную ставку или, как минимум, переучивать работе с SAM имеющихся в штате сотрудников.
Однако будь-то желание сэкономить средства, повысить эффективность или же стремление обеспечить безопасность работы ПО без хорошего понимания программной среды — инвестиций в SAM не избежать. Необходимость в управлении программными активами неизбежна в жестко регулируемых секторах экономики, где организациям нужно обеспечить стабильную работу операционных технологий или критически важной инфраструктуры, однако она может принести выгоды каждой компании вне зависимости от секторальной принадлежности.