Audyt oprogramowania jest zespołem czynności służących do optymalizacji wykorzystania licencji na oprogramowanie posiadanych przez firmy i instytucje. Podejmowane działania takie, jak ewidencja licencji, ich cykliczna weryfikacja i okresowe raportowanie licencji dają organizacjom pełną wiedzę na temat aktualnego stanu posiadanych zasobów software’owych oraz stopnia ich wykorzystania.
Informacje te pozwalają na podejmowanie decyzji dotyczących m.in. usuwania niewykorzystywanych, zbędnych instalacji, a w efekcie poprawę wydajności działania środowiska informatycznego. Do tego dochodzi eliminacja ryzyka powstającego w razie ewentualnego użytkowania aplikacji wbrew warunkom umów licencyjnych.
Audyt oprogramowania – system na bazie rozwiązań open source
Oferowany przez ESKOM audyt oprogramowania polega na budowie i implementacji w środowisku IT klienta odpowiedniego systemu, opartego w całości na rozwiązaniach open source. Poniesione koszty obejmują więc tylko czynności związane z ich wdrożeniem i utrzymaniem. Elementy składowe systemu tworzą:
- aplikacja GLPI (Asset Management System) – narzędzie do ewidencji i zarządzania posiadanymi zasobami (licencjami),
- aplikacja OCS (Autodiscovery System) – rozwiązanie cyklicznie monitorujące urządzenia w celu wykrycia ewentualnych zmian,
- skrypty raportowe.
Obie aplikacje podczas implementacji zostaną zintegrowane, a dopełnieniem systemu są skrypty generujące raporty. Oprogramowanie GLPI oraz OCS pracuje w systemie Linux (preferowana dystrybucja CentOS), a właściwa praca OCS wymaga instalacji jego agentów (służących do detekcji instalacji) we wszystkich monitorowanych urządzeniach. Agent pracuje w tle, wykorzystując jedynie minimalnej ilości zasobów (4 MB RAM).
Wdrażanie i utrzymanie systemu audytu
Wdrażany przez ESKOM audyt oprogramowania jest systemem budowanym w kilku, następujących po sobie etapach. Schemat działania obejmuje czynności:
- instalowanie i konfigurowanie aplikacji GLPI oraz OCS,
- instalowanie agentów OSC na urządzeniach,
- inicjalne zasilenie bazy GLPI,
- instalowanie skryptów raportowych,
- weryfikację listy zainstalowanego oprogramowania z dostarczoną dokumentacją licencyjną.
Warunkiem poprawnego audytu, a w szczególności czynności, takich jak weryfikacja czy raportowanie licencji, będzie dostarczenie kompletu dokumentów dotyczących posiadanych przez Klienta licencji na oprogramowanie oraz nałożenie ograniczeń na użytkowników nadzorowanego środowiska – w celu odebrania im możliwości samodzielnych instalacji.
Utrzymanie systemu polega na zautomatyzowanych, konfigurowalnych czynnościach, obejmujących m.in. częste (co godzinę) zbieranie informacji o zainstalowanym oprogramowaniu oraz generowanie dobowych raportów. W przypadku wykrycia rozbieżności między stanem wzorcowym a obecnym, system wnioskuje o akceptację lub odrzucenie nowo zainstalowanego przez użytkownika oprogramowania. W przypadku akceptacji, baza licencji jest poszerzana, z kolei decyzja o odrzuceniu skutkuje deinstalacją oprogramowania.
Kompleksowy audyt oprogramowania – koszty budowy i utrzymania systemu
Ponoszone przez klienta koszty budowy i wdrożenia systemu audytu są uzależnione od wielkości objętego nim środowiska informatycznego i obejmują dwa zespoły czynności:
- prace instalacyjne – stała opłata ryczałtowa, uwzględniająca czynności instalacji systemu operacyjnego, aplikacji GLPI i OCS oraz skryptów raportowych, w wysokości 4 800 PLN,
- prace konfiguracyjne – opłata będzie uzależniona od wielkości nadzorowanego środowiska oraz stopnia automatyzacji procesów. Pomocne w jej oszacowaniu będzie wypełnienie informacji w poniższej tabeli:
Lp. |
Pytanie |
Odpowiedź |
1 |
Jaki ma być zakres wdrożenia (desktop / serwery)? |
|
2 |
Jaka jest liczba stacji roboczych / serwerów? |
|
3 |
Czy jest wdrożony system Active Directory – możliwość instalacji agentów przez GPO? |
|
4 |
Czy jest możliwość pracy zdalnej (nie / częściowo / tak)? |
|
5 |
Jaki procent użytkowników posiada uprawnienia administracyjne |
|
6 |
Czy jest aktualny spis wszystkich posiadanych licencji, |
|
7 |
Czy jest wdrożony standard obrazu stacji roboczej / serwera? |
|
8 |
Jaka jest liczba zatwierdzonych obrazów bądź używanych |
|
9 |
Czy jest zatwierdzona lista oprogramowania dopuszczonego |
|
10 |
Jaka jest liczba aplikacji użytkowych? |
|
11 |
Czy jest wdrożony proces zarządzania zmianą? |
|
12 |
Czy jest wdrożony system Help Desk do obsługi zgłoszeń, jeżeli nie |
|