Software Asset Management

Mendelova univerzita v Brně Provozně ekonomická fakulta

Software Asset Management Diplomová práce

Vedoucí práce: Doc. Ing. František Dařena, Ph.D.

Brno 2012

Bc. Lukáš Koutný

2 Na tuto stranu patří záměr práce.

Na tomto místě bych rád poděkoval rodině, za podporu při mém studiu. Dále Doc. Ing. Františkovi Dařenovi, Ph.D., za přípomínky a rady k vypracování této práce. Poděkování také patří vedení a pracovníkům firmy CReativeMages, za ochotu se mnou spolupracovat. V neposlední řadě poděkování patří i mým přátelům, kteří mě motivovali k psaní této práce.

Prohlašuji, že jsem tuto diplomovou práci vypracoval samostatně a v seznamu literatury uvedl veškeré informační zdroje, které jsem použil.

Brno 24. května 2012

................................................................

5

Abstract Koutný, L. Software Asset Managemet. Brno, 2012. Diploma Thesis. Mendel University in Brno. This thesis is concerned with managing software assets in company. The thesis begins with an overview of the current situation in this problematics. Subsequently, there are proposed solution of software asset management in selected company. Based on the principles is created directive, design and implementation of application for recording software assets . The application is built on Microsoft Dynamics CRM 2011.

Abstrakt Koutný, L. Software Asset Managemet. Brno, 2012. Diplomová práce. Mendelova universita v Brně. Tato diplomová práce se zabývá správou softwarového majetku v podniku. Práce začíná přehledem současného stavu v této problematice. Následně je navrženo řešení správy softwarového majetku dle požadavků vybraného podniku. Na základě stanovených zásad je vytvořena směrnice, návrh a realizace aplikace pro evidenci softwarového majetku. Aplikace je vytvořena na platformě Microsoft Dynamics CRM 2011.

6

OBSAH

Obsah 1 Úvod a cíl práce 9 1.1 Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.2 Cíl práce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2 Současný stav Software Asset Managementu 2.1 Historie SAM . . . . . . . . . . . . . . . . . . . . . 2.2 Přínosy SAM pro podnik . . . . . . . . . . . . . . . 2.2.1 Řízení rizik . . . . . . . . . . . . . . . . . . 2.2.2 Řízení nákladů . . . . . . . . . . . . . . . . 2.2.3 Konkurenční výhody . . . . . . . . . . . . . 2.3 Náklady na SAM . . . . . . . . . . . . . . . . . . . 2.4 Potencionální problémy SAM . . . . . . . . . . . . 2.5 Dostupné přístupy k řešení SAM . . . . . . . . . . 2.6 Výběr přístupu k SAM . . . . . . . . . . . . . . . . 2.6.1 Stanovení stávající úrovně SAM . . . . . . . 2.6.2 Výběr metody k hodnocení SAM . . . . . . 2.6.3 Úvod do SOM . . . . . . . . . . . . . . . . 2.7 Metodika SAM . . . . . . . . . . . . . . . . . . . . 2.7.1 Principy SAM . . . . . . . . . . . . . . . . . 2.7.2 Postup zavedení SAM . . . . . . . . . . . . 2.8 Právní ochrana počítačového programu . . . . . . . 2.8.1 Softwarové licence . . . . . . . . . . . . . . 2.8.2 Druhy softwarových licencí . . . . . . . . . 2.8.3 Jak doložit legalitu softwaru . . . . . . . . . 2.8.4 Softwarové pirátství . . . . . . . . . . . . . 2.8.5 Odpovědnost za nelegální software ve firmě 2.9 Dostupné nástroje pro správu SAM . . . . . . . . . 2.9.1 Kritéria hodnocení . . . . . . . . . . . . . . 2.9.2 AuditPro . . . . . . . . . . . . . . . . . . . 2.9.3 Alvao . . . . . . . . . . . . . . . . . . . . . 2.9.4 AW Caesar . . . . . . . . . . . . . . . . . . 2.9.5 Další dostupné nástroje . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

3 Řešení SAM pro firmu CReativeMages 3.1 Charakteristika firmy . . . . . . . . . . . . . . . . . . 3.2 Současný stav ve firmě . . . . . . . . . . . . . . . . . 3.2.1 Současná úroveň SAM podle Framework SOM 3.3 Konkretizace cílů SAM . . . . . . . . . . . . . . . . . 3.4 Analýza rizik . . . . . . . . . . . . . . . . . . . . . . 3.4.1 Metoda analýzy rizik . . . . . . . . . . . . . . 3.4.2 Identifikace nebezpečí . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

11 11 12 12 13 13 14 15 16 18 18 19 19 20 20 22 23 24 24 27 28 28 29 29 30 31 33 34

. . . . . . .

35 35 35 35 37 37 37 38

7

OBSAH

3.5

3.6 3.7

3.8

3.4.3 Bezpečností opatření rizik . . . . . . . . Stanovení politiky správy SAM . . . . . . . . . 3.5.1 Vytvoření inventáře SAM . . . . . . . . 3.5.2 Instalační média . . . . . . . . . . . . . 3.5.3 Doklad o vlastnictví . . . . . . . . . . . 3.5.4 Role v SAM . . . . . . . . . . . . . . . . 3.5.5 Zjištění uživatelských požadavků . . . . 3.5.6 Plán pravidelné inventarizace . . . . . . 3.5.7 Namátkové kontroly . . . . . . . . . . . 3.5.8 Životní cyklus softwaru v podniku . . . 3.5.9 Nelegální software . . . . . . . . . . . . 3.5.10 Školení SAM . . . . . . . . . . . . . . . 3.5.11 Plán SAM . . . . . . . . . . . . . . . . . Jednorázové úkony při zavedení SAM v podniku Podniková směrnice pro SAM . . . . . . . . . . 3.7.1 Rozdělení činností spadajících do SAM . 3.7.2 Vlastník procesu . . . . . . . . . . . . . 3.7.3 Vstup procesu . . . . . . . . . . . . . . . 3.7.4 Výstup procesu . . . . . . . . . . . . . . 3.7.5 Popis činností SAM . . . . . . . . . . . Plán SAM . . . . . . . . . . . . . . . . . . . . .

4 Aplikace pro správu SAM 4.1 Proč implementovat vlastní řešení . . 4.2 Platforma Microsoft Dynamics CRM 4.3 Požadavky na aplikaci . . . . . . . . 4.3.1 Účel a využití softwaru . . . . 4.3.2 Uživatelé . . . . . . . . . . . 4.3.3 Provozní požadavky . . . . . 4.3.4 Funkční požadavky . . . . . . 4.3.5 Nefunkční požadavky . . . . . 4.4 Návrh aplikace . . . . . . . . . . . . 4.4.1 Návrh struktury . . . . . . . 4.4.2 Návrh formulářů . . . . . . . 4.4.3 Návrh procesů . . . . . . . . 4.4.4 Návrh zobrazení dat . . . . . 4.5 Implementace . . . . . . . . . . . . . 5 Ekonomické zhodnocení 5.1 Přínosy . . . . . . . . . . 5.1.1 Kvantifikovatelné . 5.1.2 Nekvantifikovatelné 5.2 Náklady . . . . . . . . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CReativeMages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . .

39 41 41 41 42 42 42 42 43 43 44 44 44 45 46 46 46 46 47 48 56

. . . . . . . . . . . . . .

58 58 58 60 60 61 61 61 62 62 63 65 66 66 67

. . . .

71 71 71 72 73

8

OBSAH

5.2.1

Celkové zhodnocení . . . . . . . . . . . . . . . . . . . . . . . . 73

6 Diskuse 74 6.1 Přínosy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 6.2 Možnosti dalšího vývoje řešení . . . . . . . . . . . . . . . . . . . . . . 74 6.3 Nedostatky řešení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 7 Závěr

76

8 Literatura

77

Přílohy

79

A Porovnání ITIL, ISO 19770-1 a IAITAM BPL

80

B Optimalizce SAM pomocí Microsoft SOM

81

C Analýza rizik softwarových aktiv

82

1

ÚVOD A CÍL PRÁCE

1 1.1

9

Úvod a cíl práce Úvod

V dnešní, z ekonomického hlediska těžké době, se musí podnik poohlížet po způsobech, jak náklady na provoz firmy snížit na minimum a tím udržet konkurenceschopnost firmy. Zefektivnění vlastních vnitropodnikových procesů je jistě jedna z cest, jak tohoto záměru dosáhnout. V dnešní době existuje jen velice málo podniků, které by se obešly bez využívání informačních technologií vybavených programovým vybavením. Správa softwarového majetku je jednou z možností, kde může moderní podnik mnoho získat. Nezáleží na rozsahu podniku, i když je pravděpodobnější, že větší podnik může snáze dosáhnout množstevních slev při nákupu softwaru než malá firma. Správa softwarového majetku řeší i jiný než nákladový aspekt, a to jsou rizika. Odpovědný management firmy by se tedy správou softwarového majetku měl zabývat, aby mohl odpovídajícími prostředky těmto rizikům čelit. Užívání softwarového majetku má několik specifik oproti jinému majetku firmy. V první řadě je to nutnost souladu s licencí, která je s každým softwarovým produktem svázána. Nedodržení těchto licenčních podmínek, ať už úmyslné nebo neúmyslné, může mít pro podnik velice zásadní důsledky. Je proto v nejlepším zájmu každého podniku, aby se o svá softwarová aktiva staral. I když historie správy softwaru spadá do počátku užívání výpočetních technik v podnicích, nelze předem paušálně stanovit, jak má správa v podniku vypadat. Existuje mnoho produktů, postupů a doporučení, které dokáží podniku pomoci. Ne vždy však tyto prostředky dokáží uspokojit specifické požadavky firmy a přizpůsobit se specifickým podnikovým podmínkám a dosáhnout očekávaných výsledků. Plán správy softwaru je tak pro každý podnik svým způsobem jedinečný, protože se snaží sladit nutné právní požadavky s firemní kulturou. I přesto, že problematika spojená s užíváním softwaru je více či méně známá, existuje mnoho firem, kde je správa softwarového majetku na nedostačující úrovni. Tato práce se zabývá zlepšením správy softwarového majetku v takové firmě, kde si vedení správně uvědomilo důležitost softwaru pro své podnikání. Vedení firmy CReativeMages zjistilo, že vnitropodnikové procesy buď nejsou vytvořeny vůbec, nebo jsou na nevyhovující úrovni. Především jde o nedostatek informací, ze kterých lze vycházet při tvorbě rozhodnutí týkajících se softwarového majetku. Získání těchto informací mnohdy zabere mnoho času. Tato práce tedy posoudí stav, v jakém se správa softwarového majetku ve firmě nachází a popíše postup pro zlepšení stávající úrovně. Navržené prostředky správy softwaru budou splňovat požadavky vedení společnosti na efektivní systém pro správu softwarového majetku.

1.2

1.2

Cíl práce

10

Cíl práce

Cílem práce je zavést metodiku správy softwaru neboli Software Asset Management (dále jen SAM) ve zvolené firmě, podle požadavků a možností této firmy. Součástí bude také návrh a realizace systému pro správu softwarového majetku, zhodnocení dopadů na ekonomické ukazatele a na firemní procesy, které povedou k efektivnímu využívání softwaru v podniku.

2

SOUČASNÝ STAV SOFTWARE ASSET MANAGEMENTU

2

11

Současný stav Software Asset Managementu

Před vlastním zaváděním SAM do zvolené firmy, je potřeba porozumět tomu, co správa softwarového majetku ve skutečnosti je. Definic toho, co pojem SAM znamená, je několik. Software Asset Management, je souhrnem veškeré infrastruktury ” a procesů nezbytných pro efektivní řízení, kontrolu a ochranu softwarových aktiv ve všech fázích životního cyklu v rámci podniku.“(Rudd, 2009) Infrastrukturou v této definici je chápán souhrn nejen veškerého hardwaru, softwaru, ale i osob zabezpečujících fungování procesů SAM v podniku. Asociace Business Software Alliance (dále BSA) definuje SAM více jako nástroj pro ochranu před možnými riziky, kterým by měl podnik předcházet. Software As” set Management chrání společnost před hrozbami spojenými s užíváním nelegálního softwaru. Dále pomáhá udržovat přehled nad softwarem. Zjišťuje, jaký software společnost má, kde se nachází a rovněž odhalí možné nedostatky, anebo přebytek pořízených licencí.“ (Business Software Alliance, 2009) SAM je nutné chápat z pohledu obou těchto definic. Jednak jako nástroj vedení podniků pro efektivní řízení majetku, a také jako metodu, kterou lze předcházet hrozícím rizikům.

2.1

Historie SAM

Obliba SAM se v průběhu let často měnila. V polovině osmdesátých let, v době, kdy osobní počítače získávaly v podnikatelském prostředí popularitu, byla správa softwarového majetku přehlížena. Práva k užívání produktů byly velice odlišné od dnešních. Podmínek pro získání objemových slev bylo mnohem méně než dnes. Slevy na softwarové produkty v těchto smlouvách byly naopak vyšší. Bylo to způsobeno především velikostí rozvíjejícího se odvětví. V této době začaly také vznikat společnosti jako Software Publishers Association a Business Software Alliance, které se snažily šířit osvětu v oblasti ochrany a porušování autorských práv na software. Měnící se pohled na SAM byl na počátku devadesátých let ovlivněn silným zájmem ze stran těchto hlídacích organizací o uplatnění poplatků na základě auditů, které odhalily nesprávně licencovaný software. Tato politika nutila stále více společností zaměřit se právě na SAM. V polovině devadesátých let, pak bylo možné pozorovat dramatický posun v objemovém licencování a v právech k užívání softwarových produktů. Tyto změny, které měly přímý vliv na náklady informační technologie (dále IT), vedly společnosti k potřebě se vzdělávat v této oblasti. Koncem devadesátých let pak bylo možné pozorovat odklon od zaměření společností na SAM, což mělo za následek odstranění mnoha vnitřních kontrol v podnicích. První desetiletí nového tisíciletí se pak neslo v duchu zvýšeného zájmu o vnitřní kontroly, regulační požadavky, odpor proti riziku a růstu v oblasti průmyslových softwarových auditů. Toto období přetrvává dodnes.(Farren, 2007)

2.2

Přínosy SAM pro podnik

2.2

12


Základním důvodem proč zavádět SAM do podniku, je potřeba udržení optimální úrovně podnikového řízení se softwarovými aktivy organizace.(Rudd, 2009) Správné praktikování SAM by mělo díky osvědčeným procesům umožnit vedení organizace získat důvěru v to, že tyto procesy jsou dostačující a že s velkou pravděpodobností bude dosaženo následujících očekávaných přínosů.(ČSN ISO 19770-1, 2009) 2.2.1

Řízení rizik

SAM usnadní řízení podnikatelských rizik v následujících oblastech. • Riziko výpadku IT služeb. Odstavení informačních technologií v důsledku právních problémů bude mít na organizaci finanční dopad. Může dojít k zabavení techniky a tím k nedostupnosti prostředků a informací pro provoz podniku. • Riziko snížení kvality IT služeb. Prováděni aktualizací nelegálního softwaru nemusí být možné. To vede ke snížení efektivity práce. • Rizika právního či regulačního postihu. Tomuto riziku se organizace může vystavovat, pokud nedodržuje licenční podmínky týkající se používaného softwaru. Podnik může být nahlášen například organizací BSA bývalým nebo nespokojeným zaměstnancem, který se tak chce pomstít svému bývalému zaměstnavateli, dále může být zprostředkováno konkurenční organizací a stát se tak součástí konkurenčního boje nebo může podmět přijít ze strany dodavatelů, pokud se jim nepodařilo u organizace získat zakázku. Podnik nemusí nutně úmyslně používat nelegálně pořízený software. Riziku postihu se může podnik vystavit i nevědomě, pokud například dojde ke ztrátě potřebných dokladů o pořízení softwaru, nebo pokud podmínky pro využití softwaru byly společností chybně pochopeny. • Riziko poškození dobrého jména podniku. Pokud by podniku bylo prokázáno nelegální využívání softwaru, mohlo by dojít k nežádoucí publicitě. Zákazníci by nemuseli chtít být s touto organizací spojováni, což by mohlo vést k narušení obchodních vztahů. • Riziko neočekávaných finančních výdajů. Problémy týkající se softwarových aktiv mohou podniku způsobit problémy v jeho plánování. Pokud by například podnik musel zaplatit pokutu za neoprávněné využívání softwaru, mohly by mu tyto finanční prostředky chybět na plánované aktivity. Stejně tak se úsilí na řešení aktuálního problému softwarových aktiv projeví zvýšeným vytížením pracovníků. Tito pracovníci tak nebudou moci vykonávat běžné pracovní úkoly. • Bezpečnostní rizika. Použitý nelegální software může být infikovaný škodlivým kódem. Může tak dojít k úniku citlivých firemních informací.

2.2


13

• Problémy při akvizicích. Při sloučení dvou nebo více podniků, může špatně organizovaná správa softwarových aktiv vést k neočekávaným problémům jako například k duplicitě v licencování softwaru.(ČSN ISO 19770-1, 2009) 2.2.2

Řízení nákladů

SAM umožňuje udržet náklady pod kontrolou. Ušetřit lze nejen za přímé výdaje na software, ale i za náklady na infrastrukturu a související procesy. Efektivní SAM umožní řídit náklady v následujících oblastech. • Snížení přímých nákladů na software a související aktiva, například díky vyjednání výhodnějších cenových podmínek. Jasný přehled o potřebách a správném licencování zvyšuje vyjednávací pozici při jednání s dodavateli softwaru. Nedostatek informací nebo nejistota v této oblasti by mohla vést k uzavření dohody, která pro podnik nemusí být výhodná. Lze tak dosáhnout efektivnějšího využití multilicenčních smluv nebo pozastavení nákupu nových licencí v případě, že lze znovu nasadit stávající licence.(Rudd, 2009) • Snížení časových a finančních nároků na jednání s dodavateli díky lepší dostupnosti informací. Výhodné je využití centrálního nakupování licencí, které vede k nákupu ve vyšších objemech a tím dosažení lepší ceny. Díky centralizovaným nákupům licencí, pomocí osob které mají dostatečné znalosti v této oblasti, dojde k optimálnímu uspokojení potřeb podniku. • Nižší náklady díky lepší finanční kontrole, například spolehlivějšímu párování faktur a přesnější přípravě rozpočtů. • Snížení nákladů na infrastrukturu pro správu softwaru a souvisejících aktiv díky zajištění efektivních a účinných procesů. Dobře navržené procesy, které pracují s přesnými informacemi o softwarových aktivech, vedou k úsporám při nasazení nového softwaru, nebo při případných upgradech. • Snížení nákladů na podporu, které jsou podstatnou měrou ovlivněny kvalitou procesů SAM, a to přímo v oddělení IT i nepřímo v provozech s koncovými uživateli. (ČSN ISO 19770-1, 2009) 2.2.3

Konkurenční výhody

SAM pomáhá organizacím zvýšit náskok před konkurencí mimo jiné v následujících oblastech. • Kvalitnější rozhodování díky dostupnosti přesnějších a transparentnějších informací. Kvalitnější data například umožňují rychleji a spolehlivěji rozhodovat o nákupech informačních technologií a rozvoji systémů. Zejména u velkých podniků, které mají více obchodních jednotek s vlastním IT oddělením, může SAM přispět k posuzování plánů rozvoje podle společných kritérií.

2.3

Náklady na SAM

14

• Možnost rychlejší a spolehlivější reakce na tržní příležitosti. Dostupné a přesné informace, které SAM poskytuje, umožní společnosti rychle se přizpůsobovat situaci na trhu. Bude možné nasadit nebo upravit rychleji informační systém, tak aby odpovídal novým požadavkům. • Integrace s obchodní strategií. Informační technologie jsou lépe sladěny s obchodní strategií a zajišťují, aby všichni uživatelé měli přístup k potřebnému softwaru a aplikacím. • Rychlejší vyřešení IT aspektů při akvizicích, fúzích a dělení firmy. Toho je dosaženo jasnou strukturou a spolehlivými informacemi, které má vedení společnosti při těchto aktivitách k dispozici. • Lepší motivace personálu a vyšší spokojenost klientů díky menšímu počtu IT problémů. Správně nastavené procesy SAM umožňují hladký běh informačních technologií a rychlou reakci na nežádoucí stavy. Tím je možno snížit nespokojenost ze strany klientů, ale i vlastních zaměstnanců, která by mohla nastat vlivem nefunkční infrastruktury. (ČSN ISO 19770-1, 2009) Uvedené výhody by správným managementem podniku neměly být přehlíženy. SAM přináší do podniku značnou míru jistoty, co se týče využívání softwaru ve firmě. Je proto v zájmu každé organizace dosáhnout na tyto výhody a tím podnik posunout dále.

2.3

Náklady na SAM

Se zavedením SAM do podniku je nutné počítat i s určitými náklady. Hlavní náklady lze rozdělit do následujících kategorií. • Lidské zdroje. Do zavedení SAM bude nutné zapojit pracovníky napříč celou organizací, aby v SAM zaujmuli určité předem stanovené role. Úroveň zapojení vlastních zaměstnanců do zavedení SAM je dána jejich znalostmi v dané problematice. Pokud podnik pracovníky s odpovídající znalostí nedisponuje, je potřeba zapojit externí konzultanty nebo partnery, což si vyžádá zvýšení nákladů. • Prostředky SAM. SAM pro své efektivní fungování vyžaduje použití nástrojů na podporu jednotlivých procesů. Využití stávajících prostředků podniku, které jsou pro podporu SAM vhodné, může náklady této kategorie značně zmenšit. • Bezpečné skladování. Veškerou dokumentaci k SAM, stejně jako licenční smlouvy a pořizovací doklady je nutné mít uložené na bezpečném místě. • Integrace SAM. Náklady, které vzniknou propojením prostředků SAM se stávajícími systémy.

2.4

Potencionální problémy SAM

15

• Dokoupení licencí. Provedení softwarového auditu může odhalit software, ke kterému není dostupná licence. Tyto licence bude proto nutné k dalšímu provozu softwaru pořídit. Tyto hlavní kategorie nákladů dále ovlivňuje ještě několik faktorů související s typem podniku, ve kterém bude SAM zaváděn. Velikost hlavních nákladů ovlivňují tyto faktory. • Velikost a struktura podniku. • Počet zařízení, kterých se zavedení SAM týká. • Nástroje, které budou k provádění SAM využity. • Aktuálním stavem SAM procesů v podniku. • Časovým rámcem projektu. • Možnosti využití podnikových zdrojů.

2.4

Potencionální problémy SAM

Zavedení SAM do podniku mohou doprovázet i problémy. Některé z nich nastávají běžně u jakéhokoliv typu inovací v podniku, avšak některé jsou specifické pouze pro zavádění SAM. Problémy, které mohou nastat, jsou následující. • Konflikt se strukturou podniku. Problém může nastat u společností, jejichž struktura je decentralizovaná. Dosažením některých výhod by v této struktuře mohlo být obtížné. Decentralizace podniku má jistě určité opodstatnění. Pro SAM je dobré vytvořit především řešení na centrální úrovni. Například centrální nakupování licencí může ušetřit náklady na nákup licencí mnohem více oproti tomu, kdyby si podnikové jednotky měly licence nakupovat samy. Decentralizované řízení by také mohlo vést k různé úrovni SAM v jednotlivých pobočkách, což zvyšuje riziko výskytu nelegálního softwaru. Ve výsledku by pak mohlo být například poškozeno dobré jméno podniku díky problému v jedné konkrétní pobočce. Určitá decentralizace je možná například dělením databáze SAM, kdy lokální administrátor spravuje a vidí pouze ta zařízení, které má přidělené. Ale i v tomto případě je nutný centrální dohled. • Nedostatečná podpora vedením společnosti. Nepochopení nebo podceňování SAM ze strany vrcholného vedení podniku, může zavedení SAM značně zkomplikovat. Tvorba nových pravidel je nutná s aktivní účastí vedení společnosti. Vyčlenění dostatečného rozpočtu a možnost využití podnikových zdrojů, které jsou v kompetenci vedení podniku, povede k úspěšné implementaci SAM. • Nevyjasněná odpovědnost při zavedení SAM. Vymezení odpovědnosti jednotlivých úkolů SAM musí být jednoznačné. Realizace SAM bez konkrétního svěření úkolů se pravděpodobně nezdaří.

2.5

Dostupné přístupy k řešení SAM

16

• Podcenění přesnosti detekce softwaru. Špatný výběr nástroje nebo metody sběru informací o instalacích softwaru, může negativně ovlivnit výsledky SAM. Důležité je například správné rozpoznání verze aplikace, díky kterému je možné zajistit možnou aktualizaci. • Právní požadavky. Zavedením SAM zejména v nadnárodní organizaci, může vyžadovat neočekávané úsilí pro dosažení souladu s platnými právními předpisy. Zvláštní pozornost je třeba věnovat problematice ochrany osobních údajů. • Nedostatečná podpora koncových uživatelů. Uživatelům je potřeba vysvětlit proč se SAM zavádí a jeho přínosy pro podnik. Tato podpora je důležitá zejména u podniků, kde mají uživatelé sami možnost stahovat nebo instalovat software na své počítače. • Nedostatečná komunikace. Tento problém může nastat snad u jakéhokoliv projektu. Nedostatečný přísun informací může mít negativní dopad na efektivitu procesů SAM.(Rudd, 2009)

2.5


Pro dosažení předpokládaných přínosů je nutné stanovit postupy a předpisy, kterými podnik očekávaných přínosů dosáhne. Jelikož efektivní provádění SAM vyžaduje úpravu či kompletní tvorbu nových vnitropodnikových procesů. Podnikový proces obsahuje souhrn činností, které transformují vstupy procesu, pomocí lidí a nástrojů na výstup procesu.(Řepa, 2007) Bude nutné tyto procesy přesně vymezit a specifikovat pomocí předpisů. Při tvorbě předpisů je nutné brát v úvahu, že SAM je ve své podstatě kontinuální činnost. K informacím evidovaných prostřednictvím SAM bude potřeba přistupovat kdykoliv a dále musí být také zaručena jejich aktuálnost. V současné době se podrobně problematikou SAM zabývají především International Organization for Standardization(ISO, Information Technology Infrastructure Library(ITIL) a International Association of IT Asset Managers(IAITAM). Framework The Best Practice for SAM ITIL Guide . ITIL vznikl ve Velké Británii v roce 1989, aby pomohl vládním IT oddělením spravovat narůstající datové systémy. Obsahují deset knih, ve kterých jsou pokyny jak řídit oblast IT služeb v organizaci pomocí ověřených postupů z praxe. ITIL poskytuje pouze obecný návod či doporučení na to, jak by bylo možné činnosti provádět.(ECP Media LC, 2007) Jedna kniha ITIL se přímo zabývá problematikou SAM. Nevýhodou tohoto Framework je především absence jakéhokoliv certifikátu či osvědčení, kterým by mohla organizace prokázat implementaci SAM do vnitropodnikových procesů. Standart ISO/IEC 19770-1 je prvním celosvětově uznávaným standardem v oblasti SAM.(Vlček, 2009) První generace tohoto standardu byla vydána v roce 2006 a získala trvalou podporu trhu. Tento standard je v souladu s normou

2.5


17

managementu služeb (ISO/IEC 20000-1). Standard je definován podrobnými výsledky v každé z 27 procesních oblastí.(ISO/IEC, 2012) Výhodu standardu je možnost certifikovat nejen osoby, které prokáží znalost SAM, ale i podniky jejichž fungování normu splňuje. Norma využívá zkušenosti z IT Infrastructure Library (ITIL). Cílem normy je poskytnout organizacím směrnice či systém dokumentů, díky kterým minimalizují rizika a náklady na správu softwaru. Nevýhodou ISO 19770-1 je absence postupu jak nebo čím dosáhnout předepsaných výsledků. Směrnice jasně stanovuje pouze to, co má být splněno, aby organizace mohla certifikaci ISO 19770-1 obdržet.

Obrázek 1: Přehledová tabulka ISO SAM 19770-1 (ČSN ISO 19770-1, 2009)

IAITAM Best Practice Library (BPL) představuje kolektivní znalosti a zkušenosti z celého odvětví IT Asset Managementu (ITAM). Skládá se z knih, pracovních postupů a šablon pro každou z dvanácti procesních oblastí ITAM. Knihovna je souhrn postupů, obsahujících metodické pokyny pro provádění, které pochází ze zkušeností a postřehů IT manažerů. Knihovnu lze využít pouze jako databázi znalostí. (IAITAM, 2012) Pro zavedení SAM je dále možné využít metodu, kterou představují organizace jako například Microsoft, BSA nebo Autodesk. Metody spočívají v postupném plnění čtyř kroků, jak ukazuje obrázek č. 2. Tato metoda však neřeší zavedení SAM jako celek, ale zabývá se pouze vlastní implementaci jednotlivých kroků správy softwaru. Výsledky kroků nejsou přesně stanoveny. Nicméně se jedná o sadu jednoduchých

2.6

Výběr přístupu k SAM

18

Obrázek 2: Základní kroky implementace SAM (Microsoft, 2012)

postupů, které by měli zvládnout implementovat i osoby bez hlubší znalosti v oblasti SAM.

2.6


Vybrat pouze jeden z těchto přístupů není tak jednoduché jak by se mohlo zdát. Na mezinárodní konferenci IAITAM v roce 2007 představila společnost Soft-Aid porovnání1 tří hlavních přístupů. Výsledkem tohoto srovnání je, že se tyto přístupy navzájem doplňují. Organizace, která má v plánu SAM do podniku zavést, by měla zvážit využití více modelů.(Soft-Aid, 2007) Tento závěr plyne z nedostatků jednotlivých přístupů. Další pokračování této práce tedy bude na těchto poznatcích stavět a k úspěšnému zavedení SAM do zvolené firmy využije kombinaci těchto přístupů. Framework ITIL pomůže s prostředky, jak dosáhnout předepsaných výstupů procesů stanovených normou ISO 19770-1. Norma ISO zase poskytne vodítko k tomu, čeho se má dosáhnout a jak často jednotlivé procesy v podniku provádět. Tento postup je možný především díky vzájemnému překrývání ISO a ITIL v procesní části. Důležité je dále podotknout skutečnost, že cílem zavedení SAM do vybrané společnosti není dosažení certifikace ISO 19770. 2.6.1

Stanovení stávající úrovně SAM

V podnicích bývají některé procesy, které patří do oblasti SAM využívány bez toho, že by v podniku plán pro SAM existoval. Rozpoznání a stanovení úrovně SAM, na které se organizace v současné době nachází, pomůže k snazšímu nalezení cesty ke zlepšení. Možnosti jak zhodnotit a zlepšit procesy SAM v jednotlivých procesních oblastech normy ISO 19970-1 nejsou v textu této normy ani ve Framework ITIL obsaženy. Tuto mezeru, po které je na trhu značná poptávka, je možné zacelit následujícími metodami hodnocení IT procesů . (ISO/IEC JTC1 SC7 WG21, 2012) • ISO/IEC 15504/33000 je mezinárodní norma, která posuzuje kvalitu procesů vývoje, správy a nákupu softwaru. Norma obsahuje rámce pro posouzení procesů a dále obsahuje exemplární hodnotící modely. Norma procesy pouze hodnotí, ale dále již neříká, jak procesy zlepšit. 1

Tabulka porovnání je dostupná v příloze A této práce

2.6


19

• Control Objective for Information and related Technology (CobiT). CobiT je procesní model dělící IT do čtyř domén a 34 procesů odpovědných za plánování, budování, provozování a sledování IT. Nevýhodou modelu je nutnost přesného dodržení postupů bez možnosti tyto postupy změnit. • Business Process Maturity Model (BPMM). BPMM popisuje cestu k postupnému zlepšení nevyspělých podnikových procesů na vyspělé a kvalitní. Jedná se však o všeobecný procesní rámec. • Microsoft Software Asset Management Optimization Model (SOM). SOM seskupuje 27 procesů z ISO/IEC 19770-1 do 5 kategorií, které dále dělí do 10 měřitelných kompetencí. • IAITAM 360 Assessment Model. Model založený na 12 klíčových procesních oblastech z IAITAM Best Practice Library. Model je všeobecný pro všechny oblasti IT Asset Managemetu. 2.6.2

Výběr metody k hodnocení SAM

Jako metoda pro zhodnocení stávajícího stavu ve vybrané firmě, která pomůže s identifikací nedostatečných procesů, je v této práci vybrán Microsoft SOM. Výhodou zvoleného modelu je jeho specializace na SAM což jej odlišuje od ostatních modelů hodnotících IT aktiva jako celek. Další výhoda SOM je jeho přímá návaznost na normu ISO 19770-1. 2.6.3

Úvod do SOM

Framework SOM společnosti Microsoft dělí procesy standartu ISO 19770-1 do 5 kategorií. SOM tyto kategorie převádí na 10 klíčových kompetencí, které je potřeba vyhodnotit pro stanovení úrovně SAM v podniku. Rozdělení kategorií na kompetence ukazuje tabulka č. 1. SOM pomocí odpovědí na otázky v jednotlivých klíčových kompetencích určuje, na které úrovni se SAM v podniku nachází a dále stanovuje co2 v jednotlivých kompetencích zlepšit pro dosažení další úrovně. Jsou definovány čtyři úrovně SAM v podniku. • Basic SAM. Malá kontrola nad tím kde a jaká jsou softwarová aktiva v podniku využívána. Nedostatečná podniková pravidla, postupy a nástroje k provádění SAM. • Standartized SAM. V podniku existují SAM procesy. Data o evidenci informací o softwaru jsou dostupná, ale nejsou přehledná a přesná pro využití vedením společnosti k rozhodování. 2

Tabulka stavu kompetencí pro jednotlivé úrovně se nachází v příloze B této práce.

2.7

20

Metodika SAM

Tabulka 1: Rozdělení kategorií ISO 19770-1 na klíčové kompetence SOM

Kategorie ISO 19770-1 Řízení organizace Inventární procesy SAM Ověřovací procesy SAM Propojení s provozním řízením Propojení s procesy životního cyklu

Klíčové kompetence SOM SAM v organizaci Plán na zlepšení SAM Hardwarový a softwarový majetek Přesnost majetkových záznamů Evidence nárokovaných licencí Periodické hodnocení Záznamy o propojení s provozním řízením Proces pořízení Proces nasazení Proces vyřazení

• Rationalized SAM. Podnik má dostatečné nástroje, zásady a procesy k řízení celého životního cyklu softwarových aktiv. Informace jsou spolehlivé a tím mohou být využity k dosažení podnikatelských cílů podniku. • Dynamic SAM. Úroveň, na které se SAM téměř v reálném čase přizpůsobuje měnícím se podnikovým a obchodním podmínkám. Podnik díky SAM získává konkurenční výhodu. (Microsoft, 2012) Díky SOM tedy může podnik jednoduše rozeznat svoji stávající úroveň SAM a dále Framework ukazuje cestu ke zlepšení stávající úrovně.

2.7

Metodika SAM

Následující část práce popisuje metodiku, kterou je možné SAM do podniku zavést. Metodika vychází z doporučení vybraného přístupu k SAM. 2.7.1

Principy SAM

Jak je patrné z předchozí části práce, SAM prošel několikaletým vývojem. Ustanoveno bylo několik základních principů, které vedou podnik řádně spravovat, kontrolovat a chránit softwarový majetek. Dodržování základních principů dále vede k úspěšnému řízení rizik spojených s používání softwarových aktiv. K provedení úspěšného zavedení SAM je nutné využít strukturovaný přístup a dbát na dodržení časového sledu těchto principů, jak ukazuje obrázek č. 3. (Rudd, 2009) Jednotlivé principy uvedené na obrázku č. 3 je nutné plnit přesně v tom pořadí, jak jsou uvedeny. Jen tak je možné úspěšné zvládnutí zavedení SAM v jakékoliv organizaci. Z potřeby dodržovat přesný sled jednotlivých principů vyplývá, že nejdůležitější částí zavedení SAM je vypracování vizí a strategií pro SAM(The development

2.7

Metodika SAM

21

Obrázek 3: Principy SAM (Rudd, 2009)

of a vision and strategy for SAM). Jasná vize a strategie projektu musí být v podniku vytvořena a podporována na nejvyšší úrovni vedení společnosti. Teprve po pečlivém provedení tohoto kroku lze pokračovat. Dalším principem navazující na vypracování vizí a strategií pro SAM je vytvoření a projednání zásad SAM. Tvorba těchto zásad by měla probíhat na všech úrovních podniku. Zásady SAM mimo jiné stanovují v podniku role, kterým je přidělena určitá odpovědnost v rámci SAM. Tento krok tak nelze provádět pouze na úrovni nejvyššího vedení, ale je potřeba shody celé organizace. Vytvoření a následné dodržování těchto zásad vede k vytvoření celé řady pravidel, které musí být pro všechny zaměstnance srozumitelné. Nepochopení těchto pravidel a rolí by pak mohlo vést k celkovému neúspěchu celého zavedení SAM. Jsou-li vytvořené zásady a role, lze přistoupit k vytvoření procesů a procedur. Tyto procesy musí být detailně popsány a implementovány. Provedením předchozích kroků je SAM v organizaci zaveden a další část spočívá v průběžném plnění procesů SAM se souběžnou údržbou informací, které jsou ukládány v SAM databázi. Základem každého SAM je udržování přesných a aktuálních informací celého systému v SAM databázi. U organizacích s vysokým stupněm decentralizace je možné databází vést více, avšak sběr informací z těchto databází

2.7

Metodika SAM

22

musí být následně centralizován do jednoho bodu. To je nutné například pro centralizovaný nákup licencí. Vedením více lokálních databází může být také zajištěno oddělení autonomních částí organizace. Poslední princip slouží k pravidelnému přezkoumání a zlepšování procesů. Změny je možné provádět na jakékoliv úrovni, ale vždy je potřeba zohlednit dopad změn na další principy úrovně SAM. Může dojít například ke změně strategie firmy v reakci na tržní příležitosti či technologický vývoj. Tato změna pak bude mít logicky vliv na zásady a jednotlivé procesy celého SAM. Údržba SAM je nutný kontinuální proces. (Rudd, 2009) 2.7.2

Postup zavedení SAM

Z pohledu zavádění SAM do podniku a přípravu na certifikaci normou ISO 19770-1 pak certifikovaný auditor Jakub Vlček uvádí následující činnosti pro každý SAM projekt: • Konkretizace cílů a strategie SAM Tato část je ve své podstatě totožná s první zásadou SAM uvedenou v předchozí části práce. Jde zejména o dílčí cíle, časová vymezení, kompetence a pracovní pozice řešící danou oblast. Právě provedení těchto činností pomůže stanovení úrovně stávajícího SAM pomocí frameworku SOM. • Analýza rizik Analýza rizik by měla obsahovat rámcovou identifikaci softwarových aktiv, hrozeb a míry zranitelnosti firmy. Bez provedení této analýzy není možné provést další krok, jenž spočívá ve stanovení zásad správy SAM. Prostřednictvím navazujících personálních, organizačních či technických opatření je stanoven způsob řízení rizik. • Stanovení politiky správy SAM Politika správy SAM musí vycházet ze stanovené strategie a cílů SAM, které byly vytvořeny vrcholovým vedením společnosti. Vytvořená politika by měla zahrnovat práva a povinnosti všech uživatelů firemních počítačů ve vztahu k softwaru a popis životního cyklu softwaru ve firmě. Nastavení správné politiky odpovídá druhé zásadě SAM a měla by být tedy projednána na celopodnikové úrovni. • Zpracování SAM standardů SAM standardy jsou v praxi nejčastěji upravovány pomocí směrnice, která vychází z politiky správy SAM. Jsou v ní definovány postupy implementace, správy, kontroly a údržby všech procesů SAM. • Implementaci a aplikace inventarizačních nástrojů Vlastní výběr inventarizačního nástroje, který musí splňovat podmínky dané firemní politikou, je jedna z velice důležitých částí celého zavedení SAM. Hlavní úlohou inventarizačního nástroje je eliminace rutinních procesů a zajištění trvalé aktuálnosti získaných údajů v evidenci. Podrobnější problematika nástrojů na SAM bude probírána v kapitole nástroje pro správu SAM.

2.8

Právní ochrana počítačového programu

23

• Inventarizaci licencí softwaru Celý proces inventarizace vede ke zjištění toho, co je na kterém počítači instalováno. Auditovací nástroj poskytne seznam instalovaného softwaru pro každé zařízení. Tyto informace jsou klíčové pro rozhodování o tom, co na počítačích je nainstalováno legálně a co ne. Jedinou rutinní prací, se kterou žádný SAM systém nepomůže, je dohledání dokladů k licencím softwaru v účetnictví a jejich spárování se skutečnými instalacemi v evidenci auditovacího nástroje. Dále je potřeba zkontrolovat zda doklady o nabití softwaru obsahují všechny potřebné náležitosti. Tato problematika je podrobně popsána v kapitole právní ochrana počítačového programu. • Průběžný monitoring a re-audity Poslední fáze zavedení SAM by měla obsahovat nastavení funkčního systému přehledů a výstupů z celého procesu SAM, které k takovým úpravám poskytnou dostatečné podklady.(Vlček, 2009) Norma ISO 19770-1 vysloveně vyžaduje následující reporty. – Čtvrtletní přehled výdajů obsahující nákupy licencí. – Čtvrtletní porovnání dat získaných inventarizací se skutečným stavem nakoupených licencí. Tím dojde ke zjištění rozsahu neautorizovaných licencí. – Dvakrát za rok přehled úkolů, změn a vyřešení případných problémů SAM. – Dvakrát za rok přehled plnění smluvních dodávek spolu s návrhem prodloužení časově omezených kontraktů či licencí. – Dvakrát za rok ověření aktuálnosti evidence hardwaru i softwaru. – Roční přehled platnosti zaškolení a certifikací osob odpovědných za SAM. – Roční přehled o stavu plnění plánů a úkolů SAM. – Roční přehled o stavu požadavků uživatelů. – Roční přehled o plnění dodávek ze strany dodavatelů. – Roční přehled fyzické a elektronické evidence včetně jejího umístění. – Roční přehled využívání licencí uživateli. – Roční přehled porušení pravidel.(ČSN ISO 19770-1, 2009)

2.8


Jak již bylo řečeno v předchozích kapitolách, SAM je pro podnik nástroj, který umožní vedení podniku řízení rizik spojených s užíváním softwaru v organizaci. Definováno bylo několik rizik, kterým lze se správně zavedeným SAM čelit. Většina hrozících rizik má něco společného. Tím je porušení licenčních podmínek na užívání softwaru. Touto problematikou se zabývá následující kapitola.

2.8


24

V České Republice byla ochrana programů poprvé zakotvena v autorském zákoně č. 35/1965 Sb. v roce 1990 doplněném § 2. Zákon chránil počítačové programy pouze pokud splňovaly pojmové znaky autorského díla. Autorský zákon však v této době byl vytvořen pro odlišná díla, než jsou počítačové programy a tak vznikaly značné problémy při praktickém provádění tohoto zákonného ustanovení. Zjednodušení ochrany počítačového programu přinesl až nový autorský zákon č. 121/2000 Sb. o právu autorském a o právech souvisejících s právem autorským, který po několika novelizacích platí dodnes. Podle nového znění autorského zákona se počítačový program za dílo považuje, je-li původní v tom smyslu, že je autorovým duševním výtvorem.(Štědroň, 2010) 2.8.1

Softwarové licence

Podle již zmíněného zákona č. 121/2000 Sb. o právu autorském a o právech souvisejících s právem autorským, má autor právo dílo užít a udělit jiné osobě smlouvou oprávnění k výkonu tohoto práva. Toto smluvní oprávnění se nazývá licencí. Licence je připojena k počítačovému programu a jsou v ní uvedena práva a povinnosti smluvních stran. Právě podle druhu licencí, či podle způsobu a rozsahu užití počítačového programu, lze počítačové programy rozdělovat na několik druhů. (Štědroň, 2010) 2.8.2

Druhy softwarových licencí

Obrázek 4: Kategorizace software s příklady(Polanský, 2006)

Jelikož softwarových produktů je celá řada a jsou určeny pro různé způsoby využití, musí se logicky tato variabilita odrážet i v různorodosti licencí, které se k těmto softwarovým produktům váží. Veškeré licence lze rozdělit do dvou hlavních skupin, jak ukazuje obrázek č.4.

2.8


25

Public domain Touto kategorií jsou označeny licence k softwaru, u kterých se autor těchto děl vzdal svých práv. Software tak není nijak chráněný. V českém právu majetková práva trvají po celý život autora a dále i 70 let po jeho smrti. (Štědroň, 2010) Svobodný software/Open source Svobodný software, v anglickém jazyce nazývaný free software, je často chybně zaměňován s licencí typu Freeware. Bývá chápán jako software, který je zadarmo, což je ovšem špatný výklad anglického slova free. Svoboda je zde chápána jako možnost software spouštět, šířit, zlepšovat či měnit bez nutnosti někoho žádat o svolení nebo za tyto věci platit. Pojmy svobodný software a Open source jsou ve své podstatě synonyma. Jejich rozdíl je spíše filosofický, ale základní myšlenku sdílení zdrojového kódu programu mají stejnou. Tuto kategorii lze rozdělit na dvě podskupiny. • Copyleft. Pokud autor při zhotovení programu použil část kódu z programu, který je šířen pod copyleftovou licencí, nebo je jeho dílo z takového programu odvozeno, musí tento autor ke svému programu použít stejnou licenci jakou má program který použil. Jako nejznámější a zároveň nejrozšířenějšíhttp://osrc.blackducksoftware.com/data/licenses/ copyleftovou licenci lze uvést GNU GPL. • Non-copyleft. Tyto licence nejsou tak striktní jako copyleft licence. Mezi nejpoužívanější Open source licence tohoto typu patří BSD a MIT licence. Tyto licence umožňuje šíření programu mnohem volněji. Autor programu není například nucen použít na své dílo stejnou licenci jak je tomu u copyleft licencí Proprietární software Protipólem svobodného softwaru je proprietární software. Tento software je většinou dodáván bez zdrojového kódu. Uživatel tak nemá možnost program upravovat. Další restrikce spočívají v limitované možnosti užívání a dalšího šíření tohoto softwaru. beginitemize Freeware je software, u kterého je dovoleno neomezené šíření, ale není možná modifikace, což je způsobeno nedostupností zdrojových kódů. I zde je ovšem nutné sledovat licenční podmínky, protože některé druhy Freeware jsou omezené pouze k nekomerčnímu využití. Shareware. Mezistupněm mezi freeware a komerčním softwarem je shareware. Tento software je možné volitelně šířit stejně jako freeware, ale jeho užívání je většinou omezeno na určitou dobu. Po uplynutí této doby je nutné za užívání platit. Autoři komerčních softwaru tak uživatelům dávají možnost vyzkoušení jejich produktu a tím je nalákat k pořízení plné placené verze. Komerční software. Tento druh proprietární software je tvořen většinou za účelem zisku. Užití tohoto software bývá z tohoto důvodu velice omezené.

2.8


26

Obrázek 5: Nejčastěji využívané licence Open source projektů

Druhy komerčních licencí SAM se zabývá všemi druhy licencí, ale z pohledu podniku, který software užívá, je nejdůležitější zabývat se licencemi na proprietární software. Tyto licence se vyskytují jako jednouživatelské nebo víceuživatelské. Jednouživatelské smlouvy jak už sám název napovídá, jsou určeny pouze pro jednoho uživatele. Víceuživatelské, někdy také nazývané jako objemové(Volume), umožňují užívání více kopií daného software. Počet užívaných kopií software však musí být v licenci jasně stanoven. Překročení tohoto počtu je pak chápáno jako porušení licenčního ujednání.(Business Software Alliance, 2009) Dalším důležitým parametrem softwarové licence je doba platnosti licence. Existují licence, jejichž časová platnost je trvalá nebo dočasná. Užívání software po vypršení platnosti licence je opět chápáno jako porušení licenčního ujednání. Pravidla týkající se licenčních vymezení a podmínek jsou u většiny licencí do velké míry podobné. Lze tedy říci, že pro jednu kopii softwaru instalovanou na jakémkoliv zařízení je třeba mít odpovídající licenci, která autorizuje takovéto použití dané kopie.Pravidla jak se softwarem nakládat při jeho provozu většinou upravuje EULA(End User License Agreement), což je smlouva mezi výrobcem a uživatelem softwaru, jejíž souhlas uživatel většinou projeví instalací daného softwaru. Velice častou jednouživatelskou licencí je takzvaná krabicová verze někdy nazývaná FPP (Full Package Product). Specifickou jednouživatelskou licencí je takzvaná OEM (Original Equipment Manufacture). Tato licence se váže k instalaci pouze na jedno zařízení, ze kterého je poté nepřenositelná. Mezi víceuživatelskými licencemi se využívají kromě zmíněných objemových

2.8


27

smluv i takzvané smlouvy Enterprise Agreement, které zvýhodňují cenu licence. Dostupné však jsou až od určitého počtu uživatelů/zařízení. Zvláštním typem licencí jsou poté licence serverové nebo tzv. síťové. Serverová licence často obsahuje pouze oprávnění pro instalaci software na server. Pro přístup k tomuto serveru jsou potom nutné licence CAL(Client Access License). Modelů jak licencovat přístup k serveru je více. • Per user/device. Každý uživatel nebo zařízení, které k serveru přistupuje, potřebuje CAL licenci. • Per processor. Licencují se jednotlivé procesory serveru. Per processor licence pak obvykle umožňuje připojení neomezeného počtu uživatelů bez nutnosti CAL licence. • Per server. Jedna kopie serverové licence je nainstalovaná na serveru. V této licenci je pak automaticky zahrnut určitý počet CAL licencí.(Tulane University, 2011) Licenční smlouvy dále mohou obsahovat nejrůznější doplňková oprávnění jako například právo na upgrade/downgrade produktu, zvýhodnění pro studenty, školy nebo domácnosti nebo možnost instalace na více zařízení jednoho uživatele. V posledních letech existuje ještě jedna možnost jak využívat software, a to pořízením softwaru jako služby(SaaS). Zákazník platí jen za to, co skutečně využívá a software si ve skutečností jen pronajme. 2.8.3

Jak doložit legalitu softwaru

Legalitu softwaru je potřeba doložit nabývacím dokladem k softwaru. Doklad k nabytí může být faktura, účtenka, darovací, kupní nebo převodní smlouva, dále prohlášení prodejce či dodací list. Doklad o nabytí musí mít následující náležitosti: • Jasná identifikace dodavatele a odběratele • Datum nabytí • Specifikace produktu: – Název produktu. – Verze produktu. – Jazyková mutace. – Počet nabytých licencí. – Podpis nebo podpis a razítko(Microsoft, 2012). Dokumenty jako jsou doklad o koupi a licenční smlouvu je nutné archivovat a to po celou dobu užívání softwaru.

2.8


2.8.4

28

Softwarové pirátství

Jelikož ne všichni uživatelé softwaru užívají tento software oprávněně, což je spojeno s poměrně jednoduchými metodami, jakými lze počítačový program distribuovat a kopírovat, lze se běžně setkat se softwarovým pirátstvím. Softwarové pirátství je ” synonymem pro neoprávněné užívání softwaru, který je chráněn autorskými právy. K pirátství může dojít při kopírování, stahování, sdílení či prodeji softwaru. Další častou formou pirátství je instalace více kopií softwaru do osobního nebo pracovního počítače, než umožňuje zakoupená licence.“(Business Software Alliance, 2011) V posledních letech je softwarové pirátství v Česku na ústupu. Toto dokazuje ve své celosvětové studii o softwarovém pirátství za rok 2010 BSA. Studie hodnotí stav počítačového pirátství ve světě. Míra pirátství v Česku v posledních třech letech před vydáním studie vykazuje pozitivní trend, kdy klesala vždy o jeden procentní bod. V Česku se v roce 2010 užívalo nelegálně 36 % softwarů, čímž přišli tuzemští

Obrázek 6: Vývoj míry softwarového pirátství v Česku

výrobci softwaru o tržby ve výši 3,7 miliardy korun. Nejčastějším způsobem šíření pirátského softwaru je zakoupení pouze jedné softwarové licence, přičemž program je pak instalován na více počítačích. Tento způsob pirátství je dlouhodobě nejčastější ve firmách, ale začíná se rozšiřovat i do domácností.(Business Software Alliance, 2011) 2.8.5

Odpovědnost za nelegální software ve firmě

Od 1.1.2012 vešel v platnost zákon č.418/2011 Sb. o trestní odpovědnosti právnických osob a řízení proti nim. Zákon umožňuje trestněprávně postihovat právnické osoby, pokud spáchají některý z přesně vymezených trestných činů, mezi kterými je uvedeno i porušování autorských práv. Vedle trestního stíhání právnické osoby je však zároveň možné stíhat i konkrétní fyzické osoby, které se trestného činu dopustily. § 8 tohoto zákona jasně stanovuje, že trestným činem spáchaným právnickou ”

2.9

Dostupné nástroje pro správu SAM

29

osobou bude protiprávní čin spáchaný jejím jménem nebo v jejím zájmu nebo v rámci její činnosti, jednal-li tak: a) statutární orgán nebo člen statutárního orgánu, anebo jiná osoba, která je oprávněna jménem, nebo za právnickou osobu jednat, b) ten, kdo u této právnické osoby vykonává řídící nebo kontrolní činnost, i když není osobou uvedenou v písmenu a), c) ten, kdo vykonává rozhodující vliv na řízení této právnické osoby, jestliže jeho jednání bylo alespoň jednou z podmínek vzniku následku zakládajícího trestní odpovědnost právnické osoby, d) nebo zaměstnanec nebo osoba v obdobném postavení (dále jen ”zaměstnanec”) při plnění pracovních úkolů, i když není osobou uvedenou v písmenech a) až c), jestliže lze právnické osobě trestný čin přičíst.“(Trubač, 2012) Výše zmíněný zákon však nevylučuje společné trestní stíhání fyzických osob. Z pohledu odpovědnosti fyzických osob za nelegální software ve firmě je odpovědnost často dána rozdělením odpovědnosti v pracovněprávních dokumentech. Pro majitele podniků existuje několik cest, jak převést odpovědnost přímo na konkrétní fyzickou osobu. Odpovědnost může převést na osobu, která má v popisu práce správu IT vybavení. Tato osoba se může zprostit odpovědnosti, pokud opět prokáže, že nelegální software nainstaloval jiný zaměstnanec, nebo že pokyn k instalaci dalo samotné vedení firmy. K odhalení nelegální instalace může pomoci softwarový audit. Dalším principem je mít v pracovním řádu jasně stanoveno převedení odpovědnosti na zaměstnance. Zaměstnanec převezme počítač ve stavu tzv. softwarové legálnosti, což však musí písemně potvrdit.(Jansa, 2010) Nicméně pokud například k užívání nelegálního softwaru dal pokyn majitel, odpovědný pak může být on (nutné prokázat).

2.9


Pro eliminaci rutinních procesů, při správě softwarového majetku, je vhodné využít prostředky pro automatizaci těchto činností. Proto je před vlastním řešení SAM vhodné dozvědět se více o nástrojích, které jsou na trhu dostupné. Tato část práce se tak zaměřuje na produkty firem, nabízející vlastní řešení správy softwarového majetku. Velmi přínosná byla možnost vyzkoušení některých produktů, což přineslo mnoho inspirace pro tvorbu vlastního řešení. Tato kapitola se stane podkladem k výběru řešení pro vybranou firmu. 2.9.1

Kritéria hodnocení

K podrobnější studii byly vybrány nástroje pro správu SAM, které jsou v současné době v ČR nejpoužívanější. Zaměření se na nástroje používané v Česku je vhodné

2.9


30

zejména z toho důvodu, že tyto nástroje jsou v souladu, nebo byly přímo vytvářeny pro využití v legislativních podmínkách České republiky. Zjišťována bude podpora nástroje dostupných norem. Z technologické stránky se při posuzování jednotlivých nástrojů bude hodnotit zejména náročnost na stávající firemní infrastrukturu a možnost využití pro koncová zařízení, která nejsou připojena k firemní síti. 2.9.2

AuditPro

Systém AuditPro od společnosti TruconneXion a.s. se od svého uvedení na trh v roce 2001 v současné době nachází ve své sedmé verzi. Produkt získal řadu ocenění. Stal se vítězem Microsoft Industry Awards Winer za roky 2002, 2006 a 2007. Dále produkt získal ocenění v Microsoft CEE Partner of the Year Awards jako nejlepší technologické řešení v regionu střední a východní Evropy. Součástí systému AuditPro je evidenční část, ve které jsou archivovány údaje o nabývacích dokladech k jednotlivým licencím softwaru a další doplňkové informace. Softwarový audit lze kdykoliv opakovat. Systém je schopen porovnat údaje z jednotlivých auditů a správce sítě informovat o nalezených rozdílech, nekorektním jednání uživatelů, změnách v hardwarovém vybavení atd. Monitoring počítačů umožňuje sledovat využívání jednotlivých počítačů a pomáhá tak při rozhodování o upgrade hardwaru a softwaru nebo oprávněnosti požadavků uživatelů. • Přídavný modul Správa Majetku rozšiřuje inventární část AuditPro o plně uživatelsky definovatelnou evidenci jakýchkoliv objektů (jako budovy, automobily, kancelářský nábytek apod.). Dále je možné objekty hierarchicky třídit a přiřazovat uživatelům. • Přídavný modul Čárové kódy rozšiřuje inventární část AuditPro především o možnost efektivnějšího provádění inventur, díky využití čárových kódů. • Přídavný modul Helpdesk rozšiřuje AuditPro o nástroj pro evidenci požadavků, problémů či dotazů uživatelů.(truconneXion, 2011) Technologické řešení nentní architektury.

Systém AuditPro je navržen na principu třívrstvé kompo-

• Datovou vrstvu tvoří databáze Microsoft SQL Server (podporovány od verze 7.), případně MSDE (Microsoft SQL Server Desktop Engine), nebo Oracle 8.1 a vyšší. • Aplikační vrstva je představována souborem komponent umístěných v Audit Serveru sběrnou aplikací. • Prezentační vrstvu zastupuje administrátorská konzola nabízející prostředí pro správu systému a evidenční část. (truconneXion, 2011) Zjištěný software je porovnáván s knihovnou, která je výrobcem pravidelně aktualizována. Systém však podporuje i tvorbu vlastních softwarových definic. Modul

2.9


31

Obrázek 7: Architektura systému AuditPro (truconneXion, 2011)

Microsoft SMS/SCCM Connector umožňuje integrovat AuditPro se systémem pro správu koncových stanic a distribuci software Microsoft Systems Management Server 2000/2003 a novější System Center Configuration Manager. Integrací těchto dvou systémů je možno za pomocí doplnit Microsoft produkty SMS/SCCM o oblasti pokročilých auditovacích nástrojů, které tento systém neřeší, včetně plnohodnotné správy softwarových licencí. Zhodnocení nástroje Nástroj AuditPro obsahuje prostředky pro kompletní správu SAM. Nabízí pokročilé funkce od správy licencí k software přes evidenci majetku až k podpoře uživatelů pomocí helpdesku. AuditPro umožňuje postupovat a vytvářet audit v souladu s normou ISO 19770. Pro zavedení nástroje do podniku je však potřeba základní infrastruktura v podobě serveru, na kterém bude umístěna administrátorská konzola. Nutné je také připojit nástroj k databázi, kterou bude využívat pro ukládání dat. Sběr dat je možný i od klientů, kteří nejsou umístěny v podnikové síti. Administrátorská konzola však v některých ohledech působí poněkud nepřehledně (například nalezení možnosti vygenerovat ISO report). 2.9.3

Alvao

Dalším významným produktem na českém trhu je systém ALVAO od firmy ALC s.r.o. Systém byl na trh uveden již v roce 1999 a v současnosti je k dispozici sedmá verze tohoto produktu. Verze ALVAO 7 je certifikována na použití metodik ITIL. Systém je navržen pro možnost použití v prostředí Cloudu a je orientován

2.9


32

na platformu Microsoft (Windows Azure). Systém uspěl v soutěži Microsoft Industry Awards 2007, 2008 i 2009 pro Českou a Slovenskou. Produkt ALVAO je dělen na dvě části. • Asset Management. Pomocí tohoto nástroje je možné spravovat nejen software a hardware, ale také jiný podnikový majetek. V systému je vedena evidence licencí jak na počítače, tak i na uživatele. Inventarizaci majetku je opět možné usnadnit díky podpoře práce s čárovými kódy. Součástí je i monitoring aktivit uživatelů na počítačích. • Service Desk/Help Desk je nástroj pro sběr požadavků od uživatelů. Uživatelé mají k dispozici portál, kde mohou vybírat z katalogu služeb, nebo požadavek zaslat emailem. Systém automaticky upozorňuje administrátory na neřešené požadavky. Uživatelé také mohou mít přehled o postupu zpracovávání jejich požadavku. Technologické řešení Na rozdíl od předešlého produktu AuditPro, nevyžaduje nutně instalaci agenta na jednotlivé počítače. Detekce se provádí prostřednictvím protokolu DCOM, WMI a prohledáváním registrů. Pro využití mimo firemní síť je však nutnost využití agenta (komunikace přes TCP/IP nutná). Další možnost je sbírat údaje o PC serverové části nazvané Collector pomocí využití sdílené složky. Schéma fungování produktu je vidět na obrázku č.8.(ALVAO, 2011)

Obrázek 8: Architektura systému ALVAO(Gric, 2008)

Zhodnocení nástroje V rozsahu podpory podnikových procesů je nástroj ALVAO podobný předchozímu produktu. ALVAO je certifikováno pro použití metodik ITIL a dále opět umožňuje audit v souladu s normou ISO 19770. Nástroj se odlišuje především podporou cloudových technologií (Windows Azure), které rozšiřují možnosti nasazení serverové části. Podnik uvažující o nasazení tohoto nástroje má tak ke zvážení možnost, zda umístí server Alvao do cloudu. S využitím cloudových technologií

2.9


33

se váže také bezproblémová podpora uživatelů, ať už se nachází kdekoliv. Rozhraní administrátorské části působí na rozdíl od předchozího nástroje více přehledně. 2.9.4

AW Caesar

Třetí produkt AW Caesar od firmy Free RW - Soft v.o.s., který je na trhu od roku 2002 je v současnosti také v sedmé verzi. Systém je opět modulární. Základní funkce pro SAM jsou však obsaženy v základním modulu programu. Systém je zajímavý především možností rozdělení na více úrovní, což je výhodné zejména u velkých společností. U organizací s víceúrovňovou strukturou řízení se data evidují v lokálních evidencích a pak se kumulují na dalších úrovních. Další odlišností od konkurenčních produktů je auditorská verze AW Caesar, která je určena pro společnosti poskytující softwarové audity jako službu. Základní modul systému AW Caesar obsahuje skener hardware a software, modul pro analýzu získaných dat a evidenční část. Základní modul může být libovolně rozšířen následujícími rozšiřujícími moduly. • Modul On-line skenování umožňuje skenování počítačů uživatelů bez nutnosti instalace skeneru. Skenování se provádí přes počítačovou síť. Modul umožňuje i sledování běžících procesů na počítačích. • Modul Multifiltering umožňuje filtrovat data tak, aby například odpovědní vedoucí viděli jen informace o počítačích, které jsou jim přiděleny do správy. • Modul Dávkové analýzy a přihrání slouží k provedení analýzy softwaru podle nastavených parametrů v určitou dobu. Analýzu je tak možné naplánovat například přes noc, kdy je síťový provoz ve společnosti minimální. • Modul Securite umožňuje zakázat či povolit připojování zařízení k počítači přes USB. Uživatel tak například nemůže stáhnout citlivá firemní data na USB disk. • Modul Personálního Auditu. Tento modul umožňuje monitorovat aktivity uživatele na počítači. Detailně je možné například sledovat, které internetové stránky uživatel navštěvuje nebo monitorovat tisk na firemní tiskárně. Modul je dostupný i samostatně bez systému AW Caesar. • Modul Internetový Přístup + HelpDesk uživatelům umožňuje hlášení poruch a požadavků. Ty jsou dále zpracovávány odpovědnými osobami, které vidí pouze požadavky uživatelů, jejichž počítače daná osoba spravuje. • Modul SAWA podle platnosti cookies vyhodnocuje webové aplikace, které jsou na počítači využívány. Modul podporuje internetové prohlížeče Internet Explorer, Firefox a Opera. • Modul Inventarizace umožňuje využít čárové kódy pro usnadnění evidence podnikového majetku. • Modul Remote Control umožňuje vzdálenou správu a údržbu uživatelských počítačů. Možné je úplné převzetí kontroly nad zvoleným počítačem.

2.9


34

• Rozšíření na víceuživatelský systém dovoluje přístup více uživatelů k evidenčním údajům podle nastavitelných přístupových práv.(Free RW - Soft, 2012) Technologické řešení Základní modul systému pracuje na principu klient - server. Klientská aplikace na počítačích uživatelů provádí skenování dat, která uloží do souboru. Tento soubor poté předává k analýze a vyhodnocení dle vědomostní databáze. Poté se data ukládají do evidenční části programu. Skenování a sběr dat je možný prostřednictvím počítačové sítě, e-mailem, FTP rozhraním i disketou. Jak již bylo zmíněno výše, skenovaní dat je možné i bez nutnosti instalace skenerů na počítače uživatelů, což umožňuje rozšiřující modul on-line skenování.(Free RW - Soft, 2012) Zhodnocení nástroje AW Caesar přímou podporu reportu pro ISO 19770-1 nemá. Nedisponuje ani certifikací souladu s metodami ITIL. Z tohoto pohledu tak nástroj za konkurencí zaostává. Výhodou je použití nástroje pro auditorské firmy. Nástroj také využívá Policie ČR při provádění kontrol. Další odlišností je možnost rozdělení správy do více úrovní. To je však potřeba pouze u větších organizací. Pro fungování nástroje je opět nutný provoz vlastního serveru. Data od uživatelů mimo podnikovou síť jsou sbírána pomocí FTP serveru(klient odešle soubor s informacemi o počítači na tento server), případně lze nastavit zaslání informací emailem. Rozhraní aplikace není příliš intuitivní. 2.9.5

Další dostupné nástroje

Podrobně představené tři produkty nejsou zdaleka jediné, které umožňují SAM. V České republice je však tato trojice systémů rozšířená. Další systémy jako například MagikINFO, OptimAccess či SprávceIT mají funkcionalitu obdobnou, jako představené produkty. Kromě produktů, které jsou na SAM přímo specializované, existují i řešení jako například Tivoli Asset Management for IT, které rozšiřují systémy pro správu majetku o potřebnou funkcionalitu k využití pro SAM. Principy a přístupy dostupných nástrojů byly popsány a proto nepovažuji popis dalších systémů v této práci za přínosný.

3

ŘEŠENÍ SAM PRO FIRMU CREATIVEMAGES

3

35

Řešení SAM pro firmu CReativeMages

Potřeba spravovat efektivně svůj softwarový majetek a výhody, které může správně implementované řešení pro firmu mít, přiměl firmu CReativeMages s.r.o. SAM ve firmě zavést. Další část práce se tedy zabývá zavedením SAM pomocí vybrané metodiky do zmíněné firmy.

3.1

Charakteristika firmy

CRetiveMages s.r.o je mladá pražská firma zaměřena na prodej cloudových služeb společnosti Microsoft. Firma je stříbrným partnerem Microsoftu a je součástí programu Cloud Accelerate. CReativeMages svým zákazníkům nabízí řešení v oblasti implementace Microsoft Dynamics CRM 2011 na míru, implementace nástroje pro spolupráci a moderní kancelář Office 365, tvorbu a integrace internetových stránek se systémem Microsoft Dynamics CRM 2011. Společnost dále vyvíjí vlastní řešení na platformě MS Dynamics CRM 2011. Se svým řešením internetového e-shopu firma získala v únoru roku 2012 druhé místo na prestižní soutěži eXtreme CRM v Berlíně. Se stejným řešením se pak stala finalistou v soutěži Microsoft Awards 2012 v Česku.

3.2

Současný stav ve firmě

Jak již bylo zmíněno, jedná se o mladou firmu. Z tohoto důvodu se její vnitropodnikové procesy teprve utvářejí. CReativeMages se nachází v období, kdy je zavedení SAM velice aktuální. Společnost uvažuje o vstupu strategického partnera. Během jednání s možnými partnery bylo zjištěno, že velkou část hodnoty firmy tvoří právě softwarové licence získané partnerstvím se společností Microsoft. Nástroje a metody pro efektivní řízení softwarových aktiv společnosti dosud chybí, což se projevuje především velkou časovou náročností veškerých operací spojených se správou softwarového majetku. Firma v současné době nemá ucelenou strategii pro zacházení se softwarovými aktivy. Vnitřních předpisy nakládání se softwarovým majetkem pokrývají velice nedostatečně. Ve firmě v současné době pracují necelé dvě desítky pracovníků a v tomto roce se počítá s dalším rozšiřováním. Část zaměstnanců pracuje často mimo kancelář, což bude nutné zohlednit. 3.2.1

Současná úroveň SAM podle Framework SOM

Pro stanovení současné úrovně SAM v podniku byl vybrán Framework SOM společnosti Microsoft, který je popsán v předchozích kapitolách této práce. Na základě odpovědí na otázky jednotlivých kompetencí SOM bude stanovena úroveň SAM. Jak jsou stanoveny odpovědnost a role pro SAM? V současné době není jasně definována žádná osoba, která by měla správu softwarového majetku ve své kompetenci. Tato odpovědnost tedy náleží pouze vedení firmy. Role pro SAM nejsou definovány.

3.2

Současný stav ve firmě

36

Má společnost vytvořený SAM plán? Společnost v současném době nemá definovaný žádný konkrétní plán pro oblast SAM. V jakém rozsahu je prováděna inventarizace softwaru? V současné době firma softwarový majetek eviduje pomocí řešení Windows Intune. Windows Intune je řešení pro správu a zbezpeční počítačů. Toto programové vybavení nebylo v kapitole zabývající se dostupnými nástroji pro SAM zmiňováno z toho důvodu, že se primárně nejedná o nástroj pro SAM. Evidence v této aplikaci nepostačuje k provádění efektivního SAM. Aplikace však dokáže zjistit, jaký software je na konkrétním počítači nainstalován. Windows Intune je nasazeno na všech počítačích ve společnosti. Pokrytí počítačů je tedy 100%. Jak často se ověřuje přesnost inventárního nástroje? Jednou za rok se na vybraném vzorku počítačů ověřuje skutečný stav instalovaného software na PC a stav zjištěný inventárním nástrojem. Jak je veden a jaký je přístup k inventáři licencí? V současné době jsou všechny smlouvy v papírové formě uloženy v účetním oddělení. Jedná se o 10 % veškerých licencí. Zbylá část licencí, získaných partnerstvím se společností Microsoft, je však dostupná pouze v elektronické formě(podepsáno elektronickým podpisem) na webovém partnerském portálu. K této elektronické formě má v současné době přístup pouze vedení společnosti. Jak často se ověřuje zjištěný software se softwarovými licencemi? Toto porovnání se provádí pouze jednou za rok před účetní uzávěrkou společně s inventarizací ostatního majetku firmy. Jak je SAM propojen s provozním řízením? V současnosti nejsou jasně definovaná pravidla jak řídit rizika spojená se SAM nebo například vztahy s dodavateli softwaru. Problémy spojené se správou softwaru se řeší nahodile. Jakým způsobem je prováděn nákup nového softwaru? Rozhodnutí o pořízení, stejně jako kritéria pro nákup nového softwaru spadá do kompetence vedení podniku. Údaje o nákupu jsou poté sděleny účetnímu oddělení. Přesný postup, jak uskladnit licence a instalační média, není stanoven. Jakým způsobem je prováděno nasazení softwaru? Nasazení nového hardwaru je prováděno na pokyn vedení. Záznam o provedené instalaci není nikde zaznamenán. Uživatelé mohou sami provádět instalaci nového softwaru. Jakým způsobem je prováděno vyřazení softwaru? Vyřazení softwaru z užívání není nějak ošetřeno. Software může být odinstalován pouze na základě rozhodnutí uživatele. Není tak nikde evidováno uvolnění licence Na základě zhodnocení kritérií stanovených SOM byla úroveň SAM ve firmě CReativeMages s.r.o. stanovena jako Basic“. ”

3.3

37

Konkretizace cílů SAM

3.3

Konkretizace cílů SAM

Stávající úroveň SAM ve firmě CRetiveMages s.r.o. je na nedostatečné úrovni, což potvrdilo i zhodnocení stávajícího SAM ve firmě. Firma se tak rozhodla úroveň v této podnikové oblasti zlepšit, přičemž byly stanoveny následující dílčí cíle, které by měly být zavedením SAM do podniku splněny. Dílčí cíle zavedení SAM do firmy CReativeMages s.r.o. jsou tedy následující: • Zavedení přehledné evidence softwarů a licencí. • Stanovit jasné role pro SAM a jejich odpovědnosti. • Vytvořit vnitropodnikové směrnice pro SAM. • Vytvořit SAM plán. • Minimalizovat rizika spojená s užíváním softwaru.

3.4

Analýza rizik

Využívání softwaru je spojeno s několika specifickými riziky. Tyto rizika bude nutné odhalit, definovat a pokusit se nalézt způsob jak je minimalizovat. 3.4.1

Metoda analýzy rizik

Jako metoda pro hodnocení rizik byla zvolena bodová polokvantitivní metoda (PNH). Tato metoda analyzuje riziko pomocí tří složek: • Pravděpodobnosti vzniku rizika (P). Tato složka hodnotí, s jakou pravděpodobností je možné očekávat výskyt ohrožení. • Pravděpodobnosti následků rizika (N). Tato složka hodnotí pravděpodobnost rozsahu škod způsobené ohrožením. • Názoru hodnotitelů (H). Tato složka určuje míru závažnosti z hlediska ostatních vlivů, které mohou riziko zvýšit. Tabulka 2: Pravděpodobnost vzniku a existence nebezpečí(P)(Koudelka, 2006)

Slovní vyjádření

Stupnice

Nahodilá Nepravděpodobná Pravděpodobná Velmi pravděpodobná Trvalá

1 2 3 4 5

3.4

38

Analýza rizik

Tabulka 3: Možné následky ohrožení(N) (Koudelka, 2006)


Stupnice

Vznik nízkých nákladů u jednotlivce Vznik vysokých nákladů u jednotlivce Vznik nákladů s vlivem na chod podniku Vznik nákladů ohrožující podnik Likvidační následky

1 2 3 4 5

Tabulka 4: Názor hodnotitelů(H) (Koudelka, 2006)


Stupnice

Zanedbatelný vliv na míru nebezpečí a ohrožení Malý vliv na míru nebezpečí a ohrožení Větší, nezanedbatelný vliv na míru ohrožení a nebezpečí Velký a významný vliv na míru ohrožení a nebezpečí Více významných a nepříznivých vlivů na závažnost ohrožení a nebezpečí

1 2 3 4 5

Všechny tři kategorie obsahují číselnou stupnici od 1 do 5, podle které je každá složka hodnocena. Výsledná míra rizika (R) je pak dána součinem těchto tří složek, jak ukazuje vztah č. 1. R=P ·N ·H (1) Velikost míry rizika určuje stupeň rizika, který je určen intervalem míry rizika. Čím větší je míra rizika, tím je přijetí opatření proti riziku naléhavější.(Koudelka, 2006) Tabulka 5: Stupeň rizikovosti (Koudelka, 2006)

3.4.2

Rizikový stupeň

Rozpětí rizika

Hodnocení rizika

I. II. III. IV. V.

> 100 51 - 100 11 - 50 3 - 10 <3

Nepřijatelné riziko Nežádoucí riziko Mírné riziko Akceptovatelné riziko Bezvýznamné riziko

Identifikace nebezpečí

Společně se zástupci firmy CReativeMages s.r.o. byla definována následující rizika užívání softwaru.

3.4

Analýza rizik

39

• Zrušení partnerství se společností Microsoft vlivem nedodržení licenční politiky při úmyslném prodání interní licence externí organizaci nebo jednotlivci. • Zrušení partnerství s Microsoftem vlivem nedodržení licenční politiky při neúmyslném prodání interní licence externí organizaci nebo jednotlivci. • Poškození dobrého jména a nemožnost účastnit se výběrových řízení po zjištění kontroly o neoprávněném užívání licencí, které byly úmyslně nezakoupeny. • Poškození dobrého jména a nemožnost účastnit se výběrových řízení po zjištění kontroly o neoprávněném užívání licencí, které byly neúmyslně nezakoupeny. • Poškození procesu vstupu investora vlivem problému se stanovením hodnoty firmy. • Administrativní zátěž k softwaru, který je vázaný na instalovanou pracovní stanici v případě, že je při zrušení pracovního poměru počítač reinstalován bez potřebného odebrání licence.(Problém například u softwaru Demo Mate) • Vytvoření zbytečných nákladů dodatečným nákupem licencí z důvodu nákupu špatného přehledu o tom jaký software je již zakoupen. • Náklady a možné poškození PC při instalaci nelegálního softwaru a roznesení malware. • Vznik rozsáhlých víceprací vlivem roznesení malware z důvodů oslabení ochrany nelegálním softwarem. • Vznik rizika z nákupu softwaru, který není potřeba, protože firma vlastní některý, který již pokrývá oblasti uvažované při nákupu. Pro identifikovaná nebezpečí byla zpracována analýza rizik3 , která pomohla identifikovat největší rizika pro firmu. 3.4.3

Bezpečností opatření rizik

Každému riziku byla přidělena bezpečnostní opatření, které vedou k omezení identifikovaných rizik. Některá bezpečnostní opatření slouží pro omezení více rizik. Stanovena byla následující bezpečnostní opatření. • Centralizace evidence softwaru. • Evidence softwarového majetku. • Kontrola instalovaného softwaru před přeinstalováním počítače. • Kontrola licenčního ujednání před od instalací softwaru. • Kontrola shody postupu od instalace s dokumentací softwaru. 3

Tabulka analýzy rizik se nachází v příloze C této práce

3.4

Analýza rizik

40

• Kontrola shody s licencí před instalací softwaru. • Kontrola účelu využití licence odpovědnou osobou. • Namátkové kontroly jednotlivých počítačů. • Ochrana instalace PC technickými prostředky (antimalware). • Okamžité odstranění nelegálního softwaru. • Omezení možnosti instalovat vlastní software. • Omezení přístupu k interním licencím. • Optimalizace procesu nákupu nového softwaru. • Optimalizace procesu vyřazení softwaru. • Pravidelná inventarizace instalovaného softwaru. • Pravidelná kontrola dostupných licencí. • Pravidelná kontrola evidence dokladů o nabití softwaru. • Pravidelná kontrola evidence softwaru. • Pravidelná kontrola shody inventáře softwaru se získanými licencemi. • Pravidelná kontrola využití interních licencí. • Pravidelné školení a přezkoumání práv plynoucí z licencí. • Pravidelné školení uživatelů na znalost podnikové politiky SAM. • Seznámení uživatelů s výsledky kontroly. • Stanovení odpovědné osoby za interní licence. • Stanovení osoby odpovědné za instalaci softwaru na zařízení. • Stanovit postih za instalaci nelegálního softwaru. • Stanovení zásad zavedení nového softwaru. • Vzdělávání osoby odpovědné za nákup softwaru o možnostech aktuálně vlastněného softwaru. • Zákaz instalace nelegálního softwaru. • Zjištění požadavků uživatelů na software. Tato bezpečnostní opatření budou provedena pomocí zavedení interní směrnice pro SAM, vytvořením podnikových zásad(které budou implementovány v provozním řádu) a přijetím jednorázových opatření při zavedení SAM, čímž se zabývá následující část práce.

3.5

Stanovení politiky správy SAM

3.5

41


Nyní je potřeba stanovit zásady, které budou platné na celopodnikové úrovni v oblasti SAM. Zásady vycházejí ze stanovených cílů bezpečnostních opatření pro minimalizaci rizik spojených s užíváním softwaru v podniku. 3.5.1

Vytvoření inventáře SAM

Jedna z nejdůležitějších věcí, kterou je potřeba vědět, je pro jaký software má podnik licence a potřebnou dokumentaci. Pro dosažení tohoto cíle bude nutné udržovat centrální soupis všech softwarových licencí společnosti, tzv. inventář SAM. Aby byla zajištěna aktuálnost uložených dokumentů, je nutné zavést povinnost nové dokumenty ukládat do tohoto skladu ihned po přijetí. Také je potřeba pravidelně provádět audit těchto dokumentů, aby byla zajištěna jejich integrita. Nakonec je potřeba se ujistit, že kopie těchto dokumentů jsou ukládány na bezpečném místě a jsou pravidelně aktualizovány. Příjem nového softwaru musí proběhnout jako součást standardního procesu příjmu nového softwaru. Tento proces musí být proveden ještě před nasazením softwaru na jednotlivá zařízení. Tento krok zajistí, že žádný nový software nebude nainstalován bez předchozího zápisu do inventáře. V tomto kroku je také potřeba provést kroky k ochraně instalačního média a dokumentace. Dále je potřeba pravidelně provádět inventarizaci instalovaného softwaru. Tento audit by se měl provádět minimálně jednou za čtvrt roku. Získané výsledky se porovnají s dostupnými licencemi. Případné nesrovnalosti je potřeba zaznamenat a v co nejkratší době vyřešit. Kopie výsledků inventarizace je potřeba udržovat i mimo pracoviště, jako prevence havarijních stavů (požár, povodeň apod.). Tyto zálohy je potřeba provádět po každé inventarizaci a musejí být uloženy na bezpečném místě, kam má přístup omezený počet lidí. Přístup musí mít více osob, aby se odstranila závislost na jedné osobě. 3.5.2

Instalační média

Instalační média softwaru také musejí být chráněna pro případ havarijního stavu a zároveň musejí být snadno přístupné pro podporu zaměstnanců. Pro případ výskytu těchto stavů, musí být vytvořena kopie každého instalačního média a původní médium umístěno na bezpečné místo mimo budovu pracoviště. Pro přístup zaměstnanecké podpory k instalačním médiím je také nutné zřídit uložiště médií. Obě dvě úložiště musejí být pravidelně aktualizovány. Všechny provedené kopie musejí být v souladu s pravidly výrobce softwaru. V případě že výrobce nedovoluje vytváření kopií softwaru, je velice vhodné pořízení dalších originálních médií, nebo lze obvykle tyto kopie získat přímo od výrobce za malý příplatek.

3.5


3.5.3

42

Doklad o vlastnictví

Doklad o vlastnictví softwaru je nejdůležitějším faktorem při ochraně investic organizace. Všechny originály je potřeba skladovat na centrálním místě mimo pracoviště, a v místě umístění softwaru je potřeba uchovávat kopie těchto dokumentů pro případný audit softwaru. Během procesu přijímání nového softwaru je potřeba si uchovat veškerou dokumentaci, která se týká vlastnictví softwarového balíku (licence, osvědčení o pravosti, faktury). Veškeré nepotřebné krabice je dobré odstranit a pro lepší skladnost originály umístit do papírových obálek opatřených popisem. Celý inventář je poté nutné uchovat v nehořlavé skříni s bezpečnostním zámkem. 3.5.4

Role v SAM

Odpovědnosti za každý proces musí být jasně definované a stanovené. Pro oblast SAM je vhodné jmenování manažera SAM. Jedná se o osobu zodpovědnou za management softwaru v podniku, jehož hlavními úkoly jsou: • stanovení, údržba a kontrola politiky a předpisů pro SAM, • dohled nad dodržováním předepsaných pravidel, • zajištění trvalého zlepšování procesu správy softwaru. • odpovědnost za proces SAM Manažer SAM je osobou s nejvyšší kompetencí v oblasti SAM v podniku. 3.5.5

Zjištění uživatelských požadavků

Dále je důležité stanovit, který software je pro podnik klíčový, jak se tato potřeba může měnit s růstem podniku. V tomto bodě je důležitá spolupráce se zaměstnanci a se zástupci jednotlivých oddělení. Je potřeba se jich dotázat, jaký software používají, který by využili ke své činnosti, který nepoužívají a na další připomínky týkající se softwaru v podniku. Toto dotazování je pak nutné pravidelně provádět a to minimálně jednou za rok. Vyzvěte své zaměstnance, aby našli způsob jak automatizovat jakékoliv opakované úkoly, které vykonávají. To jim pom ůže se více soustředit na úkoly, které řeší, což může ušetřit spoustu času. Na základě uživatelských podmětů je pak možné poskytnout zaměstnancům pouze ten software, který potřebují pro svou práci. Vyřizování všech požadavků na pořízení softwaru spadá do kompetence manažera správy softwaru. 3.5.6

Plán pravidelné inventarizace

Je důležité mít naplánované pravidelné inventarizace instalovaného softwaru. Pro zavadění nového softwaru do inventarizace během již rozjetého SAM plánu, je nutné stanovit politiku pořizování softwaru, ve které bude definováno, že se nově pořízený

3.5


43

software musí také automaticky zapsat do inventáře veškerého softwaru. Tento krok by se tak měl stát součástí standardu pro placení faktur. 3.5.7

Namátkové kontroly

I v případě použití specializovaných SAM aplikací pro automatický sběr informací, je nutné provádět kontrolu správné funkčnosti a ověřit získaná data pomocí osobních namátkových kontrol. Namátkové kontroly lze provádět na náhodně vybraném vzorku konkrétních počítačů, nebo pro několik konkrétních softwarových titulů. Poté je nutné určit rozdíl mezi inventarizační zprávou a výsledky namátkové kontroly. Dojde-li ke zjištění významného rozdílu, bude nutné provést celkovou inventarizaci softwaru na všech počítačích. Dále lze najmout externí agenturu, která provede audit inventáře a výsledky pak porovnat s vlastními závěry. 3.5.8

Životní cyklus softwaru v podniku

Software v podniku se může nacházet ve čtyřech fázích svého životního cyklu, jak ukazuje obrázek č. 9. SAM musí být do každé z těchto částí začleněn, aby mohl být software optimálně spravován. Pracovní postupy a procesy SAM musí být navrženy pro podporu životního cyklu softwaru v podniku.

Obrázek 9: Životní cyklus softwaru v podniku

Nákup definuje úvodní část životního cyklu softwaru v podniku. Softwarový majetek musí být správně zařazen a zaveden do systému. Nasazení upravuje proces vlastního uvolnění softwarového majetku k využití uživatelů. Údržba se zabývá kroky, které jsou nutné pro udržení aktuálního a optimálního stavu softwaru ve firmě. Vyřazení je závěrečná část životního cyklu každého softwaru v podniku, jehož výsledkem je ukončení využívání softwarového produktu.

3.5


3.5.9

44

Nelegální software

Podnik musí jasně stanovit své zásady v používání pouze legálního softwaru. V pracovním řádu musí jasně prohlásit, že na využívaný software vlastní licenci od různých vydavatelů a prodejců. Licencované a registrované kopie softwarových programů jsou umístěny na počítačích v rámci společnosti a odpovídající záložní kopie jsou vyrobené v souladu s licenční dohodou a politikou podniku. Nelze vytvořit žádné další kopie tohoto softwaru nebo jeho dokumentace bez výslovného písemného souhlasu vydavatele softwaru a nejvyššího vedení podniku. Podnik bude poskytovat kopie legálně získaného softwaru v souladu se všemi povinnostmi s tím spojenými pro všechny počítače v podniku. Použití softwaru získaného z jakéhokoliv jiného zdroje by mohlo představovat bezpečnostní a právní ohrožení pro společnost, a takové použití je přísně zakázáno. V některých případech licenční smlouva umožňuje pro konkrétní software povolit další kopírování na přenosný počítač nebo domácí počítač pro uživatele licence. Zaměstnanci podniku nebudou provádět kopie softwaru a dokumentace k softwaru bez souhlasu manažera správy softwaru nebo osoby jím pověřené. Neoprávněné kopírování chráněného softwaru nebo dokumentace je porušením zákona a je v rozporu se zásady chování zaměstnanců podniku. Zaměstnanec, který vytvoří nebo používá nepovolenou kopii softwaru nebo dokumentace bude vystaven okamžitému disciplinárnímu postihu, včetně možnosti okamžitého ukončení pracovního poměru. Podnik musí dbát na ochranu dobré pověsti i ochranu investic do počítačového softwaru prosazováním vnitřních kontrol, aby se zabránilo výrobě nebo užití neautorizovaných kopií softwaru. Tyto kontroly mohou zahrnovat pravidelné zjišťování instalovaného softwaru, namátkové kontroly počítačů společnosti, odstranění jakéhokoli softwaru, u nichž nelze určit platnou licenci nebo doklad o licenci. Každý výskyt neautorizovaného softwaru musí být zaznamenán, prošetřen a musí být vyvozeny důsledky. (Microsoft, 2012) 3.5.10 Školení SAM Podnik musí zajistit proškolení zaměstnanců ohledně podnikových zásad správy softwarového majetku minimálně jednou za rok. Každý zaměstnanec poté musí podpisem potvrdit toto seznámení s podnikovými pravidly, čímž dává zároveň najevo, že se bude pravidly společnosti řídit. Osobám, jež zastávají role v SAM, musí být umožněno další vzdělávání v této oblasti, které vede k udržení či zlepšení stávající úrovně SAM. Tato školení musí být pravidelná a prováděna minimálně jednou za rok. 3.5.11 Plán SAM Firma musí stanovit roční plán všech aktivit spojených se SAM. Plán musí být schválen vedením společnosti. Během roku je nutné plnit nastavený plán SAM. Jakékoliv odchylky od plánu musí být zaznamenány a odůvodněny. Na konci každého roku,

3.6

Jednorázové úkony při zavedení SAM v podniku CReativeMages

45

tedy i plánu SAM, se provádí zhodnocení SAM ve firmě, přehodnocení stávajícího fungování a dále je možné vlastní SAM inovovat. O veškerých změnách v SAM musí být proškoleni všichni zaměstnanci.

3.6

Jednorázové úkony při zavedení SAM v podniku CReativeMages

Na základě stanovených cílů, zásad a ochranných opatření je nutné: • Vytvořit inventář SAM. Tento inventář bude umístěn na pracovišti. Součástí inventáře budou kopie instalačních médií, kopie licencí, dokumentace a manuály k softwaru. Instalační média inventáře musí být zabezpečena proti neoprávněnému přístupu (např. uzamykatelná nehořlavá skříň). • Vytvoření bezpečného uložiště pro SAM. Na tomto uložišti budou uloženy originály instalačních médií a licencí. Uložiště musí být chráněno před neoprávněným přístupem a nacházet se mimo pracoviště. • Zavést nástroj pro automatickou inventarizaci Pro automatickou inventarizaci budou využity informace z aplikace Windows Intune, která je již ve firmě nasazena. Tato aplikace, pomocí klientů nainstalovaných na počítačích, sbírá v pravidelném intervalu data z jednotlivých počítačů. Aplikace Windows Intune má výhodu v tom, že se jedná o cloudovou aplikaci. Pro sběr informací tak není nutná podniková síť, ale postačuje připojení k internetu. Tím je vyřešen problém s pracovníky, kteří pracují mimo hlavní kancelář. Přístup k datům z aplikace je možný přes administrátorskou konzolu. Přihlášení do konzole je možné pomocí Windows Live ID4 (pouze Windows Live ID, které mají nastavený přístup do aplikace). Data se vyexportují v CSV souborech, které se poté naimportují do aplikace pro správu SAM. Propojení těchto dvou aplikací bohužel není možné. Společnost Microsoft, která aplikaci vytvořila, byla za účelem poskytnutí informací jak toto propojení provést kontaktována. Odpovědí je, že SDK ještě není připraveno k vydání. Proto není žádná možnost, jak se na databázi Windows Intune napojit. Jelikož se však předpokládá změna tohoto stavu, bylo rozhodnuto prozatím využít exporty této aplikace. • Zavést aplikaci pro správu SAM. Problematikou této aplikace se bude zabývat kapitola: Aplikace pro správu SAM“. ” • Úprava provozního řádu Provozní řád je nutné upravit, aby obsahoval zásady stanovené firemní politikou SAM. Zejména je důležité zaimplementovat část týkající se nelegálního softwaru ve firmě. 4

Windows Live ID je služba společnosti Microsoft, která umožňuje přihlašování pomocí jedné sady přihlašovacích údajů k různým webům/službám. Součástí Windows Live ID je emailová adresa, která slouží jako login pro přihlašování.

3.7

Podniková směrnice pro SAM

46

• Stanovit manažera SAM. V podniku se musí stanovit nová role. Nutná je úprava pracovně právních vztahů této odpovědné osoby.

3.7


Následující část práce tvoří vypracovaná směrnice pro pověřeného pracovníka, který sbírá informace z určených informačních zdrojů, průběžně je vyhodnocuje a zaznamenává na příslušné místo. Podle potřeby podniku pak vhodnou formou informuje spolupracovníky z jiných útvarů resp. vedoucí oddělení pravidelně informuje vedení podniku. Stuktura této směrnice byla konzultována s vedením firmy CReativeMages. 3.7.1

Rozdělení činností spadajících do SAM

1. Manuální inventarizace softwaru. 2. Automatická inventarizace softwaru. 3. Inventarizace licencí. 4. Inventarizace dokladů o nabytí softwaru. 5. Porovnání instalovaného softwaru s licencí. 6. Nákup softwarového majetku. 7. Nasazení softwarového majetku. 8. Údržba softwarového majetku. 9. Vyřazení softwarového majetku. 10. Zpracování požadavků na software. 3.7.2

Vlastník procesu

Zodpovědnou osobou za celý proces správy softwarového majetku v podniku je manažer SAM. Manažer SAM může svou činnost delegovat na jím pověřené spolupracovníky, kteří mohou převzít odpovědnost za dílčí části SAM. 3.7.3

Vstup procesu

• Export instalovaného softwaru z aplikace Windows Intune. • Export seznamu počítačů z aplikace Windows Intune. • Požadavek na inventarizaci softwaru. • Požadavek na inventarizaci licencí. • Požadavek na inventarizaci dokladů o nabytí.

3.7


47

• Formulář pro manuální způsob inventarizace. • Informace o instalovaném softwaru na počítačích (pro manuální inventarizaci softwaru). • Seznam dokladů o nabytí softwaru z ekonomického informačního systému (EIS). • Dodávka nového softwaru. • Evidenční číslo nového majetku z EIS. • Požadavek na úpravu softwarového majetku. • Informace o licenčních podmínkách. • Dokumenty z inventáře SAM. • Souhlas vedení společnosti. • Doklady, média určená k odstranění. • Požadavek na software. • Odpověď vedení na žádost o nákup softwaru. 3.7.4

Výstup procesu

• Seznam instalovaného softwaru v aplikaci pro správu SAM. • Seznam sledovaných počítačů v aplikaci pro správu SAM. • Inventární seznam instalovaného softwaru podepsaný odpovědnou osobou. • Inventární seznam sledovaných počítačů podepsaný odpovědnou osobou. • Vyplněný formuláře manuálního sběru instalovaného softwaru. • Inventární seznam licencí podepsaný odpovědnou osobou. • Seznam a informace o dostupných licencí v aplikaci pro správu SAM. • Papírová forma softwarové licence. • Inventární seznam dokladů o nabytí softwaru podepsaný odpovědnou osobou. • Doklad o nabytí softwaru je přiřazen k licenci v aplikaci pro správu SAM. • Licence jsou přiřazeny k softwaru v aplikaci pro správu SAM. • Seznam přiřazení licencí k softwaru podepsaný odpovědnou osobou. • Uživatelské příručky a manuály. • Kopie licencí. • Kopie instalačního média.

3.7


48

• Nový softwarový majetek v aplikaci SAM. • Přijímací doklad pro účetní oddělení. • Instalační klíč pro instalaci softwaru. • Úprava záznamů v aplikaci pro správu SAM. • Seznam změn, které je nutné udělat v programovém vybavení počítačů. • Oznámení vedení podniku. • Oznámení účetnímu oddělení. • Žádost o schválení nákupu softwaru. • Stav požadavku o software je nastaven jako zpracovaný. • Požadavek na provedení nákupu softwaru. • Informace o stavu žádosti o software. 3.7.5

Popis činností SAM

Popis jednotlivých činností definovaných v bodě 3.7.1. Manuální inventarizace softwaru Popis činnosti Tato činnost slouží k získání informací o softwaru, který je instalován na podnikových počítačích, pro další zpracování procesem SAM. Tento způsob se využívá v případě, kdy počítač není připojen k internetové síti, platforma počítačové stanice nepodporuje instalaci aplikace pro automatický sběr, nebo na počítači dosud neproběhla instalace klienta aplikace Windows Intune. Manuální inventarizace se také provádí jako kontrola seznamu instalovaného softwaru, které automaticky zjistila aplikace Windows Intune. Získané informace jsou vloženy do aplikace pro správu SAM. Předpoklady činnosti • Pověřená osoba má přístup do kontrolovaných počítačů. • Formulář pro manuální inventarizaci. • Dostupnost aplikace pro správu SAM • Je zřízen inventář SAM. Pracovní postup činnosti

3.7


49

1. Přihlášení k počítačové stanici, na které se bude provádět inventarizace, otevřením panelu Přidat nebo odebrat programy“. Tento postup platí pro počítače ” s operačními systémy Windows. 2. Vyplnění formuláře5 manuálního sběru instalovaného softwaru. K tomu, aby byl sběr kompletní, je potřeba evidovat všechny požadované atributy. Šablonu je možné vyplnit elektronicky nebo písemně. Obě verze však musí osoba, která inventarizaci provedla, opatřit podpisem. 3. Zanesení údajů z formuláře do SAM aplikace pro párování licencí, softwaru a dokladů o koupi. 4. Uložení formuláře manuálního sběru do inventáře SAM. Automatická inventarizace softwaru Popis činnosti Tato činnost slouží k získání informací o softwaru, který je instalován na podnikových počítačích, pro další zpracování procesy SAM. Tento způsob se uplatňuje pro inventarizaci standardně. Umožňuje automatizaci procesu inventarizace softwaru využitím technických prostředků. Pro automatický sběr informací je využita aplikace Windows Intune. Získané informace jsou vloženy do aplikace pro správu SAM. Předpoklady činnosti • Instalace klientské aplikace Windows Intune na počítačích. • Pověřená osoba má přístup do administrátorské konzoly aplikace Windows Intune. • Počítače mají přístup k síti internet. • Dostupnost aplikace pro správu SAM. • Je zřízen inventář SAM. Pracovní postup činnosti 1. Tvorba exportů instalovaného softwaru spolu s informacemi o kontrolovaných počítačích v administrátorské konzole aplikace Windows Intune. 2. Import exportů do SAM aplikace pro párování licencí, softwaru a dokladů o koupi. 3. Tisk inventárních seznamů z aplikace Windows Intune. Pověřená osoba je podepíše. 5

Šablona pro manuální inventarizaci se nachází na přiloženém DVD

3.7


4. Uloží a předá do inventáře SAM.

50

3.7


51

Inventarizace licencí Popis činnosti Činnost slouží k získání informací o vlastněných licencí na software. Získané informace jsou vloženy do aplikace pro správu SAM. Předpoklady činnosti • Je zřízen inventář SAM. • Je dostupná aplikace pro správu SAM. Pracovní postup činnosti 1. Shromáždění všech dostupných softwarových licencí, které se nacházejí v podniku. Pokud organizace získává licence na software prostřednictvím licenčních programů Open Licence, Select Licence od společnosti Microsoft jsou licenční údaje dostupné online. 2. Tisk inventárního seznamu evidovaných licencí. 3. Kontrola shody licencí s údaji v aplikaci pro správu SAM. Případné nesrovnalosti nebo chybějící údaje se v aplikaci upraví a zaznamenají do inventárního seznamu. 4. Licence a inventární seznam licencí, který je podepsán odpovědnou osobou, jsou uloženy do inventáře SAM. Inventarizace dokladů o nabití softwaru Popis činnosti Činnost slouží k získání informací o dokladech k nabití softwaru z ekonomického informačního systému. Získané informace jsou vloženy do aplikace pro správu SAM. Předpoklady činnosti • Je zřízen inventář SAM. • Odpovědná osoba má přístup do ekonomického informačního systému (EIS). • Provedená inventarizace licencí. • Je dostupná aplikace pro správu SAM. Pracovní postup činnosti 1. Tisk inventární seznamu dokladů o nabití softwaru z EIS.

3.7


52

2. Kontrola shody dokladů s informacemi v aplikaci pro správu SAM. Případné nesrovnalosti se v aplikaci upraví a zaznamenají do inventárního seznamu. 3. Uložení inventárního seznamu dokladů o nabití softwaru, který je podepsán odpovědnou osobou, do inventáře SAM. Párování softwaru s licencí Popis činnosti Činnost slouží ke kontrole shody instalovaného softwaru s dostupnými licencemi. Předpoklady činnosti • Provedená inventarizace instalovaného softwaru. • Provedená inventarizace licencí. • Je dostupná aplikace pro správu SAM. • Je zřízen inventář SAM. Pracovní postup činnosti 1. Přiřazení licencí ke zjištěnému softwaru. 2. Tisk seznamu přiřazených licencí a softwaru. 3. Kontrola shody instalovaného softwaru s licencemi. Pokud ze zjištěného stavu vyplývá chybějící licence k softwaru, musí být v co nejkratší době sjednána náprava. 4. Uložení seznamu přiřazení licencí a softwaru, který je podepsán odpovědnou osobou, do inventáře SAM. Nákup softwarového majetku Popis činnosti

Tato činnost slouží k zařazení nového softwaru do podniku.

Předpoklady činnosti • Je zřízen inventář SAM. • Byl objednán nový softwaru. • Je dostupná aplikace pro správu SAM • Bylo zřízeno bezpečné uložiště SAM

3.7


53

Pracovní postup činnosti 1. Otevřít balík, dohledat veškeré doklady o dodaném softwaru a odškrtnout jednotlivé položky uvedené na dokladu, které jsou v dodaném balíku. Pokud některé z položek v balíku chybí, je nutné se obrátit na dodavatele. Pro každou položku v balíku je nutné udělat následující kroky. • Otevřít každou položku v balíku. • Prověřit veškerou dokumentaci k softwaru. • Zlikvidovat nepotřebné reklamní letáky či přebytečné krabice. • Vylepit na položku štítek s evidenčním číslem. • Uložit veškeré uživatelské příručky a manuály do inventáře SAM. • Vytvořit kopie všech licenčních dokumentů. • Zjistit, zda je v souladu s licencí tvorba záložní kopie instalačního média. Pokud ano, tuto kopii vytvořit. • Umístit kopie media(případně originál) a licencí do inventáře SAM. Originály uložit na bezpečné uložiště SAM. • Zadat nebo aktualizovat údaje o novém softwarovém majetku do aplikace pro správu SAM. 2. Přímo na doklad zapsat datum přijetí balíku a podpis přijímající osoby. 3. Přijímací doklad předat účetnímu oddělení. Nasazení softwarového majetku Popis činnosti

Tato činnost slouží k uvolnění licence pro použití softwaru.

Předpoklady činnosti • Je dostupná aplikace pro správu SAM. • Je dostupný inventář SAM. • Software, který má být nasazen je dostupný k nasazení. • Vedení podniku schválilo nasazení softwaru. Pracovní postup činnosti 1. Kontrola účelu využití softwaru. 2. Kontrola shody licencí s nasazením softwaru.

3.7


54

3. Změna počtu využitých licencí pro daný software v aplikaci pro správu SAM. 4. Vydání potřebných údajů(instalační klíč) osobě oprávněné instalovat software.

Údržba softwarového majetku Popis činnosti Tato činnost slouží k údržbě přehledu o instalaci softwaru majetku na základě vnější příčiny. Jako údržba softwarového majetku se považuje i odinstalace softwaru nebo redukce počtu licencí k softwaru. Předpoklady činnosti • Je dostupná aplikace pro správu SAM. • Jakákoliv úprava softwarového majetku je hlášena. • Software, kterého se údržba týká, je v evidenci podniku. • Jsou dostupné podklady pro povedení údržby. • Je dostupný inventář SAM. Pracovní postup činnosti 1. Posouzení nutnosti provést údržbu softwarového majetku. 2. Kontrola souladu s licenčním ujednání. 3. Kontrola postupu s dokumentací softwaru. 4. Provedení případných úprav související se změnou softwarového majetku v inventáři či bezpečném uložišti SAM. 5. Provedení případných změn na počítačích. 6. Vytvořit záznam o změně v případě změny obsahu inventáře či bezpečného uložiště SAM. 7. Provedení úprav související se změnou softwarového majetku v aplikaci pro správu SAM. 8. Informování vedení podniku o provedení změny. Vyřazení softwarového majetku Popis činnosti Tato činnost vede k vyřazení nepotřebného či nadbytečného softwaru z evidence.

3.7


55

Předpoklady činnosti • Souhlas vedení s vyřazením softwaru. • Je dostupná aplikace pro správu SAM. • Je dostupný inventář SAM. Pracovní postup činnosti 1. Rozhodnutí o množství softwaru, který se má vyřadit. To je nutné v případě, že se jedná o vyřazení nadbytečného počtu licencí. 2. Kontrola souladu s požadavky licence. 3. Kontrola stavu instalací softwaru. Je nutné zkontrolovat, zda je ze všech počítačů odstraněn. 4. Úprava záznamů vztažených k vyřazovanému softwaru v aplikaci pro správu SAM. 5. Odstranění dokladů a instalačních médií v inventáři a bezpečném uložišti SAM. 6. Oznámit účetnímu oddělení vyřazení softwarového majetku. 7. Oznámit provedení vyřazení majetku vedení podniku. Zpracování požadavku na software Popis činnosti Tato činnost se zabývá zpracováním uživatelských požadavků na software. Předpoklady činnosti • Existence požadavku na software v aplikaci pro správu SAM. • Jasná definice softwaru nebo požadavků na software. • Je dostupná aplikace pro správu SAM. Pracovní postup činnosti 1. Kontrola zda se požadovaný software, nebo software s podobnou funkcionalitou v podniku již nenachází. Pokud se v podniku nachází a má volnou licenci, může oprávněná osoba rozhodnout o provedení nasazení tohoto softwaru. 2. Nalezení vhodného softwaru. 3. Kontrola shody vhodného softwaru s požadavky uživatele. 4. Zaslání žádost o schválení nákupu vedení podniku.

3.8

Plán SAM

56

• V případě schválení nákupu, pověřit odpovědného pracovníka nákupem. • V případě zamítnutí nákupu, informovat uživatele. 5. Nastavit požadavek v aplikaci pro správu SAM jako zpracovaný.

3.8

Plán SAM

Posledním krokem pro úspěšné zavedení SAM do podniku je vytvoření plánu SAM. V praxi bude nutné určit datum pro plnění jednotlivých kroků SAM plánu. Tabulka č. 6 ukazuje dohodnutý plán aktivit SAM. Velice pravděpodobná je změna plánu na základě zkušeností s SAM po prvním roce zavedení SAM do podniku.

3.8

57

Plán SAM

Tabulka 6: Tabulka aktivit SAM plánu

Četnost Měsíčně

Čtvrtletně

Čtvrtletně Čtvrtletně Čtvrtletně Čtvrtletně

Čtvrtletně Čtvrtletně

Čtvrtletně

Čtvrtletně

Ročně Ročně Ročně

Ročně

Ročně

Ročně

Název aktivity Popis aktivity Inventarizace softwaru Provedení automatické inventarizace (případně manuální) instalovaného softwaru na počítačích a následné porovnání zjištěného stavu s licencemi. Přehled porušení pra- Přehled nelicencovaného softwaru. Vedení podniku videl i uživatelé jsou informováni o případném porušení pravidel. Inventarizace licencí Provedení inventarizace licencí. Inventarizace dokladů Provedení inventarizace dokladů o nabytí. o nabytí softwaru Přehled plnění smluv- Přehled dodávek softwaru za posledního půl roku. ních dodávek Přehled plnění plánu Přehled plnění plánovaných aktivit a nalezených a nalezených změn změn očekávaného stavu v evidenci SAM. v SAM Přehled výdajů za ná- Seznam vlastněného softwaru a nákladů na údržbu kup licencí licencí pro tento software. Kontrola automatické Provedení manuální inventarizace na 10% zařízení. inventarizace Porovnání výsledku manuální a automatické inventarizace. Případné nedostatky je nutné neprodleně vyřešit. Přezkoumání práv Odpovědná osoba za SAM přezkoumá soulad vyua povinností plynou- žívaní softwaru s licenčními podmínkami. cích z licencí Školení v oblasti licen- Odpovědná osoba je vzdělávána v oblasti licencování softwaru cování vlastněného softwaru a novými možnostmi v této oblasti. Přehled využívání li- Seznam veškerého vlastněného softwaru a využití cencí licencí tohoto softwaru. Přehled stavu poža- Seznam požadavků uživatelů týkající se softwarodavků vého majetku firmy. Školení SAM pro za- Na tomto školení jsou zaměstnanci seznámeni městnance podniku s provozním řádem a zásadami SAM v podniku. Každý zaměstnanec poté písemně potvrdí obeznámení s podnikovými pravidly v oblasti SAM. Přehled fyzické a elek- Kontrola shody elektronické evidence softwarů, litronické evidence cencí, dokladů o nabytí softwaru s inventářem SAM a bezpečným uložištěm pro SAM. Optimalizace softwa- Manažer SAM provede zhodnocení využívání softrového majetku warového majetku. Následně provede v součinnosti s vedením vhodné změny. Inovace SAM Manažer SAM navrhne inovaci SAM v podniku. Při návrhu inovaci vychází z vlastních poznatků, požadavků uživatelů a vedení podniku. V této činnosti vytvořen nový plán SAM pro další rok.

4

APLIKACE PRO SPRÁVU SAM

4 4.1

58

Aplikace pro správu SAM Proč implementovat vlastní řešení

V úvodní kapitole práce je popsáno několik nástrojů pro správu SAM, které jsou na trhu dostupné. Jedná se o propracované softwarové balíky, které pokrývají velkou část SAM. Firma CReativeMages však disponuje několika prostředky, které je možné pro SAM využít, aniž by musela pořizovat nový software. Jak již bylo zmíněno v předchozí kapitole, v podniku je nasazena aplikace Windows Intune, kterou lze v procesu SAM využít pro automatickou inventarizaci majetku. Způsob nasazení této aplikace není předmětem této práce. Důležitá je však dostupnost tohoto prostředku v podniku. Jakékoliv další aplikace, které jsou na trhu dostupné, vyžadují pro svoje fungování buď počítače umístěné v podnikové síti, nebo klientskou aplikaci nainstalovanou na každý počítač. V části popisující současný stav ve firmě je zmínka o tom, že část pracovníků často pracuje mimo kancelář, tudíž se nemohou nacházet v podnikové síti. Bylo by tedy nutné na každý takový počítač instalovat klientskou aplikaci. Klientská aplikace programu Windows Intune však na všech firemních počítačích nainstalována je a z jednotlivých zařízení dokáže získat informace potřebné k SAM. Instalace další aplikace, která aktivně sleduje počítač, může mít také vliv na výkon tohoto počítače. Další nevýhoda dostupných programových prostředků pro firmu CReativeMages spočívá v nutnosti využití serverů, které shromažďují data z jednotlivých zařízení. V podniku žádný takový server není, bylo by proto nutné do pořízení takového zařízení investovat prostředky. Firma CReativeMages však disponuje aplikací Microsoft Dynamics CRM(CRM) 2011, kterou je možné upravit a využít spolu s Windows Intune pro SAM. Platforma CRM byla zvolena zejména z důvodů rychlosti vývoje a snadnému přizpůsobení řešení dle požadavků. Dalším bodem, který byl uvažován, byla rovněž bezpečnost, která splňuje požadavky na světové úrovni. Vzhledem k tomu, že společnost CReativeMages je stříbrným partnerem Microsoftu, byla od počátku preferována platforma Microsoftu a další platformy byly prozkoumány a vyřazeny hlavně kvůli nemožnosti následného rozvoje vlastního řešení. Vedení podniku se proto rozhodlo využít tyto dostupné programové prostředky k podpoře SAM.

4.2

Platforma Microsoft Dynamics CRM

Mohlo by se zdát, že využití CRM sytému nemá v souvislosti se SAM velké opodstatnění. Microsoft však od počátku platformu CRM vytvářel nejen jako systém pro řízení vztahů se zákazníky, ale jako takzvanou XRM platformu, tedy platformu pro řízení vztahů obecně. SAM je ve své podstatě řízení vztahů softwarového majetku. Vytváření XRM aplikace může mít podobu přizpůsobení stávající aplikace pro řízení vztahů se zákazníky, které jsou zahrnuty v aplikaci CRM, nebo navržením zcela

4.2

Platforma Microsoft Dynamics CRM

59

nových aplikací. Platforma CRM se vyznačuje příjemným uživatelským rozhraním a možnosti rozsáhlého přizpůsobení. K dispozici je rovněž webový klient. Ten uživatelům nabízí zcela stejné možnosti jako je aplikace Outlook. Webový klient se dá otevřít odkudkoliv v běžném okně prohlížeče Internet Explorer. CRM nabízí velký výběr sestav a možností tisku. Sestavy lze vytvářet či přizpůsobit mnoha různými způsoby. Jednou z často využívaných možností pro výkaznictví a analýzy dat je také spolupráce se systémem Microsoft Office. CRM je systém, který

Obrázek 10: Architektura Dynamics XRM (SimByte, 2011)

má několik základních modulů: Prodej, Marketing a Služby. Jednoznačnou výhodou tohoto uspořádání je, že lze jednoduše přidat modul SAM, který mohou společnosti dále využívat pro své vlastní potřeby. Počítat můžeme rovněž i s tím, že by společnost CReativeMages spravovala SAM pro jiné subjekty. Řešení je možné jednoduše importovat do jakéhokoliv Microsoft Dynamics CRM systému od verze 2011 a výš v jakékoliv jazykové mutaci. Platforma CRM se vyznačuje následující funkcionalitou pro jakékoliv použití jako XRM: • Zabezpečení. CRM již obsahuje propracovaný model zabezpečení, který obsahuje vlastnictví a sdílení záznamů, tvorbu rolí, obchodních jednotek, které mohou mít různé úrovně oprávnění k informacím v aplikaci. • Workflow. Platforma obsahuje nástroj na bázi Windows Workflow s možností tvorby vlastních pracovních postupů přímo z webové platformy pro koncového uživatele.

4.3

Požadavky na aplikaci

60

• Tvorba reportů. CRM umožňuje využít Microsoft Office Excel a Reporting Services pro tvorbu přehledných reportů. Tím je možné jednoduše extrahovat užitečné informace uložené v aplikaci CRM pro další zpracování. • Uživatelské rozhraní Platforma CRM obsahuje základní konzolové rozhraní, které lze přizpůsobit pro XRM aplikace. • Integrace s kancelářskou sadou Office Každodenní práce zaměstnanců s řešením Microsoft Dynamics CRM se obvykle z velké části odehrává v aplikaci Microsoft Office Outlook. Data v aplikaci CRM lze snadno importovat a exportovat s aplikací Excel. • Modelování dat. CRM umožňuje vytvoření vlastních entit, které mohou mít specifické atributy, formuláře, zobrazení a vztahy s jinými entitami. • Web Services. CRM obsahuje řadu webových služeb, které lze použít pro komunikaci s touto platformou. Jedná se o SOAP webové služby, které umožňují rozšiřitelnost a přístup k jakékoliv platformě pomocí libovolného jazyka, který podporuje webové standardy. Je také možné použít nástroje třetích stran.(McArthur, 2009)

4.3


Značná část požadavků na aplikaci SAM vychází ze stanovených podnikových směrnic pro SAM, které se odvolávají na využití aplikace pro správu SAM. Jedním z cílů zavedení SAM do podniku CReativeMages je také zavedení evidence softwarového majetku. 4.3.1

Účel a využití softwaru

Účel aplikace Aplikace bude sloužit jako evidenční nástroj SAM v podniku CReativeMages. Výsledná aplikace má být řešení pro podporu práce manažera SAM, který potřebuje systém řešící následující problémy: • Vedení evidence softwarového majetku podniku. • Upozornění pověřené osoby na výskyt nežádoucího stavu. • Export dat pro tvorbu přehledů SAM. • Využití dat z aplikace Windows Intune • Přehled stavu legality softwaru v podniku. Aplikace bude integrována do stávajícího produkčního systému CRM, ze kterého bude využívat již existující záznamy, jako jsou údaje o zaměstnancích či dodavatelích softwaru.

4.3


4.3.2

61

Uživatelé

Systém bude využívat pouze dvě uživatelské role. • Uživatel SAM může v aplikaci zobrazit pouze záznamy, které se ho týkají(je přiřazen jako zodpovědná osoba). Uživatel SAM může přiřadit nebo odebrat software na svém zařízení. Uživatelem je tak osoba, která převzala zodpovědnost za stav softwaru na svém počítači na sebe. Typicky se jedná o zaměstnance, kteří mají v operačním systému práva administrátora. • Administrátor SAM má přístup ke všem údajům v evidenci SAM a může s nimi libovolně nakládat. Tato role je tak určena pro manažera SAM. Pokud uživatel podnikového CRM není ani v jedné ze zmíněných rolí, nemá přístup do aplikace pro evidenci SAM vůbec. Nastavení přístupu se v CRM provádí pomocí integrovaného nástroje. 4.3.3

Provozní požadavky

Provoz aplikace vyžaduje přístup ke cloudovým službám Microsoft Dynamics CRM 2011. Pro samotnou práci s aplikací je potřeba internetového připojení, internetový prohlížeč6 nebo aplikaci Microsoft Outlook, který obsahuje rozšíření pro propojení s CRM. 4.3.4

Funkční požadavky

Seznam jednotlivých funkcí softwaru z pohledu uživatele. Přihlášení uživatele Do aplikace budou mít přístup pouze pověření uživatelé, kteří budou moct zobrazovat, vytvářet a měnit údaje evidované v aplikaci. Import dat z automatické inventarizace Aplikace musí umožnit import inventarizačních údajů z nástroje pro automatickou inventarizaci. Jedná se o soubory ve formátu .csv z aplikace Windows Intune. Zadaní údajů z manuální inventarizace Aplikace bude umožňovat vložit jednotlivé údaje, které byly zjištěny manuální inventarizací. Jsou to údaje o nainstalovaném softwaru na konkrétním zařízení. Evidence licencí Do aplikace bude možné vkládat informace o licenci k softwaru. Tyto informace bude možné libovolně měnit či odstraňovat. Aplikace bude zobrazovat seznam všech licencí v podniku. 6

V současné době podporuje CRM pouze prohlížeč Internet Explorer. Ve druhé polovině roku 2012 však má být podpora prohlížečů rozšířena.

4.4

62

Návrh aplikace

Evidence informací o dokladech k nabytí softwaru Informace o dokladech k nabytí softwaru z ekonomického informačního systému bude moct uživatel aplikace evidovat u každé softwarové licence. Párování softwaru s licencí Aplikace bude umožňovat přiřazení licence k softwaru. Spárováním licence a softwaru bude možné zjistit možný výskyt nelicencované instalace softwaru v podniku. Evidence softwaru Software, který je v podniku využíván, bude možné vytvářet, editovat a odstraňovat. Aplikace bude zobrazovat seznam veškerého softwaru, který podnik využívá. Dále bude možné evidovat, kde se nachází instalační média k softwaru. Správa životního cyklu softwaru v podniku Aplikace bude umožňovat záznam údajů o tom, na jaká zařízení byl nainstalován/odinstalován konkrétní software, čímž dojde ke změně počtu volných licencí pro tento software. Evidence počítačů V aplikace budou evidována zařízení, která využívají podnikový software. K těmto zařízení bude možné přiřadit uživatele, kteří zařízení využívají. 4.3.5

Nefunkční požadavky

Uživatelské rozhraní kaci CRM.

Aplikace bude využívat standardní rozložení prvků v apli-

Bezpečnostní požadavky Přístup k aplikaci bude možné řídit na základě přihlašovacích údajů. Tento požadavek je vyřešen díky použití zvolené platformy. Požadavek na zajištění dat Záloha dat je zajištěna již využitím aplikace CRM. Uložená data jsou zálohována mezi datovými centry společnosti Microsoft. Bezpečnost dat je tedy optimálně zajištěna. Požadavek na kvalitu Aplikace musí mít zajištěnou dostatečnou dostupnost. 99,9 % dostupnosti systému CRM je garantována společností Microsoft.

4.4

Návrh aplikace

Na základě stanovených požadavků bylo nejdříve nutné navrhnout strukturu údajů, které má požadovaná aplikace evidovat. Struktura evidence vychází ze zákonných požadavků na evidenci softwarového majetku a požadavků podniku na evidenci dodatečných informací. Důležité je zmínit fakt, že tvorba aplikace na této platformě

4.4

Návrh aplikace

63

není tvorba aplikace v pravém slova smyslu. Jedná se o customizaci prostředí pro konkrétní účely. Není nutné navrhovat objektový diagram, který zachycuje jednotlivé atributy a metody objektů. Atributy v CRM definuje struktura entit a základní metody (jako například tvorba nové instance, smazání instance atd.) poskytuje již sama platforma. Návrh aplikace pro platformu CRM se skládá ze čtyř kroků: 1. Návrh struktury. Je nutné definovat jednotlivé entity a jejich vazby, které bude aplikace využívat. K popisu této struktury je vhodné využít ERD diagram. 2. Návrh formulářů. Jsou-li stanovené jednotlivé entity, je potřeba se zabývat návrhem vzhledu jednotlivých formulářů v aplikaci CRM. Pro tvorbu návrhu vzhledu je vhodné využít drátových modelů. 3. Návrh procesů. Procesy se v aplikaci tvoří pomocí pracovních procesů (workflow) v systému CRM. 4. Návrh zobrazení dat. Jako poslední část návrhu je nutné uvažovat nad zobrazením dat v jednotlivých přehledech entit. Aplikace poskytuje základní zobrazení instancí jednotlivých entit, které je dále možno upravit. CRM také umožňuje tvorbu přehledných grafů, které slouží pro vizualizaci dat. 4.4.1

Návrh struktury

Při návrhu struktury bylo potřeba zpracovat požadavky na informace, které se mají u jednotlivých entit evidovat. Následující výčet ukazuje jako příklad návrh a popis atributů entity software, ze kterého se při tvorbě datového modelu vycházelo. • Název softwaru, který se vyskytuje v podniku. • Vydavatel. Název výrobce softwarového produktu. • Verze softwaru. • Licencování Rozlišení, zda se jedná o Komerční software, Open source, Freeware, Freeware (nekomerční využití) nebo Shareware. • Kategorie softwaru. Rozdělení softwaru podle kategorií. Může se jednat například o operační systém, kancelářský software a podobně. Kategorizaci určitého softwaru je možné zjistit ve Windows Intune. • ID produktu je číslo nebo kód, který je u některého softwaru uveden. • Instalační médium, je médium, ze kterého je software možné v podniku nainstalovat. • Odpovědná osoba je osoba, která je pověřena administrací aplikace. • Balík. Informace zda se jedná o softwarový balík. • Poznámka k softwaru. Poznámka pro administrátora.

4.4

Návrh aplikace

Obrázek 11: Entitě relační diagram aplikace pro správu SAM

64

4.4

Návrh aplikace

65

Strukturu datového modelu znázorňuje na obrázku č. 11 entitně relační diagram. Jednotlivé atributy entit byly navrženy podle požadavků evidence SAM. V ERD diagramu se nachází entity z aplikace CRM. Jedná se o kontakty, obchodní vztahy a stavy entit. Využity byly standardní entity, které nebylo potřeba navrhovat, a proto nejsou jejich atributy v diagramu znázorněny. 4.4.2

Návrh formulářů

Každou instanci jednotlivých entit je možné zobrazit pomocí přehledného formuláře. Tyto formuláře pak také slouží k úpravě, či tvorbě nových dat. Jednotlivé rozložení prvků je proto dopředu vhodné navrhnout pomocí drátového modelu. Před vlastní tvorbou těchto formulářů musí podnik odsouhlasit jejich podobu. Obrázek č. 12 ukazuje jeden z návrhů na formulář. Tvorba drátového modelů proběhla v aplikaci Balsmiq Mockups.

Obrázek 12: Drátový model formuláře entity softwaru

4.4

Návrh aplikace

4.4.3

66

Návrh procesů

Návrh procesů byl vytvořen za pomocí BPMN7 a následně je přímo naimplementován do systému pomocí integrovaného nástroje CRM pro tvorbu workflow.

Obrázek 13: Ukázka digramu pro tvorbu workflow, který upozorní správce na blížící se exspiraci licence

4.4.4

Návrh zobrazení dat

Návrh zobrazení byl tvořen následujícím způsobem. Nejprve byly vytvořeny seznamy reportů a náhledů, které potřebuje SAM manažer ke své práci a pak byly upraveny filtry aplikace CRM tak, aby se SAM manažerovi zobrazovaly data v logickém členění. Nastavení jednotlivých zobrazení bylo rozlišeno podle dat, které mají nejvyšší četnost využití. Přehledné základní systémové pohledy umožňují lepší přehled v aplikaci pro uživatele. Příkladem je návrh posloupnosti sloupců systémového zobrazení softwaru v tabulce č. 7. Zobrazení a náhledy pro SAM manažera byly vytvořeny dle Tabulka 7: Příklad návrhu sloupců pro zobrazení přehledu softwaru

Datum Název Verze Typ Evidenční pořízení Vydavatel Dodavatel softwaru softwaru licencování číslo licence návrhů a požadavků na přehlednost evidence SAM. 7

Business Process Modeling Notation. Jedná se o grafickou notaci Business Process Modeling Language(Řepa, 2007).

4.5

4.5

Implementace

67

Implementace

Vlastní implementace spočívá v realizaci čtyř kroků návrhu aplikace pro CRM. Nejdříve jsou vytvořeny entity v CRM systému a přidány vazby dle ERD diagramu. CRM automaticky vytvoří formuláře (bez polí), primární identifikátory a další potřebná pole entit. Dále se doplňují entity o pole, které standardně nejsou obsaženy v CRM. Podle drátových modelů, které byly upraveny a schváleny do výsledné podoby, byly vytvořeny formuláře pro jednotlivé entity. Tvorbu formulářů zachycuje obrázek č. 14. Formuláře se do požadované podoby tvoří ve webové aplikaci. Jednotlivé prvky se rozmístí podle návrhu. Po vytvoření entit a formulářů bylo možné

Obrázek 14: Tvorba formuláře pro entitu softwaru v aplikaci CRM

při implementaci přejít na tvorbu workflow. Jednotlivá workflow byla tvořena pomocí nástroje, kterým CRM aplikace disponje. Na obrázku č. 15 je zachycena tvorba workflow pro doplnění defalutních hodnot licence v aplikaci CRM. Poslední fáze implementace spočívá ve vytvoření systémových pohledů, které se upraví dle návrhu pro efektivní náhled na data. Systém by se v tomto bodě měl plnit zkušebními daty, k čemuž byla využita opravdová data z aplikace Windows Intune. Pro import dat z Windows Intune do CRM bylo nutné použit programový doplněk(v terminologii CRM nazývaný plugin), který byl vyvinut ve Visual Studiu 2010. Plugin umožnil automatické přiřazení instalací k softwaru při importu dat z Windows Intune.

4.5

Implementace

Obrázek 15: Tvorba workflow pro doplnění defaultních hodnot licencí

68

4.5

Implementace

Obrázek 16: Přehled počtu instalovaného softwaru na jednotlivích počítačích

69

4.5

Implementace

Obrázek 17: Přehled podnikového softwaru

70

5

EKONOMICKÉ ZHODNOCENÍ

5

71

Ekonomické zhodnocení

Správa softwarového majetku se samozřejmě promítne i do fungování podniku po ekonomické stránce. Zavedení SAM bude pro firmu CReativeMages z ekonomického hlediska znamenat určité přínosy, ale také náklady. Je tedy vhodné se zamyslet nad strukturou nákladů a přínosu pro podnik. V tomto bodě je důležité říci, že hlavními důvody, které podnik k zavedení SAM vedou, jsou především v potřebě zavedení přehledné evidence majetku a minimalizace rizik s tímto majetkem spojeným. Jelikož je firma partnerem společnosti Microsoft, plyne pro ni z tohoto partnerství několik výhod, mezi nimiž je i určitý počet licencí k softwarovým produktům společnosti Microsoft. Tyto produkty tak jsou ve firmě preferovány a tvoří velkou část softwarového majetku podniku. Případná optimalizace této části softwaru pomocí SAM proto nepovede ke snížení nákladů na software, protože vlastnění těchto licencí není vázané na žádné náklady, které by bylo možné ušetřit. Byl proveden odhad nákladů a možných úspor zavedení SAM.

5.1 5.1.1

Přínosy Kvantifikovatelné

Mezi měřitelné přínosy, které by bylo možné v této fázi zavedení SAM uvažovat, patří především časová úspora pro osoby, kterým nevyhovující evidence softwarového majetku neúměrně zvyšuje čas strávený shromažďováním informací o softwaru. Zavedení SAM může přinést následující úspory při evidenci softwarového majetku. • Čas strávený inventarizací, dohledáváním a následnou kontrolou údajů. Úspora u 10 klientských stanic (2 hodiny na klientskou stanici a 4 hodiny na finalizaci) je 14 hodin za půl roku, tedy 28 hodin za rok. • Příprava na vstup investora. Pořádek v licencích přinese úsporu 6 hodin. • Čas strávený dohledáváním údajů o softwaru při propuštění zaměstnance. Úspora je 3 hodiny za předpokladu, že za rok se vystřídají na různých pozicích u takto veliké společnosti 4 zaměstnanci. Celková výše úspory v tomto bodě je 12 hodin za rok. • Čas strávený při hodnocení, zda bude nakoupen nový software, je 2 hodiny na jeden nákup. Předpoklad je, že za rok budou provedeny 4 nákupy softwaru. Celkový výše úspory v tomto bodě je tedy 8 hodin za rok. Odhadovaná výše časových úspor je 54 hodin za rok. Pokud budeme uvažovat, že zaměstnanec se během této doby mohl věnovat činnosti přinášející podniku zisk ve výši 1 500 Kč za hodinu (údaj dodaný společností CReativeMages), celková výše úspory díky přehledné evidenci softwaru je 81 000 Kč za rok. Další kvantifikovatelné přínosy může přinést předcházení rizikům spojených s užívání nelegálního softwaru.

5.1

Přínosy

72

• Řešení bezpečnostních hrozeb. 1 hodina na případ za předpokladu, že při 10 klientských stanicích se stanou 2 případy za rok. Úspora je tedy 2 hodiny za rok. • Řešení napadení malware. 4 hodiny na případ za předpokladu, že při 10 klientských stanicích se stane 1 případ za rok. Úspora je tedy 4 hodiny za rok. • Řešení výskytu nelegálního softwaru na počítači. 6 hodin na případ za předpokladu, že při 10 klientských stanicích se stane 1 případ za rok. Úspora je tedy 6 hodin za rok. • Znemožnění pracovníků pracovat na počítači znamená únik stejných časů, které jsou uvedeny v předchozích případech. Celková úspora 12 hodin za rok. Odhadovaná výše časových úspor je 24 hodin za rok. Pokud budeme opět uvažovat, že zaměstnanec se během této doby mohl věnovat činnosti přinášející podniku zisk ve výši 1500 Kč za hodinu, celková výše úspory díky prevenci rizik spojených s výskytem nelegálního softwaru je 36 000 Kč za rok. Dále je možné uvažovat potenciální hrozbu napadení celé sítě, obnovu či záchranu dat. Celkem 2 dny násobený počtem zaměstnanců. V případě odstavení společnosti na 2 dny je rovněž nutné uvažovat případné náklady na smluvní pokuty z důvodů nedodržení smluvních podmínek se zákazníky. Odhad potenciální hrozby je 350 000 Kč(údaj dodaný společností CReativeMages). Jelikož se jedná o kalkulaci spojenou s projevením rizik, je možné výskyt těchto nákladů pouze odhadovat. Možné úspory díky prevenci rizik je tak možné uvažovat pouze pokud by hrozba skutečně nastala. Uvažovány byly tři varianty úspor plynoucí z výskytu zmíněných hrozeb. Při výskytu nejvíce pesimistické varianty rizik, je odhadovaná úspora 467 000 Kč(v případě napadení sítě přes oslabenou pracovní stanici). Realistická varianta počítá s úspory ve výši 117 000 Kč. Předpokládaná úspora optimistická je pak 58 500 Kč. 5.1.2

Nekvantifikovatelné

Přínosy SAM, které lze jen velmi obtížně, nebo vůbec vyčíslit jsou: • Ochrana dobrého jména podniku. • Dobré vztahy s dodavateli softwaru. • Spokojenost zaměstnanců s kvalitou IT služeb. • Kvalitnější rozhodování při nakládání se softwarovými aktivy. Dalším přínosem, díky využití stávajícího softwarového vybavení a aplikace CRM, je umožnění dalšího rozvoje aplikace pro správu SAM.

5.2

Náklady

5.2

73

Náklady

Výhodu vlastního řešení aplikace pro evidenci softwarového majetku je především eliminace nákladů, nutných na pořízení dodatečného softwaru pro podporu SAM. Stávající aplikace Windows Intune a Microsoft Dynamics CRM 2011 byly v podniku dostupné již dříve, proto se jejich využití nepromítne negativně do výše nákladů. Pro zřízení inventáře SAM bylo použito stávající vybavení v kanceláři podniku. Zavedení vnitropodnikových pravidel klade nároky na jejich dodržování. Odpovědnost za SAM v podniku má manažer SAM. Zřízením této nové role v podniku a odpovědností s ní spojené, povedou ke zvýšení nákladů. V této fázi zavedení SAM podnik prozatím neuvažuje o zřízení nové pracovní pozice. Plán SAM jasně stanovuje činnosti, které je nutné provádět. Doba trvaní těchto činností se dá odhadnout, a proto lze stanovit výši personálních nákladů. Náklady na manažera SAM, které jsou odhadovány na 1/10 úvazek zaměstnance při průměrném platu zaměstnance 25 000 Kč tj. při nákladu zaměstnavatele 33 000 Kč, je náklad 3 300 Kč měsíčně. Za rok tedy 40 000 Kč. Dále je nutné kalkulovat s náklady, které byly vynaloženy při zavádění SAM do podniku. Ze strany zaměstnanců podniku, se kterými byly vedeny porady a konzultace na řešení SAM, je opět možné přepočítat jako ušlý zisk společnosti, protože se tyto osoby nemohly věnovat běžným pracovním činnostem. Celková doba konzultací byla stanovena na 40 hodin. Hodinová práce pracovníka pověřeného konzultací je společností CReativeMages stanovena na 1 500 Kč. Náklady jsou tedy ve výši 60 000 Kč. 5.2.1

Celkové zhodnocení

Úspora v čase bude stoupat, protože podnik plánuje rozšířit počet zaměstnanců. I v případě, že budeme uvažovat pouze úspory při optimistické variantě výskytu hrozeb, jsou úspory SAM pro podnik za tři roky 215 500 Kč oproti nákladům na SAM za stejnou dobu 180 000 Kč. Zavedení SAM do podniku se tedy vyplatí i z ekonomického pohledu.

6

DISKUSE

6 6.1

74

Diskuse Přínosy

Jako přínosy této práce lze v první řadě uvést zavedení základních principů správy softwaru ve firmě, kde se tato problematika řešila. Pro podnik byly vytvořeny zásady nutné k dodržování základních principů správy softwarového majetku. Vytvořené směrnice, které z těchto principů dále vychází, jasně popisují základní postupy, kterými se je potřeba při správě softwaru v podniku řídit. Ačkoliv by se mohlo zdát, že správa softwarového majetku je problematika, která není nová, v České republice pravý rozmach tohoto odvětví nastal teprve nedávno. Jednou z možných příčin je nedostatek materiálů v českém jazyce, které se danou problematikou zabývají. Vytvořené zásady se snaží v co největší míře vycházet z dostupných materiálů, které se touto problematikou zabývají. Zvolené řešení evidenční aplikace, která využívá aplikaci Microsoft Dynamics CRM 2011 lze považovat za originální, protože podobné řešení na této platformě není. Technologické řešení správy majetku v této práci se snaží využít potenciálu dostupných cloudových aplikací, které se v dnešní době začínají stále více na trhu prosazovat.

6.2

Možnosti dalšího vývoje řešení

Navržená aplikace poskytuje podporu pouze základní evidence softwarového majetku. Je zde velký prostor pro navržení automatizace práce, která podporuje i zvolená platforma aplikace. Zejména jde o přímé propojení aplikace s nástrojem pro automatickou inventarizaci. Navržené řešení počítá s budoucí možností propojení Windows Intune a CRM. Další rozvoj správy softwarového majetku je možný i ve firmě CReativeMages. Vytvořené řešení pokrývá základní problémy celého SAM v podniku. I když toto řešení může podniku v současné době postačovat, je zde potenciál pro snížení časové náročnosti správy SAM pro správce v podniku a tím i dosažení dalších úspor. Zavedením navrženého řešení by tedy firma neměla skončit s implementací SAM.

6.3

Nedostatky řešení

Zvolené řešení nepokrývá všechny oblasti SAM a to zejména oblasti optimalizace struktury licencí. To však bylo způsobeno požadavky podniku, který díky partnerství se společností Microsoft získal licence na software z tohoto partnerství pro vlastní využití. Vytvořená podniková směrnice obsahuje pouze nezbytné pracovní postupy a je ji proto dále podle potřeb podniku doplňovat. Analýza rizik a ekonomické zhodnocení celého řešení je založeno na odborných odhadech, což by bylo vhodné nahradit podrobnější studií dané problematiky. Navržená aplikace slouží ve stávajícím stavu pouze pro potřeby evidence a je proto ve vztahu úspory práce potřeba zlepšit její funkcionalitu, což nebylo možné

6.3

Nedostatky řešení

75

z důvodu rozsahu této práce provést. Současný stav, kdy je potřeba exporty z aplikace Windows Intune ručně importovat není optimální, ale toto řešení vzešlo z požadavků podniku s ohledem na budoucí propojení obou aplikací.

7

7

ZÁVĚR

76

Závěr

Správa softwarového majetku v podniku je spojena s několika specifickými problémy. Jedná se v první řadě o dodržování licenčních podmínek, které se od sebe mohou výrazně lišit. Nelze proto přistupovat ke každému softwaru v podniku stejně, ale s ohledem na dodržení licencí. Cílem této práce bylo zavedení metodiky pro správu softwarového majetku do zvolené firmy podle jejich požadavků. Tato práce začíná teoretickým úvodem do problematiky správy softwarového majetku v podniku, problematikou licencí a přehledem dostupných nástrojů pro SAM na českém trhu. Díky získanému přehledu v problematice bylo pro splnění podnikových požadavků zvoleno řešení, které vychází ze standardu ISO 19770-1 a praktických doporučení z ITIL. V první řadě bylo nutné stanovit stávající úroveň SAM ve zvoleném podniku. Byl využit hodnotící rámec Microsoft Software Asset Management Optimization Model, jenž dělí SAM do čtyř úrovní. Zhodnocením současného stavu byla stávající úroveň SAM v podniku určena jako nejnižší, podle hodnotícího rámce nazvaná Basic“. ” Práce se dále zabývala zvýšením stávající úrovně SAM v podniku. Na základě zjištěných nedostatků, byly stanoveny cíle, kterých je nutné pro dosažení lepší úrovně dosáhnout. Byla vypracována analýza rizik, které jsou spojeny s užíváním softwaru v podniku. K identifikovaným rizikům byla vytvořena bezpečnostní opatření, která spolu s podnikovými cíli pro SAM, vedla k vytvoření podnikových zásad správy softwarového majetku. V souladu s těmito zásadami byla stanovena nová podniková role, odpovědná za SAM. Dále byla vytvořena základní podniková směrnice pro tuto odpovědnou osobu a roční plán činností SAM. Pro přechod na lepší úroveň SAM bylo nutné zavést evidenci potřebných údajů. K vytvoření této evidence byla využita aplikace Microsoft Dynamic CRM 2011. Tato aplikace je postavena na platformě XRM, která umožňuje řízení vztahů všeobecně. V tomto případě tak jde o řízení vztahu k softwarovému majetku. Po dohodě s vedením podniku bylo toto řešení vybráno jako optimální i z pohledu dalšího rozvoje. Navržena byla evidenční aplikace, která slouží pro podporu práce odpovědné osoby za SAM v podniku. Podle návrhu byla následně vytvořena customizace systému CRM, kterou bude možné v podniku nasadit. Závěr práce se zabývá základním ekonomickým zhodnocením přínosů a nákladů vytvořeného řešení správy softwarového podniku pro zvolenou firmu. V diskusi k vytvořenému řešení bylo poukázáno na možnost dalšího rozvoje aplikace, ale také na její nedostatky. Zavedením navrženého řešení lze v podniku dosáhnout druhé úrovně SAM, v hodnotícím modelu nazvaném ”“Standardized”, přičemž část kompetencí ” SAM by byla splněna i na úrovni třetí.

8

8

LITERATURA

77

Literatura

Rudd, C. ITIL V3 Guide to Software Asset Management. Londýn: TSO, 2009. 178 s. ISBN 978-0-11-331106-4. Farren, C. Software Asset Management - Past, Present and Future. [online]. c2007 [cit. 2012-04-10]. Dostupné z WWW: . Štědroň, B. Ochrana a licencování počítačového programu. Praha: Wolters Kulwer Česká republika, 2010. 199 s. ISBN 978-80-7357-555-7. Řepa, V. Podnikové procesy: procesní řízení a modelování. 2.vyd. Praha: Grada, 2007. 281 s. ISBN 978-80-247-2252-8. Business Software Alliance Business Software Alliance. [online]. c2011 [cit. 2012-04-10]. Dokumenty dostupné z WWW: . Business Software Alliance Software Asset Management. [online]. c2011 [cit. 2012-04-10]. Dostupné z WWW: . ČSN ISO/IEC 19770-1(369043) Informační technologie - Správa softwarových aktiv - Část 1: Procesy. Praha: Úřad pro technickou normalizaci, metrologii a státní zkušebnictví, 2009. International Organization for Standardization ISO 19770 - Projects - 19770-1. [online]. c2012 [cit. 2012-04-13]. Dokumenty dostupné z WWW: . ISO/IEC JTC1 SC7 WG21 Tiered SAM Review Document. [online]. c2010 [cit. 2012-04-13]. Dostupné z WWW: . Polanský, O. Software a jeho licence 2012-04-12]. Dostupné z WWW: 739-software-a-jeho-licence-1-2>.

(1/2). [online]. c2007 [cit.
truconneXion Příručka administrátora systému. [online]. c2011 [cit. 201204-20]. Dostupné z WWW: . Gric Z. Informační systém pro ICT oddělení ALVAO. [online]. c2008 [cit. 201204-21]. Dostupné z WWW: . ALVAO s.r.o. Novinky v ALVAO 7.0. [online]. c2011 [cit. 2012-04-21]. Dostupné z WWW: .

8

LITERATURA

78

Free RW - Soft v.o.s. Jak vlastně AW Caesar pracuje při SW a HW auditu? [online]. c2012 [cit. 2012-04-22]. Dostupné z WWW: . Microsoft Software Asset Management. [online]. c2012 [cit. 2012-03-20]. Dokumenty dostupné z WWW: . ECP Media LC SAM Standards Explained. [online]. c2007 [cit. 2012-05-05]. Dostupné z WWW: . Tulane University. Software License Types. [online]. c2011 [cit. 201205-9]. Dostupné z WWW: . IAITAM International Association of IT Asset Managers. [online]. c20012 [cit. 2012-05-05]. Dostupné z WWW: . Soft-Aid The ITIL SAM Framework, ISO 19770-1 Standard, and IAITAM’s Best Practice Library. Making Sense of it All. [online]. c2007 [cit. 2012-05-05]. Dostupné z WWW: . SimByte Microsoft Dynamics CRM. [online]. c2011 [cit. 2012-05-18]. Dostupné z WWW: . McArthur, S. An Introduction to XRM for a .NET Developer (Microsoft Dynamics CRM 4.0). [online]. c2009 [cit. 2012-05-18]. Dostupné z WWW: . Jansa L. Nelegální software ve firmě. [online]. c2010 [cit. 201205-05]. Dostupné z WWW: . Trubač O. Trestní odpovědnost právnické osoby. [online]. c2012 [cit. 2012-05-05]. Dostupné z WWW: . Vlček, J.ISO 19770-1. [online]. c2012 [cit. 2012-04-20]. Dostupné z WWW: . Koudelka, C., Vrána, V. Rizika a jejich analýza. [online]. c2006 [cit. 2012-04-29]. Dostupné z WWW: .

Přílohy

A

A

POROVNÁNÍ ITIL, ISO 19770-1 A IAITAM BPL

Porovnání ITIL, ISO 19770-1 a IAITAM BPL

Obrázek 18: Porovnání ITIL, ISO 19770-1 a IAITAM BPL (Soft-Aid, 2007)

80

B

B

OPTIMALIZCE SAM POMOCÍ MICROSOFT SOM

81

Optimalizce SAM pomocí Microsoft SOM

Obrázek 19: Tabulka jednotlivých úrovní modelu Microsoft SOM se stavem v jednotlivých kompetencích (Microsoft, 2012)

C

ANALÝZA RIZIK SOFTWAROVÝCH AKTIV

C Analýza rizik softwarových aktiv

82

Zdroj rizika užití

užití

Nelegální softwaru


Druh činnosti

Interní okruh společnosti – zaměstnanci, společníci a externí spolupracovníci Poškození dobrého jména a nemožnost účastnit se výběrových řízení po zjištění kontroly o neoprávněném užívání licencí, které byly neúmyslně nezakoupeny.

Vytvoření zbytečných nákladů dodatečným nákupem licencí z důvodu špatného přehledu o tom jaký software je již zakoupen.


3

4

2

24

Závažnost rizika P N H R 3 2 3 18

- Pravidelná kontrola evidence softwaru. - Optimalizace procesu nákupu nového softwaru. - Pravidelná kontrola dostupných licencí. - Centralizace evidence softwaru - Pravidelná inventarizace instalovaného softwaru. - Pravidelná kontrola shody inventáře softwaru se získanými licencemi. - Omezení možnosti instalovat vlastní software. - Stanovení osoby odpovědné za instalaci softwaru na zařízení. - Pravidelné školení uživatelů na znalost podnikové politiky SAM. - Stanovit postih za instalaci nelegálního softwaru. - Stanovení zásad zavedení nového softwaru. - Kontrola shody s licencí před instalací softwaru.

Bezpečnostní opatření

Tabulka 8: Tabulka[MH1] rizik spojených s užíváním softwaru ve firmě CReativeMages

C ANALÝZA RIZIK SOFTWAROVÝCH AKTIV

83

Zdroj rizika užití

užití



Druh činnosti

Interní okruh společnosti – zaměstnanci, společníci a externí spolupracovníci

Náklady a možné poškození PC při instalaci nelegálního softwaru a roznesení malware.

Poškození dobrého jména a nemožnost účastnit se výběrových řízení po zjištění kontroly o neoprávněném užívání licencí, které byly úmyslně nezakoupeny.


2

2

3

12


- Pravidelná inventarizace instalovaného softwaru. - Pravidelná kontrola shody inventáře softwaru se získanými licencemi. - Omezení možnosti instalovat vlastní software. - Stanovení osoby odpovědné za instalaci softwaru na zařízení. - Zákaz instalace nelegálního softwaru. - Stanovit postih za instalaci nelegálního softwaru. - Namátkové kontroly jednotlivých počítačů. - Seznámení uživatelů s výsledky kontroly. - Zákaz instalace nelegálního softwaru. - Omezení možnosti instalace softwaru na zařízení. Ochrana instalace PC technickými prostředky(antimalware)


Tabulka 9: Tabulka rizik spojených s užíváním softwaru ve firmě CReativeMages - pokračování 1


84

Vznik rozsáhlých víceprací vlivem roznesení malware z důvodů oslabení ochrany nelegálním softwarem.

Zrušení partnerství s Microsoftem vlivem nedodržení licenční politiky při úmyslném prodání interní licence externí organizaci nebo jednotlivci Zrušení partnerství s Microsoftem vlivem nedodržení licenční politiky při neúmyslném prodání interní licence externí organizaci nebo jednotlivci

Nesprávné použití interních licencí

Nesprávné použití interních licencí




užití

Zdroj rizika

Druh činnosti

2

1

5

5

4

4

40

20


- Zákaz instalace nelegálního softwaru. - Omezení možnosti instalace softwaru na zařízení. Ochrana instalace PC technickými prostředky(antimalware). Okamžité odstranění nelegálního softwaru. - Evidence softwarového majetku. - Pravidelná kontrola využití interních licencí. - Omezení přístupu k interním licencím - Stanovení odpovědné osoby za interní licence. - Kontrola účelu využití licence odpovědnou osobou. - Pravidelné školení a přezkoumání práv plynoucí z licencí. Evidence softwarového majetku Pravidelná kontrola využití interních licencí. - Stanovení odpovědné osoby za interní licence




85

Administrativní zátěž k softwaru, který je vázaný na instalovanou pracovní stanici v případě, že je při zrušení pracovního poměru počítač reinstalován bez potřebného odebrání licence. Vznik rizika z nákupu softwaru, který není potřeba, protože vlastníme některý, který již pokrývá oblasti zvažované při nákupu.

Špatná evidence softwaru


Poškození procesu vstupu investora vlivem problému se stanovením hodnoty firmy.




Zdroj rizika

Druh činnosti

3

2

2

2

3

1

18

4


- Pravidelná kontrola evidence dokladů o nabití softwaru. - Pravidelná kontrola dostupných licencí. - Optimalizace procesu nákupu softwaru. - Optimalizace procesu vyřazení softwaru. - Centralizace evidence softwaru. - Kontrola licenčního ujednání před odinstalováním softwaru. Kontrola shody postupu odinstalace[MH2] s dokumentací softwaru. - Kontrola instalovaného softwaru před přeinstalováním počítače. - Centralizace evidence softwaru. - Vzdělávání osoby odpovědné za nákup softwaru o možnostech aktuálně vlastněného softwaru. Optimalizace procesů nákupu nového softwaru. - Zjištění požadavků uživatelů na software. Centralizace evidence softwaru.




86

Software Asset Management

Recommend Documents