Tartalomjegyzék
Az IPR-Insights esettanulmánya a Szoftverkatalógus megfelelő használatáról és a szoftverminősítés fontosságáról.
- Hogyan szűrjük ki egy vállalatcsoport tiltott szoftverhasználatát, ha olyan óriási, 1,6 milliós szoftvertelepítést tartalmazó adatbázissal kell dolgoznunk, amely tízezer féle minősítés nélküli termékverziót tartalmaz?
- Milyen szoftverminősítési szabályokat és eljárásokat javasolnak ügyfeleinknek az IPR-Insights szoftvergazdálkodási szakértői, hogy az erőforrásokat a lehető leghatékonyabban használhassák fel és a folyamat végén elérhessék kitűzött céljukat? Jelen esettanulmányunkban részletezett projekt fontos célja, hogy a vállalatcsoport telepített szoftvereinek több, mint 90%-a minősítetté váljon.
Az eredményről röviden
A közelmúltban vállalatcsoportként működő ügyfelünk a segítségünket kérte, hogy megfelelő módon teljesíthesse a belső auditján felmerült feladatát, amely a tiltott szoftverek telepítését szűrné ki, illetve szüntetné meg.
Az IPR-Insights szakértői az ügyféltől kapott, kb. 10.000 különféle szoftververziót tartalmazó, többségében minősítés nélküli tételekből álló Szoftverkatalógusát, megfelelő szabályok megalkotásával 400-500 sorossá redukálták és a telepített programok 93%-át minősítetté tették. Így már teljesíthetőnek ígérkezett az audit által kitűzött feladat.
De hogyan is zajlott le a teljes folyamat?
Az üzleti szituáció
Ügyfelünknél a központi informatikai részlegen, egy belső auditot követően, az IT biztonsági terület bevonásával azonosítani kellett a vállalatcsoport számítógépein telepített tiltott szoftvereket és természetesen használatuk azonnali megszüntetése is elvárás volt.
Ügyfelünknél korábban bevezetésre került a SAM-Insights szoftvereszköz-gazdálkodási rendszer, valamint annak kiegészítő modulja, a Szoftverkatalógus is.
A SAM-Insights Szoftverkatalógus a szoftverek központilag dokumentált listája. Célja, hogy a lehető legszélesebb körben központilag tartalmazza a használt, használni kívánt, valamint a kifejezetten tiltott szoftvereket és a velük kapcsolatos kiemelt információkat.
A minősítési folyamat során a programok legtöbbször (de nem kizárólag) az alábbi kategóriák valamelyikébe sorolhatók: „Tiltott”, „Tűrt”, „Támogatott”. (Alapesetben valamennyi program „Nem minősített” kategóriába kerül.)
Milyen problémával szembesült ügyfelünk?
Az audit során sajnos kiderült, hogy a minősítés gyakorlatban való alkalmazása nem volt egységes és megfelelően szabályozott. Az ügyfél által használt Szoftverkatalógus 10.000 elemet tartalmazott, amennyit sajnos lehetetlenség karbantartani, így ennek következtében nagyon kevés szoftver volt minősítve. Az összes, kb. 10.000 féle telepítés közül majdnem 7000 egyáltalán nem kapott minősítést. A katalógusban 2800 sornyi tétel szerepelt támogatottként jelölve, 100-150 volt tűrt és csak 20 számított tiltottnak.
Hogyan jöhetett létre ekkora, már-már kezelhetetlen adatbázis és milyen hibák merültek fel a szoftverek minősítése során?
1. A Szoftverkatalógusba rögzített 10.000 tételes adatsor nem minősítési szabály volt, hanem önálló termék. Ez azt jelenti, hogy ha a szoftvernek 50 verziója létezik, akkor mindegyik külön-külön tételként jelent meg.
2. A régi termékverziókkal kapcsolatban nem születtek döntések ügyféloldalon, azaz minden verzió telepíthetőnek és támogatottnak tűnt, annak ellenére, hogy akár komoly biztonsági kockázattal is járhat a régi, elavultabb kiadások használata.
Egy Szoftverkatalógus már ezzel a két hibás gyakorlattal is kezelhetetlenné válik. A rendszeres felülvizsgálatot ekkora mennyiségű tételnél nem lehet elvégezni. Az audit során kijelölt feladat elvégzésé ekkor megoldhatatlannak tűnt.
Hogyan segítettek az IPR-Insights szakértő tanácsadói megküzdeni ezzel a kihívással?
A projekt keretében új elvek, szabályok mentén egy kezdeti adatfeltöltéssel felfrissítettük az ügyfél katalógusát, a korábban hibásan létrehozott 10.000 elemet töröltük.
Ügyfelünkkel az alábbi kivitelezési módszertanban állapodtunk meg:
Kisebb, végrehajtható részekre bontjuk ezt a komplex feladatot, közben mérjük az előrehaladást.
Ilyen iterációs folyamat lépései az alábbi feladatokból állnak:
1. IPR-Insights javaslatot tesz kb. 100 Szoftverkatalógus elemre, amely főleg szabályokat és konkrét termékverziókat jelent.
2. Az ügyfél oldalán az IT-biztonsági és a desktop üzemeltetésért felelős infrastruktúra terület véleményezi a kapott adatokat.
3. Ezután elkészítjük a véglegesített listát majd betöltjük az ügyfél Szoftverkatalógusába.
4. Ellenőrizzük az eredményt, módosítást, javítást végzünk, ha szükséges.
5. Ügyfelünk ellenőrizi az adatok megjelenését a saját rendszerében.
6. Döntést hozunk a következő iteráció szükségességéről.
A javaslattétel során az alábbiakat vettük figyelembe:
1. Össztelepítési-lista, azon belül:
a. Nagy telepítésszámú, legfőképp nem ingyenes termékek száma.
b. Nagy szoftvergyártók termékeinek telepítései.
c. Kisebb telepítésszámú termékek:
i. nagy auditkockázatú gyártók termékei
ii. nagyértékű programok
d. Nagyvállalati környezetben nem kívánatos szoftverek pl. játékok, kódfeltörők, beta kiadású és portable szoftverek, torrentkliensek stb.
2. Támogatott szoftververziók listája „SCCM”.
3. Szoftverlicenc leltár.
4. Az adott cégnél érvényben lévő, bizonyos programtelepítésekre vonatkozó általános irányelvek, szabályzatok, pl. minden torrentkliens tiltott, minden játék tiltott.
A fenti adatforrások elemzése alapján már minősítési javaslatokat tudunk tenni ügyfelünknek:
- Az a szoftverkiadás, amelyből a legtöbb telepítés történt feltehetően minősíthető támogatottnak.
- A kisebb telepítésszámú, új verziók lehetnek tűrtnek.
- A régebbi, elavult kiadásokat pedig javasolt tiltani.
Ezzel a módszerrel már minősítési szabályokat alakíthatunk ki. Az eredeti szoftverkatalógusban többszáz sorként rögzített bejegyzést le tudjuk redukálni összesen pár sorra. Például ebben az esetben a játékok tiltásara vonatkozó egyetlen szabály 6590 db termékverziót állított tiltottra. Ha pedig időközben megjelenik valamilyen új tiltott játék, akkor a szabály már automatikusan érvényes lesz rá.
Az eredmény
A Szoftverkatalógus kezdeti adatfeltöltése utáni 4 egyezetetési kör történt, 371 db szabály, illetve elem készült, melynek eredményeképpen az ügyfél telepített programjainak 90%-a minősítetté vált.
Jelenleg már az 5. egyeztetési ciklus van folyamatban és előreláthatólag még 1 további kör lesz kitűzve, ennek végeztével már 93% lesz a minősítési szint.
Miért nem 100%-os a minősítés?
Amikor már egyre csökken az adott szoftver esetében a telepítésszám, akkor a minősítéssel töltött munkaidő exponenciálisan nő. A kevesek által telepített szoftverek funkcióit, licencelési feltételeit, kockázati tényezőit felmérni már csak nagyobb mértékű kutatással, utánajárással lehetséges. Kollégánkat idézve: „A világ összes szoftvere megismerhetetlen.”
90%-os szint elérése után érdemes „operatív üzemmódba” kapcsolni és csak a szabályzat betartásával módosítani, aktualizálni a listánkat. A módszertant érdemes bizonyos időközönként felülvizsgálni, ha ez félévente sikerül, az jelentős előrelépést hoz a szoftvergazdálkodás optimalizálásában.
Bevált gyakorlatok szoftverminősítéshez
- A vállalati szoftverportfóliót érdemes egységesen és minél kisebb méretben tartani, például ugyanarra a célra használjunk minél kevesebb programot.
- Nagyon fontos lépés, még mielőtt a cég elkezdni minősíteni a szoftvervagyonát, hogy kidolgozzon egy részletes Szoftverminősítés szabályzatot, és az abban foglaltakat be is tartsák az érintett dolgozók, felelősök. Aki a javaslatokat megteszi, annak jól kell ismerni az adott vállalkozás belső működését és általában a szoftveripart is.
- Csak olyan szoftvert minősítsünk, amivel konkrét célunk van, ne minősítsünk olyan terméket, amiről nincs információnk.
- Óriási, kezelhetetlen adatbázist eredményez, ha minden verzió önálló termékként minősítve kerül be a Szoftverkatalógusba. A régieket általában érdemes tiltani, az újabbakat tűrni és csak a használt verziókat támogatni.
- Vezessük be és alkalmazzuk a vállalkozás saját előírásait, pl. minden „beta” és „portable” verzió tiltott, minden képnézegető tiltott stb.
- Jó gyakorlat az összesített telepítési lista szűréséhez és szabályok alkotásához, hogy megnézzük:
- azokat a szoftvereket, amelyből a legtöbb telepítés van és nem ingyenesek;
- azokat a termékeket, amiből kevés van, de nagy az értékük;
- a kiemelt auditkockázatú termékeket;
- azokat, amelyeket kifejezetten tiltani kell, mert veszélyesek (hacker eszközök, játékok)
- amelyek a licencnyilvántartásban szerepelnek.
