RSS

Audyt legalności oprogramowania

13 Paźdź

Audyt lub inaczej kontrola legalności oprogramowania posiadanego w firmie jest bardzo ważną częścią pracy każdego administratora oraz samego procesu audytu informacyjnego. Pozwala kontrolować faktyczny stan zainstalowanego oprogramowania, jego legalność oraz posiadane licencje. W krytycznych sytuacjach pozwala uniknąć dużych nieprzyjemności dla firmy lub samej osoby informatyka, ponieważ POSIADANIE – KOPIOWANIE – KORZYSTANIE z nielegalnego oprogramowania to PRZESTĘPSTWO. Usuwanie, obchodzenie, łamanie zabezpieczeń programów to również PRZESTĘPSTWO. Postępowanie takie jest zagrożone:
– karą pozbawienia wolności od 3 miesięcy do 5 lat (art.278 § 2 K. K)
– karą ograniczenia wolności
– grzywną
– środkami karnymi np. przepadek przedmiotów, naprawienie szkody, świadczenie pieniężne na cel społeczny).

Aby tego uniknąć należy przeprowadzać w miarę możliwość często audyt. Wielu pracowników może nieświadomie instalować nielegalne oprogramowanie lub ściągać muzykę czy filmy na komputery firmowe. Robiąc to mogą kierować się niewiedzą albo chęcią umilenia sobie pracy. Do prawidłowego wykrywania takich nadużyć niezbędne w pracy audytora może się okazać dodatkowe oprogramowanie ale o tym później, teraz chciałbym skupić się na samym przebiegu audytu.Procedura audytu informatycznego jest złożona i może różnić się w zależności od profilu firmy i jej wielkości, jednak w większości wypadków składa się ona z pięciu najważniejszych etapów.

Gromadzenie danych
Zbieranie danych o sprzęcie i oprogramowaniu w firmie polega na skanowaniu komputerów przy wykorzystaniu wyspecjalizowanej aplikacji umożliwiającej gromadzenie szczegółowych danych o zainstalowanych programach na komputerach podłączonych do sieci informatycznej. Po zgromadzeniu informacji nt. posiadanego w firmie oprogramowania porównuje się te informacje z wykupionymi licencjami.

Analiza danych

Aplikacja zbierająca dane o wykorzystywanym oprogramowaniu porównuje jego stan ze stanem zakupionych licencji.

Raportowanie

Po przeprowadzeniu analizy legalności wykorzystywanego oprogramowania tworzone są szczegółowe raporty o stanie licencji, pozwalające na podjęcie decyzji o usunięciu zbędnego oprogramowania z sieci lub o nabyciu odpowiednich licencji.

Kroki zaradcze

Po zgromadzeniu szczegółowej wiedzy nt. braków w licencjach podejmowane są decyzje mające na celu usunięcie problemów i zapewnienie firmie optymalnego poziomu wykorzystania posiadanych licencji, bądź decyzje o zakupie dodatkowych licencji oprogramowania.

Bardziej szczegółowo o audycie, krok po kroku:

1. Inwentaryzacja oprogramowania zainstalowanego (skanowanie komputerów):

1.1. Zbierane informacje o oprogramowania wszystkich producentów, crackach, plikach audio i video.
1.2. Oznaczenie jednostek numerami audytowymi.
1.3. Spisanie i sprawdzenie zgodności certyfikatów autentyczności COA systemów operacyjnych Microsoft.
1.4. Spisanie urządzeń podłączonych do skanowanego komputera (np. drukarka, skaner, itp.).

2. Inwentaryzacja zakupionego oprogramowania:
2.1. Spisanie ilości zakupionego oprogramowania.
2.2. Uporządkowanie i skompletowanie licencji z nośnikami.
2.3. Sporządzenie cyfrowych zdjęć każdej licencji na oprogramowanie (wszystkich producentów).
2.4. Wprowadzenie danych do elektronicznej bazy inwentaryzacji.
2.5. Kontrola antypiracka – sprawdzenie autentyczności licencjonowanych produktów.

3. Analiza danych:
3.1. Weryfikacja zainstalowanego oprogramowania z oprogramowaniem zakupionym.
3.2. Zestawienie braków/nadmiarów oprogramowania i wskazanie najefektywniejszych metod legalizacji.
3.3. Ocena efektywnego wykorzystania systemów komputerowych i wskazanie najefektywniejszych metod zakupów.
3.4. Przygotowanie dokumentacji pod wdrożenie zasad i procedur zarządzania oprogramowaniem.
3.5. Sporządzenie raportów rozliczeniowych.

