Конечно, концепция SAM затрагивает широкий круг вопросов, но общая цель одна — выяснить, насколько эффективно организовано управление программным обеспечением. В данном случае под эффективностью понимается не только оптимизация систематического использования активов, но и исключение рисков при покупке и установке ПО в корпоративной информационной среде. Риски могут быть юридическими (использование ПО в нарушение лицензии, невозможность своевременного предоставления правоохранительным органам документов, подтверждающих покупку ПО и т.п.), технологическими (отсутствие своевременных обновлений ПО, а значит, технологическое отставание и снижение безопасности корпоративной информационной системы) и, наконец, деловыми (ухудшение имиджа компании по причине использования пиратского ПО, вирусных инфекций, пропущенных хакерских атак, а также неполучение возможных скидок при покупке ПО, оформлении банковского кредита и т.п.).
В последнее время наблюдаются две устойчивые тенденции: общее увеличение активов программного обеспечения на предприятиях и переход корпоративных пользователей на легальное ПО. Результатом первой является усугбление «технологического хаоса» и наращивание издержек, связанных со сбоями ПО, угрозами безопасности и отсутствием стандартов, что приводит к лишним затратам рабочего времени сотрудников. По оценке Александра Голева, директора компании «Кварта Консалтинг», лицензированного партнера Microsoft со специализацией SAM, при внедрении этой концепции удается сэкономить до 30% человекочасов: специалистам ИТ приходится меньше «бегать» по офису для оказания поддержки в простейших операциях, а пользователи быстрее изучают новые продукты за счет минимизации их количества, доступности документации и отработанной регламентированной схемы обучения.
Что касается второй тенденции, то переход на лицензионное ПО отнюдь не отменяет юридических рисков, хотя и существенно снижает их. Условия лицензионного использования отличаются (иногда очень существенно!) от продукта к продукту, и покупка обычной «коробки» не означает, что приобретенным ПО можно распоряжаться по собственному усмотрению и устанавливать на любое количество серверов или рабочих станций, а следовательно, кто-то должен контролировать этот процесс и управлять им. Важно отметить, что речь идет не только о коммерческих продуктах, купленных централизованно от имени компании, но и о бесплатном, а так же условно бесплатном программном обеспечении, устанавливаемом пользователями на своих рабочих станциях.
Иногда термин SAM понимают в более узком смысле — управление лицензиями. В действительности же концепция SAM включает в себя и управление другими процессами, связанными с ПО, вплоть до описания мест хранения справочной документации к программным продуктам (см. Таблицу 1). SAM не является какой-либо технологией, а представляет собой набор соответствующих рекомендаций. Этот набор достаточно гибок и не зависит от предпочтений какого-либо производителя. Ключевыми компонентами концепции являются регулярная инвентаризация, а также введение процедур и стандартов на управление, хранение, закупки программного обеспечения. Кроме того, все упомянутые процессы должны быть централизованы.
Специалисты компании, знакомые с SAM, могут самостоятельно разработать концепцию, рассчитанную на конкретное предприятие, и внедрить ее. В России уже доступны программы подготовки специалистов по SAM и налажены процессы обучения, появились компании, оказывающие услуги по внедрению SAM «под ключ» (список таких компаний-консультантов и их клиентов опубликован на сайте компании Microsoft в разделе, посвященном SAM). Только у Microsoft имеется несколько десятков партнеров, оказывающих подобные услуги. Кроме того, многие крупные разработчики ПО и их объединения, в частности, Business Software Alliance, активно поддерживают развитие этой концепции в России и по первому требованию готовы предоставить исчерпывающую информацию.
ВСЕГО ПЯТЬ ШАГОВ
Процедура упорядочивания процессов, связанных с применением ПО на предприятии, и приведения их в соответствие с рекомендациями SAM состоит всего из пяти шагов — сбора информации, инвентаризации ПО, сопоставления лицензий, разработки стратегического подхода и подготовки плана по управлению лицензиями.
Сбор начальной информации. На данном этапе предстоит выяснить количество персональных компьютеров в организации, в том числе серверов, определить структуру компьютерной сети (так как в дальнейшем это будет влиять на функционал приобретаемого ПО), составить полный список используемого программного обеспечения. Цель — представить полную картину применения ПО в организации.
Уже в самом начале рекомендуется назначить ответственных за закупку и эксплуатацию ПО в рамках всей организации с учетом запросов разных департаментов — подобная централизация процессов позволит избежать дублирования закупок. Если в компании имеется нелегально установленное ПО, то следует решить вопрос о его легализации с руководством и согласовать дальнейшую тактику покупки лицензионных продуктов.
Необходимо помнить, что реализация всех этапов потребует времени и усилий не только со стороны отдела ИТ, руководящего звена, но и сотрудников других отделов, поэтому о целях и задачах предстоящих изменений стоит проинформировать весь персонал и заручиться корпоративной поддержкой. Это позволит значительно сократить сроки внедрения.
Все процедуры по внедрению SAM потребуют координации, поэтому необходимо назначить ответственного за проект. В большинстве случаев достаточно делегировать полномочия, к примеру, директору информационной службы или финансовому директору. Несомненно, успешная реализация внедрения SAM добавит авторитета любому руководителю, как внутри компании, так и на рынке труда в целом.
Инвентаризация ПО. Инвентаризацию можно провести двумя способами. Самый простой и довольно точный, но требующий большего времени — сделать все вручную. В этом случае данные в отношении каждого компьютера заносятся в единую таблицу. Однако все то же самое проделывается автоматически с использованием специального программного обеспечения, которое предоставляет полный перечень программных продуктов и их версий, установленных на подключенных к сети компьютерах.
Условно программы для инвентаризации ПО можно разделить на две группы — «простые» и «сложные». Для «простых» продуктов главной функцией является аудит уже установленного программного обеспечения. Они не нуждаются в установке специального агента на исследуемые машины, либо его очень просто установить. «Сложные» решения выполняют не только аудит — последний всего лишь часть функционала наряду с дальнейшим управлением активами. Такие программы требуют длительной процедуры развертывания и интеграции в инфраструктуру (домен Windows), а также наличия на исследуемых компьютерах специального «агента».
При выборе решения рекомендуется обращать внимание на такие факторы, как поддержка различных платформ (если в организации применяются не только системы под управлением Windows), способы сбора информации — диск или реестр, возможность экспорта данных в базу данных. Если ноутбуки сотрудников труднодоступны, то необходима возможность быстрого сканирования мобильных устройств без длительного развертывания «агента».
В дополнение, для выявления всех основных установленных продуктов Microsoft, можно использовать программу Microsoft Software Inventory Analyzer (MSIA). Среди специализированных коммерческих продуктов отметим Lavalys Everest Corporate Edition и разработку чешских партнеров Microsoft — продукт AuditPro.
Сопоставление лицензий. Количество закупленных лицензий на ПО и число реальных инсталляций в компании не всегда совпадают, поэтому в процессе внедрения SAM придется собрать все документы, касающиеся покупки программного обеспечения, и провести сопоставление с установленным ПО на серверах и рабочих станциях. Если единого места хранения такой документации не предусмотрено, то его необходимо согласовать и определить, чтобы впоследствии переместить туда все найденные и вновь поступившие документы. Как правило, документы на покупку ПО находятся в бухгалтерии, на рабочих местах сотрудников, на складе.
Не будет лишним и привлечение специалиста по лицензированию ПО, способного разобраться во всех тонкостях разнообразных лицензионных соглашений. Полученный в итоге отчет позволяет установить степень легальности имеющегося ПО. Все, что используется нелегально, согласно законодательству о защите авторских прав, должно быть удалено с компьютеров, либо оплачено.
На этом заканчивается первая часть внедрения — выяснение актуальной информации.