4. Raport wstępny:
4.1. Opis zakresu przeprowadzonych prac audytowych w firmie.
4.2. Analiza danych zebranych w procesie skanowania i inwentaryzacji oprogramowania.
4.3. Ustalenie wraz z klientem planu naprawczego celem szybkiej i możliwie najtańszej legalizacji.
4.4. Baza danych – nośnik optyczny (CD/DVD) zawierający informacje o prowadzonych działaniach.

5. Wdrożenie zaleceń audytowych:
5.1. Usunięcie niezgodności wykrytych podczas audytu, tj. deinstalacja nielicencjonowanych i zbędnych programów.
5.2. Usuwanie plików multimedialnych, cracków itp.
5.3 Instalacja oprogramowania na życzenie zleceniodawcy z wyłączeniem instalacji systemów operacyjnych, rozwiązań serwerowych, antywirusowych oraz systemów zarządzania firmą.
5.4. Instalacja oprogramowania do zarządzania oprogramowania (opcja).
5.5. Utworzenie metryk komputerowych i przypisanie do nich odpowiednich licencji na zainstalowane oprogramowanie.
5.6. Pomoc we wdrożeniu zasad i procedur zarządzania oprogramowaniem (SAM).

6. Szkolenia i wsparcie merytoryczne
6.1. Szkolenie kadry działu informatycznego z zakresu licencjonowania.
6.2. Szkolenie użytkowników komputerów w zakresie korzystania z oprogramowania i przestrzegania procedur zarządzania oprogramowaniem.
6.3. Szkolenie z obsługi programu do zarządzania oprogramowaniem (opcja).
6.4. Wsparcie merytoryczne z zakresu licencjonowania w okresie obowiązywania umowy.

7. Raport końcowy:
7.1. Opis zakresu przeprowadzonych prac audytowych w firmie.
7.2. Analiza danych zebranych w procesie skanowania i inwentaryzacji oprogramowania.
7.3. Baza danych – nośnik optyczny (CD/DVD) zawierający informacje o prowadzonych działaniach.
7.4. Wydanie wniosku o certyfikację.

Inną kwestią są sprzedawane na allegro lub innych aukcjach niby oryginalne Windowsy w okazyjnych cenach. Zazwyczaj sprzedawca nie wystawia faktury lub są to wersje systemów dedykowane dla danych producentów i używanie ich jest złamaniem licencji. Kupując takie Windowsy pamiętajmy, że według standardów BSA i Microsoft dowodami legalnego oprogramowania są:
1) Certyfikat Autentyczności COA (w przypadku systemu operacyjnego) – główny dowód legalnego systemu operacyjnego. Naklejka naklejana na obudowę stacji roboczej.
2) Licencja – prawo do korzystania z oprogramowania na warunkach określonych przez jego twórcę.
3) Oryginalny nośnik/i
4) Pudełko – wyłącznie w wersji BOX
5) Poprawnie wystawiona faktura zakupu – ! UWAGA ! – sama licencja nie jest dowodem legalnego oprogramowania

Skupmy się teraz na oprogramowaniu. Oprogramowanie wspomagające proces audytu informatycznego umożliwia precyzyjną kontrolę legalności poprzez automatyzację ww. czynności.
Specjalistyczne programy do audytu IT dysponują funkcją jednoznacznej identyfikacji każdego zainstalowanego w sieci lokalnej pakietu oprogramowania oraz dodatkowo są one z reguły odporne na działania samych użytkowników, którzy mogą próbować zatuszować obecność nielicencjonowanych kopii programów na swoich komputerach. W internecie można znaleźć wile tego typu narzędzi. Ściągając je uważajmy żeby samemu nie złamać zapisów zawartych w licencji;] Osobiście polecałbym zainteresować się tymi programami :