Разработка стратегического подхода. Вслед за получением исходных данных приходит время разработки стратегии — это ключевой момент во всей концепции SAM. По завершении третьего этапа в организации появятся конкретные правила, процедуры, политики и видение того «идеального» состояния, к которому компания должна стремиться.
Один из самых первых шагов — определение типов стандартных рабочих мест и комплектов ПО для них. Речь идет не только о названии программных продуктов и их версиях, но и о полной конфигурации каждого продукта и аппаратного обеспечения. Одновременно разрабатываются стратегия закупок ПО, порядок инвентаризации и хранения лицензий на ПО, механизм контроля сроков действия лицензий и инсталляции программ, меры по предотвращению чрезвычайных ситуаций, связанных с лицензиями, и действия в случае их возникновения.
Важным элементом при выработке стратегического подхода является выработка и внедрение процессов стандартизации. Цель состоит в максимальной унификации объектов управления для повышения эффективности их использования. При этом каждой компании придется самостоятельно определить те объекты, для которых будут разрабатываться стандарты — это во многом зависит от специфики бизнеса. Итоги проведения стандартизации должны регулярно пересматриваться.
Разработка плана управления лицензиями. На этом этапе осуществляется конкретизация плана достижения всех параметров, предписанных стратегическим подходом. Необходимо утвердить календарные сроки проведения очередных инвентаризаций и назначить ответственных за их выполнение. В результате должны быть созданы графики централизованных закупок программного обеспечения, организованы места хранения ПО и лицензионной документации, а также определены способы оптимизации расходов на техническую поддержку.
Все разработанные на последних двух этапах стратегические правила и конкретные графики нужно зафиксировать в соответствующих приказах, а также внести изменения в соглашения с подрядчиками и заказчиками, а в некоторых случаях и в трудовые соглашения с персоналом компании, к примеру, подчеркнуть личную ответственность за самостоятельную установку пиратского ПО на рабочем месте.
КОГДА ВНЕДРЯТЬ?
Как уже было сказано, внедрение SAM позволяет не только избежать многих юридических или технологических рисков, но и работать более эффективно, поэтому не стоит дожидаться проведения IPO или прихода правоохранительных органов. Нередко, впрочем, возникает вопрос — какого размера должна быть организация и каким бизнесом заниматься, чтобы ей имело смысл внедрять подобное решение.
По мнению Александра Голева, важным критерием выбора в пользу SAM остается так называемая «ИТ-зависимость» предприятия. К ее факторам можно отнести как большое количество компьютеров в расчете на одного сотрудника, так и малое допустимое время простоя информационной системы до полной остановки деятельности компании или отдельного департамента. Чем больше компьютеров и чем критичнее отрезок времени простоя, тем выше риск «ИТ-зависимости». В большинстве случаев внедрение SAM в организациях, имеющих более 200 компьютеров, является настоятельно необходимым, в то время как предприятиям с парком в 20-50 машин стоит постараться оценить преимущества, которые принесет SAM, а что касается малых предприятий, то, скорее всего, значительной прибавки эффективности им ждать не приходится. Отрасль экономики, в которой работает компания, обычно не так важна.
В России рынок услуг и ПО в сфере SAM пока находится в стадии формирования и, по предварительным прогнозам компании «Кварта Консалтинг», окончательно сформируется не ранее 2010 г. Однако уже сейчас можно говорить о наличии зрелых игроков и принятых стандартов. В прошлом году ISO опубликовала стандарт SAM по управлению качеством ПО, а еще ранее многие принципы SAM были сформулированы в ITIL. Курсы по SAM от Microsoft («Технология управления лицензированием» и «Использование технологии лицензирования») читаются в сертифицированных центрах, один из них доступен через Internet, причем экзамен проводится на русском языке.
Андрей Олищук — корреспондент «Журнала сетевых решений/LAN». С ним можно связаться по адресу: aol@lanmag.ru.