1. Microsoft Software Inventory Analyser (MSIA)
Microsoft Software Inventory Analyser (MSIA) to bezpłatne narzędzie wyszukujące informacje o oprogramowaniu firmy Microsoft zainstalowanym na poszczególnych komputerach. Korzystając z tego narzędzia, można przeprowadzić inwentaryzację wszystkich najpopularniejszych produktów Microsoft zainstalowanych na wszystkich komputerach w firmowej sieci. Rezultaty skanowania przeprowadzonego przez MSIA są prezentowane w eleganckich raportach i jak zapewnia producent, są całkowicie poufne i nie są wysyłane do firmy Microsoft. Program umożliwia także wprowadzenie ilości posiadanych licencji tak aby w łatwy sposób można było wykryć ich niedobór bądź nadmiar.
http://www.dobreprogramy.pl/Software-Inventory-Analyser,Program,Windows,12690.html

2. Menedżer Licencji
Polski program służący do inwentaryzacji oprogramowania w firmie. Menedżer Licencji pozwala zdalnie pobrać informacje o zainstalowanym oprogramowaniu ze wszystkich firmowych komputerów w sieci lokalnej. Opcjonalnie możne je też przenieść na dyskietkach. Informacje pobierane są o wszelkiego rodzaju programach dzięki czemu można kontrolować nie tylko aplikacje komercyjne ale np. sprawdzać czy na poszczególnych stanowiskach nie ma zainstalowanych programów niepożądanych (np. do bezpośredniej wymiany plików w sieciach p2p). Program generuje raporty w popularnych formatach, według stanowisk komputerowych lub nazw własnych programów. Spis posiadanych licencji pozwoli porównać listę zainstalowanych programów z licencjami uprawniającymi do ich używania.
http://www.dobreprogramy.pl/Menedzer-Licencji,Program,Windows,12244.html

3. PCinfo MagicEYE
Rozbudowany system do audytu oprogramowania i zarządzania zasobami IT w firmach. PCinfo MagicEYE umożliwia przeprowadzanie bardzo szczegółowej ewidencji posiadanych komputerów, podzespołów komputerowych i innych urządzeń informatycznych, a także precyzyjne wykrywanie zainstalowanego na komputerach oprogramowania (opcjonalnie także plików graficznych, muzycznych czy filmów). Wszelkie dane pobierane są z instalowanych zdalnie agentów rezydujących na poszczególnych końcówkach w sieci i wyświetlane na stanowisku administratora. Od wersji 5 możliwe jest także sprawdzanie komputerów pracujących pod kontrolą systemu Linux. Program umożliwia wprowadzenie liczby posiadanych licencji na oprogramowanie dzięki czemu można w łatwy sposób wychwycić ewentualne różnice, a także sprawdzić na jakich konkretnie komputerach zainstalowane jest dane oprogramowanie.
http://www.dobreprogramy.pl/PCinfo-MagicEYE,Program,Windows,12569.html

4. EVEREST Ultimate Edition
EVEREST oferuje możliwość gromadzenia informacji o sprzęcie i oprogramowaniu w postaci plików CSV lub bazy danych SQL i pozwala przeprowadzić wyczerpujący audyt sieci w oparciu o zebrane informacje. Wybrane informacje sprzętowe:
Płyta główna i procesor, karta graficzna i monitor, urządzenia pamięci masowej, karty sieciowe, multimedia, urządzenia wejściowe, pozostały sprzęt (informacje o urządzeniach PCI, Plug & Play, PCMCIA i USB, porty komunikacyjne, informacje o zarządzaniu energią, lista zasobów sprzętowych, informacje o drukarkach). Informacje o oprogramowaniu: System operacyjny, serwer i wyświetlanie, praca w sieci, informacje o zainstalowanym oprogramowaniu, zaplanowanych zadaniach, programach uruchamiania i rozwiązaniach antywirusowych.
http://www.instalki.pl/programy/download/testowanie_i_diagnostyka/EVEREST_Ultimate_Edition.php

Skuteczna, systematyczna kontrola legalności oprogramowania jest konieczna w każdej firmie. Praktycznie nie ma firmy, w której nie znajduje się choćby jeden pakiet oprogramowania nieposiadający odpowiedniej licencji. Kontrola legalności oprogramowania ma nie tylko ustalić, jaki jest stan faktyczny zainstalowanego oprogramowania i licencji, ale w efekcie ma doprowadzić do wprowadzenia procedur zarządzania oprogramowaniem oraz do efektywnego i świadomego kupowania nowych licencji.

Linki :
Po co Ci audyt legalności oprogramowania?
Dowody legalności
Kontrola legalności oprogramowania

Reklamy
 
Dodaj komentarz

Opublikował/a w dniu Październik 13, 2009 w it

 

Tagi: ,

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

 
%d blogerów lubi to: