Doporučuji

V této sekci doporučuji zajímavé články z oblasti SAM, Softwarových auditů,  Antipiracy, License Compliance a Licensing. Články budo jak v českém, tak i anglickém jazyku. Mé články zařazuji přímo do sekcí.

Rubriky: Doporučuji | Napsat komentář

První certifikovaní softwaroví auditoři v Čechách

Měsíc červen se v oboru SAM stal milníkem.  Přes deset let chybělo na trhu nezávislé ověření kvality služeb, nabízených tzv. „softwarovými auditory“. Tuto možnost přinesla až norma ISO 19770. V červnu tak proběhla první akreditovaná certifikace specialistů na problematiku SAM (Software Asset Management). Jako první přinášíme podrobnější rozbor významu těchto certifikací pro zákazníky i auditory, i popis procesu certifikace.

Certifikaci podpořili i významní výrobci softwaru a další organizace zastřešující ochranu autorských práv v oblasti softwaru. „Certifikaci vítáme, je to velký pokrok. Firmy se často ptají, jak mají poznat dobrou auditorskou firmu. ISO 19770 a související personální certifikace je dostatečnou garancí kvality auditorských služeb,“ dodal Jan Hlaváč, tiskový mluvčí BSA.

prvních šest odvážných

Jako první absolvovalo akreditovanou certifikaci ISO/IEC 19770 SAM manažer a auditor šest profesionálů z oboru. Zkouška proběhla v České společnosti pro jakost, která je pro tuto personální certifikaci akreditována Českým institutem pro akreditaci, o.p.s.  Pět auditorů a jedna manažerka byli díky pečlivé přípravě úspěšní všichni. „Absence normy v českém jazyce přípravu výrazně ztížila“, řekla Martina Hyndráková z auditorské společnosti B-Right.  „Otázky vyžadovaly detailní znalost požadavků normy. Část byla ale zaměřena i na praxi auditora u různých typů organizací a část na obecné znalosti licencování softwaru. Zkouška je skutečným průřezem nutných znalostí pro odvedení perfektní práce u klienta a zákazníkovi poskytne dobrou záruku kvality auditora“, dodala.

„Česká verze normy by měla být k dispozici přibližně na podzim letošního roku –  profesionální překlad byl už předán ČSNI a v tuto chvíli probíhá připomínkové řízení a korekce překladu.“, uvedl Petr Koten z České společnosti pro jakost.

jak se stát ISO SAM Manažerem

ISO 19770 SAM Manažer by měl být schopen řídit zavedení ISO 19770 ve vlastní organizaci a následně ji připravit na firemní certifikaci. Po skončení certifikace pak garantuje kvalitu procesů i nadále.

Zkoušku ISO 19770 SAM Manažer tak může absolvovat každý IT specialista s alespoň šestimměsíční praxi v oboru, znalostmi normy ISO/IEC 19770-1 a s orientací v procesech SAM.

Zkouška je oproti auditorské připravena v trochu „odlehčené formě“ – odpadá nutnost ústního prověření doložených praktických znalostí z různých typů organizací. Je dostupná komukoliv, kdo si chce zvýšit profesní kvalifikaci v oboru IT. „V rámci mého nynějšího pracovního postu, zastávám funkci hlavního správce SAM a certifikace, spolu s praktickou zkušeností z minulého zaměstnání, mi velmi pomohla tuto pozici získat.“, řekla Lucie, první ISO SAM Manažerka v Čechách.

 

Zkouška ISO SAM manažera probíhá před dvoučlennou zkušební komisí. Na písemný test, zpracovaný formou „autoškola“, je 60 minut času. Opisuje se opravdu špatně, protože každý uchazeč si vylosuje jiný soubor otázek a počet zkoušených je limitován tak, aby bylo možné zajistit zcela samostatnou práci každého z nich. Zapomeňte na mobilní telefon, PDA zařízení nebo jiné pomůcky. K dispozici je pouze papír, tužka a klid na práci.  Pro úspěšěné složení je třeba dosáhnout 75% úspěšnosti, tedy z celkového počtu padesáti otázek správně odpovědět na 38. S výsledkem zkoušky je uchazeč seznámen do dvou hodin po skončení zkoušky osobně. V případě neúspěchu se může ihned přihlásit na další termín.

Co je pro složení zkoušky třeba znát? V první řadě normu ISO/IEC 19770. Jednou přečíst nestačí – na normu se ptá třicet z celkového počtu padesáti otázek. Deset otázek se bude týkat licencování softwaru,  pět otázek prověří znalosti souvisejících zákonných norem a nařízení a posledních pět znalosti požadavků na auditovací programy.

profesionálové to mají těžší – auditora čekají zkoušky dvě

ISO SAM Auditor u menších organizací nahradí interního ISO SAM Manažera. Spolupracuje pouze na projektu zavedení normy a dále spolupracuje při výročních reauditech. Nebo – zejména u větších subjektů – může být výrazně nápomocen  internímu manažerovi, zejména rozsahem svých znalostí a zkušeností.

Auditorská certifikace je proto koncipována jako výrazně náročnější než v případě Manažerů a vyžaduje doložení alespoň tří referenčních projektů zavedení SAM ve firmě. Zkouška sama se skládá ze dvou částí – písemné a ústní.

Stejně jako u Manažera, i tahle zkouška probíhá před 2 člennou zkušební komisí se stejně přísnými pravidly. Soubor obsahuje 70 otázek (tedy o 20 více než u Manažera). Větší důraz je kladen na znalosti licencování jednotlivých výrobců softwaru, znalost přípravy interních směrnic atd.

Po zakončení písemné části, kterou všichni uchazeči skládají současně, pokračuje část ústních zkoušek. Ta probíhá formou individuálních prezentací.  Ze souboru připravených otázek si Auditor vylosuje jednu. Na přípravu má 30 minut a dalších 30 na složení ústní zkoušky. I v ústní části zkoušky se prověřuje praktická znalost normy, ale tentokrát s důrazem na její praktickou aplikaci. Komise vyžaduje objasnění uchazečem zvolených metod a  postupů.

Pro úspěšné složení písemné zkoušky je třeba dosáhnout 75% úspěšnosti, tedy z celkového počtu sedmdesáti otázek správně odpovědět na 52.  Za ústní část lze získat maximálně 30 bodů, pro úspěšné složení je třeba dosáhnout alespoň 22 bodů. S výsledkem zkoušky je uchazeč seznámen do dvou hodin po skončení zkoušky osobně. V případě neúspěchu se může ihned přihlásit na další termín. Opakuje jen tu část zkoušky, ve které neuspěl.

co komise doporučuje pro přípravu na zkoušky

Protože český překlad normy je ohlášen až na podzim 2008, zeptal jsem se členů zkušební komise i prvních úspěšně certifikovaných auditorů na jejich doporučení. Mimo samotné normy doporučují pro samostudium zejména sborník ITIL – díl věnovaný SAM, autorský zákon, příslušné paragrafy zákona o účetnictví (skartace dokumentů),  odpovídající paragrafy trestního a přestupkového zákona a licenční politiku nejvíce rozšířených programů – spíše obecná pravidla. Dobrým základem mohou být i specializované kurzy SAM, dostupné v počítačové škole Gopas.

certifikací  na  ISO 19770 prošla už i první firma

Ve stejném období, ve kterém byli certifikováni softwaroví auditoři, se jedna z auditorských firem rozhodla pustila do implementace ISO 19770-1 u prvního zákazníka. Samozřejmě mi to nedalo – zajímalo mne, nakolik teoretické marketingové „taháky“ fungují v praxi. A jaké tedy jsou zkušenosti?

V první řadě se potvrdilo, že všechny postupy, zavedené podle doposud používaných metodik, jsou plně využitelé a perfektně zapadají do konceptu ISO 19770. Je to dobrá zpráva pro všechny, kdo se SAMem už zabývali. Norma jen zpřísňuje některé postupy a trvá na opakovatelnosti postupů častěji než jednou za rok (i to ale většina auditorů svým klientům radila už dávno).

 Zavedením normy získala firma konečně zcela jasný přehled o softwaru, který používá. Je schopna určit, který software je z hlediska přidané hodnoty nejdůležitější, který nejdražší, ale nezaměnitelný za náhradní variantu a který lze naopak bez problémů nahradit neplacenou variantou. Jinými slovy, získali perfektni podklady pro optimalizace nákladů. Skutečné využívání IT vybavení je teď monitorováno trvale a jednou za čtvrt roku reaguje vedení na zjištěné výsledky.

Dalším velkým přínosem bylo zavedení řízených postupů celého životního cyklu softwaru. Největší přínos v této oblasti pro firmu představoval proces řízeného uvolňování softwaru a sjednocení definovaných instalací pro různé úrovně rolí v organizaci. Upravila se už existující pravidla pro nakládání se softwarem ve firmě. Odpovědní vedoucí získali pro oblast instalací softwaru jasná pravidla pro uživatele a také nástroje pro jejich kontrolu a vymáhání.

Systémovým požadavkem normy bylo personální oddělení donuceno zdokonalit oblast školení v oblasti softwaru. Po absolvování prvních školení je patrné, že i zaměstnanci mimo oddělení IT začínají chápat, proč jsou v práci s firemními počítači „omezováni“.

Normu zaváděli interní softwaroví auditoři ve spolupráci s expertní společností. Certifikaci samu provedl nezávislý certifikační orgán. Návratnost prostředků vynaložených do zavedení systému a certifikace se částečně projevila ihned po dokončení projektu a to formou zoptimalizování licenčních modelů a partnerských smluv. Předpoklad návratnosti celé částky vynaložené do zavedení a certifikace je odhadována na 2, maximálně 3 roky.

Názor odborníka

Ing. Jiří Jakeš Softwarový auditor, Outsorcing Solution, s.r.o.
Ing. Jiří Jakeš
Softwarový auditor, Outsorcing Solution, s.r.o.

ISO 19770 pro SAM je standardem, určeným pro kompletní řízení softwarových aktiv ve společnosti. Přínosy standardu jsou hlavně ekonomického a organizačního charakteru. Úspory a optimalizace nákladů na oblast softwarových aktiv a s tím souvisejících činností jsou nezpochybnitelné. Navíc ale dostáváme do rukou nástroj pro maximální možné přenesení zodpovědnosti za nežádoucí instalace softwaru až na konkrétní uživatele. Tímto krokem se management organizace oprošťuje od odpovědnosti za nemalou, ale často velmi opomíjenou část legislativních náležitostí souvisejících s  užívání duševního vlastnictví. Závěrem nezbývá než gratulovat dané organizaci k dnes zatím velmi odvážnému krotku do neznámých vod nového pohledu řízení a kontroly nákladů v oblasti IT.

Rubriky: ISO 19770-1 | 15 komentáře

Standardy ISO aktivně užívané v ČR.

Standardy ISO jsou často skloňovaným pojmem. Zákazníci vnímají certifikaci dodavatele na ISO jako mezinárodně uznávaný způsob ověření kvality. Firmy samotné zastávají v zásadě dva pohledy: nutné zlo, které musíme podstoupit, abychom mohli realizovat určité typy zakázek – a nebo cestu ke zkvalitnění a zefektivnění celkového chodu firmy.

ISO je Mezinárodní organizace pro normalizaci (International Organization for Standardization) se sídlem v Ženevě, založena v roce 1947. Organizace se zabývá tvorbou mezinárodních norem ISO a jiných druhů dokumentů ve všech oblastech normalizace kromě elektrotechniky (jedná se např. o technické specifikace, technické zprávy a veřejně dostupné specifikace, dohody o technických trendech, pokyny ISO atd.).

Zastavme se pro dnešek u informačních technologií v libovolné organizaci.
Jak ovlivňuje ISO tuto oblast?

V oboru IT existuje několik zajímavých norem, které se aktivně používají i v České republice. Vždy se jedná o tzv. procesní normy, nikoliv jakostní (nebudeme se tedy věnovat ISO 9000, 9001,9002 atd.).  Procesní ISO standardy bychom mohli podle definice požadovaného cíle rozdělit do dvou skupin: na bezpečnost informací a systémové řízení.

ISO v oblasti bezpečnosti informací

Informace jsou od nepaměti tím nejcennějším zbožím. V obchodním styku představují klíčovou konkurenční výhodu a v některých oborech i hodnotu rozdílu mezi životem a smrtí.

S rozvojem informačních technologií narostlo množství způsobů sdílení dat tak, že bylo potřeba přistoupit k zavedení systémů sofistikované ochrany informací. Na tuto potřebu reagovalo ISO vytvořením normy 27001. Hlavním přínosem této normy je řízení rizik ve vztahu k samotné existenci informací, definice hierarchie a zodpovědnosti zaměstnanců, zabezpečení minimalizace výpadků podnikových procesů a v neposlední řadě splnění zákonných požadavků.

Bezpečnost informací se čím dál více dostává do popředí zájmu nejvyššího vedení firem. Pokud chce jakákoliv firma obstát na současném trhu, jsou pro ní informace o dodavatelích, zákaznících, vlastních výsledcích, plánech a procesech tím nejcennějším majetkem. Na tato fakta reagují mezinárodní normy ISO 17799, BS 7799 a řada dalších, které předkládají koncepci budování a řízení podnikové informační bezpečnosti.

V popředí zájmu je zejména „systém řízení informační bezpečnosti“ – ISMS (Information Security Management System).

Cílem zavedení ISMS v podniku je:

·                     Minimalizovat a řídit riziko ekonomických ztrát souvisejících s provozem
ICT (technické závady, živelné katastrofy, zcizení, atd.)

·                    Eliminovat riziko odcizení informací, ať už zvenku nebo zevnitř

·                    Minimalizovat možnost kompromitace firmy v důsledku ztráty informací

Jaké jsou přínosy zavedení a certifikace ISMS pro firmu?

·         Inventura vlastních aktiv, jejich ocenění a klasifikace

·         Přechod řízené a komplexní bezpečnosti

·         Efektivní řízení investic do informační bezpečnosti

·         Zavedení systémového a systematického přístupu při používání informačních technologií/systémů

·         Trvalé systémové monitorování a zlepšování systému řízení bezpečnosti informací

·         Řízené odstranění nebo snížení rizik v oblasti informačních systémů

·         Zvýšení odpovědnosti zaměstnanců při práci s informacemi

·         Naplnění požadavků legislativy

·         Zvýšení důvěryhodnosti pro partnery i zákazníky

·         Konkurenční výhoda, kultivace Image a firemní kultury

ISO v oblasti systémového řízení

V oblasti systémového řízení jsou nejdůležitější dvě normy – ISO 20000 a ISO 19770.

Management služeb v IT

Norma ISO 20000 je prvním celosvětovým standardem přímo určeným pro management služeb IT. Zaměřuje se na zlepšování kvality, zvyšování efektivity a snížení nákladů IT procesů. Popisuje integrovanou sadu procesů řízení pro poskytování služeb IT a obsahově se řídí úspěšnými projekty IT Infrastructure Library (ITIL).

To nejlepší z praxe

Knihovna ITIL představuje procesně orientovaný rámec pro oblast IT Service Managementu (ITSM). Vznikla jako souhrn „Best Practices“ z oblasti ITSM a v současnosti je mezinárodním standardem pro oblast ITSM. Knihovna ITIL je rozdělena do několika oddílů (samostatných knih), zaměřených na specifickou oblast řízení IT služeb, které odpovídají klíčovým procesům v IT oddělení a vzájemně se prolínají.

ITIL se nezabývá pouze zavedením řízení služeb IT, ale také jejich zlepšováním. Pomáhá pochopit a upravit pro každodenní praxi potřebné procesy včetně všech nutných návazností. V tomto ohledu je tedy výborným vodítkem pro průběžné zvyšování kvality a produktivity.

Integrovaný management s ISO 20000

Nový standard ISO pro služby IT nekonkuruje normě ISO 27001 pro informační bezpečnost, jak by se mohlo zdát. Je spíše považován za její logické doplnění. Synergické struktury obou standardů umožňují snadné zapojení do integrovaného systému řízení. Společná dokumentace a audity s multifunkčními auditorskými týmy přinášejí další úsporu nákladů. Díky své flexibilitě je standard vhodný pro všechny velikosti podniků a odvětví, i pro oddělení a dílčí úseky organizací.

Nejdůležitější částí normy ISO 20000 je, stejně jako u všech standardů ISO, model zlepšování procesů podle vzoru: plan-do-check-act. Aplikace tohoto cyklu vede k neustálému zvyšování kvality a efektivity výkonů. Pravidelně se definují cíle a příslušné ukazatele jako „spokojenost zákazníků“ nebo „disponibilita služeb“ a vypracovávají se opatření k jejich optimalizaci.

Statisticky se ukazuje, že investice do optimalizace procesů přinášejí bez procesu neustálého zlepšování pouze krátkodobé úspěchy. Použitím standardu s pravidelnými kontrolními audity se tomu účinně zabrání. Provedením posudku nezávislou třetí osobu se zviditelní odchylky vůči zadání a zavedou se nápravná opatření. ISO 20000 se tak osvědčuje jako strategický prvek řízení.

Software Asset Management –  ISO 19770

Norma ISO 19770 je prvním celosvětovým standardem pro oblast Software Asset Managementu (SAM). Popisuje integrovanou sadu procesů řízení pro správu softwarových aktiv ve firmě. Zaměřuje se na zlepšování kvality, zvyšování efektivity a snížení nákladů. Využívá zkušenosti z IT Infrastructure Library (ITIL).

Cílem normy je poskytnout organizacím směrnice či systém dokumentů, díky kterým minimalizují rizika a náklady na správu softwaru. Hlavními prostředky jsou:

·                    Stanovení cílů a strategie SAM

·                    Analýza rizik

·                    Stanovení politiky správy SAM

·                    Zpracování SAM standardů

·                    Implementace a aplikace SAM systémů

·                    Inventarizace

·                    Monitoring a audit

Správa softwaru (SAM) představuje účinný nástroj pro řízení softwarových aktiv. Centralizuje softwarovou platformu, optimalizuje investice do vybavení, monitoruje skutečné využívání aktiv. Maximalizuje využívání softwarových aktiv a chrání společnost před riziky v důsledku porušování autorských práv. Zahrnuje všechna záznamová média, licence, licenční ujednání a duševní vlastnictví spojené s veškerým software firmy.

ISO 19770 je rozděleno do šesti základních částí. V části strategie jsou definovány cíle, projektové plány, časová vymezení, kompetence, vytvořena potřebná fóra a zřízeny pracovní pozice pro řešení dané problematiky.

Ve druhé fázi je provedena analýza rizik – identifikace softwarových aktiv firmy, souvisejících hrozeb a míry zranitelnosti organizace. Dopady jsou kvantifikovány. Na základě analýzy je stanoven způsob řízení prostřednictvím navazujících personálních, organizačních či technických opatření. Typicky se jedná o směrnice pro práci a správu informačních technologií, pravidla pro přístup z externích sítí, pravidla pro opravy či likvidaci HW/SW a řada dalších. Tyto jsou následně uváděny v život formou školení, technických opatření, změn smluvních vztahů.

Následně je provedena inventarizace (softwarový audit) včetně dohledání dokladů o nabytí softwaru, kontroly dodržování licenčních smluv, narovnání případných licenčních rozdílů, zavedení trvalých evidenci a přijetí potřebných opatření k udržení jejich aktuálnost v každodenním provozu.

Posledním krokem je zavedení a vytvoření mechanismů, které umožní monitorovat stav systému pro správu softwarových aktiv (SAM). Jedná se jak o technické nástroje, tak o plány pravidelných interních či externích auditů.

Po realizaci výše uvedených kroků lze přistoupit k certifikačnímu auditu. Ten je předepsán jako dvoufázový, kdy v první fázi je provedena revize dokumentace, komplexnost systému s ohledem na podmínky konkrétní firmy. Ve druhé fázi je pak prováděn audit shody dokumentace s realitou.

A co dál?

Tento článek byl jen malým nahlédnutím do světa ISO norem. Protože pro mnoho podnikatelů je tato oblast stále velmi obtížně uchopitelná, rozhodli jsme se pro příště vybrat jednu z norem a konkrétně popsat proces jejího zavedení do praxe. Příští článek se proto bude jmenovat „ISO 19770-1, certifikace pro auditory, manažery a firmy.“ A já pevně doufám, že Vás přesvědčím, že zavádění normy je jednoduchým procesem a norma je neocenitelným pomocníkem při řízení každodenního běhu firmy.

Názor odborníka

Ing.Petr Koten ředitel úseku certifikací, Česká společnost pro jakost

Ing.Petr Koten
ředitel úseku certifikací, Česká společnost pro jakost

Častou otázkou, kterou si pokládají organizace usilující o certifikaci systému managementu bezpečnosti informací ISMS (či jiných systémů managementu) je, zda certifikovaný systém bude pro organizaci přínosem nebo neužitečnou zátěží.

Na základě našich zkušeností, z provedených certifikačních auditů ISMS, lze ve stručnosti uvést následující předpoklady pro funkční a užitečný systém ISMS: a) vrcholové vedení organizace podporuje zavádění ISMS, b) na zavádění se podílí tým pracovníků organizace znalý firemních procesů a normy ISO/IEC 27001, v případě potřeby doplněn externím poradcem c) analýza rizik je pečlivě provedená a na významná rizika je reagováno vhodnými opatřeními, d) dokumentované postupy jsou psány stručně a srozumitelně, e) pracovníci organizace jsou obeznámeni s dokumentací ISMS, f) systém ISMS podléhá pravidelné vnitřní kontrole.

 

Pokud se organizace drží výše uvedených zásad a v praxi uplatňuje relevantní požadavky normy ISO/IEC 27001, pak lze očekávat, že ISMS splní svůj účel, kterým je zajištění bezpečnosti informaci z hlediska zachování jejich důvěrnosti, integrity a dostupnosti.

Je důležité uvést, že ISMS není užitečným nástrojem pouze pro IT firmy, ale pro všechny organizace, které nakládají s důležitými informacemi.

Shrnutí

CIO manažery zajímá především efektivita procesů, které ovlivňují každodenní chod firmy, a tak v oboru IT najdeme spíše procesní než jakostní normy ISO. Dobré zvládnutí procesů uvolňuje firmě zdroje pro další rozvoj – tedy i zvyšování zisku.

Po zavedení procesu ISMS je možné jej nechat prověřit akreditovanými certifikačními autoritami a získat mezinárodně uznávané ověření jeho kvality. Certifikát ISMS slouží jako doklad pro vedení podniku, dodavatele i zákazníky o efektivním řízení informační bezpečnosti.

Zatímco knihovna ITIL umožňuje výhradně personální certifikace konzultantů v oblasti řízení služeb IT ISO 20000 nabízí možnost certifikace osob i organizací.

 I pro ISO 19770 jsou k dispozici oba typy certifikací – firemní a personální (ISO19770 SAM Auditor, ISO 19770 SAM Manažer). Nově je možné získat akreditovaný certifikát i v ČR. Zvláštností je i manažerský certifikát, určen zaměstnancům organizací, specializovaným na problematiku SAM.

Rubriky: ISO 19770-1 | Napsat komentář

ISO 19770-1, certifikace pro auditory, manažery a firmy.

V minulém článku jsme se zastavili u ISO norem v oblasti ICT obecně. Tentokrát bych chtěl podrobně představit jednoho klíčového nováčka a zároveň předzvěst nových trendů.

U procesních norem se obvykle setkáváme se dvěma typy certifikací – personální a firemní. ISO 19770-1 přináší do této oblasti průlom. V řadě středních a velkých organizací se oblasti SAM věnuje interní odborník. Ten může být nositelem certifikace ISO SAM Manažer. Pro složitější oblasti činnosti nebo přípravu organizace na certifikaci na ISO 19770 může pak využít spolupráce ISO SAM Auditora. Organizaci tato možnost primárně přináší výrazné úspory nákladů při přípravě na firemní certifikaci a údržbě procesů, sekundárně pak jistotu, že interní specialisté dosahují potřebné úrovně znalostí.

Jak probíhá implementace SAM dle ISO 19770?

Obecně se dá říci, že zavedení ISO SAM norem do každodenního provozu přinese organizaci zejména úspory nákladů a zvýšení efektivity procesů. Zvýšení úrovně kvality otevře přístup na nové trhy (náročnější zákazníci, jiný typ klientů) a stávající motivuje k větší loajalitě. Pravidelné vyhodnocování práce dodavatelů umožní vyvíjet na ně soustavný a systematický tlak – a často zajistí zvýhodnění podmínek dodávek a zkvalitnění souvisejících služeb.

Začínáme s implementací

Mimo úspěšnou certifikaci můžeme jako cíle stanovit např. konkretizace práv a povinností uživatelů počítačové sítě, centralizaci softwarové platformy apod. Cíle se budou lišit podle typu organizace, její velikosti a zaměření.

Mezi členy projektového týmu by rozhodně měli patřit zástupce vedení (nejlépe CIO) SAM manažer, účetní a personalista. Úlohou případného externího ISO SAM Auditora je maximálně projekt zkrátit a zefektivnit.

Projektový plán by měl minimálně obsahovat následující činnosti s  termíny dokončení a osobní odpovědností:

·                    konkretizace cílů a strategie SAM

·                    analýzu rizik

·                    stanovení politiky správy SAM

·                    zpracování SAM standardů

·                    implementaci a aplikace auditovacích nástrojů

·                    inventarizaci licencí softwaru

·                    průběžný monitoring a reaudity

Konkretizace cílů a strategie SAM
Jde zejména o dílčí cíle, časová vymezení, kompetence a pracovní pozice řešící danou oblast.
Jako cíle lze například stanovit:

·                    zamezení nežádoucím instalacím software

·                    centralizace softwarové platformy

·                    efektivní kontrola investic do oblasti licencí software

·                    monitoring skutečného využívání dostupných zdrojů

·                    přenesení resp. sdílení odpovědnosti

·                    trvalý monitoring nežádoucích aktivit

·                    trvalá dostupnost podrobných informací o SW/HW

Analýza rizik
Analýza rizik obsahuje rámcovou identifikaci softwarových aktiv, hrozeb a míry zranitelnosti firmy. Prostřednictvím navazujících personálních, organizačních či technických opatření je stanoven způsob řízení rizik.

Stanovení politiky správy SAM
Politika správy SAM je obvykle řešena jako úvodní, řídící část směrnice pro práci a správu ICT. Celá směrnice zahrnuje práva a povinnosti všech uživatelů firemních počítačů ve vztahu k softwaru a popis životního cyklu softwaru ve firmě (od žádosti uživatele přes testování, instalaci, až po vyřazování nepotřebných licencí). Směrnice by měla být uvedena do života formou proškolení uživatelů, konkrétních technických opatření a změn smluvních vztahů.

Zpracování SAM Standardů
SAM standardy jsou v praxi nejčastěji upravovány pomocí výše uvedené směrnice. Jsou v ní definovány postupy implementace, správy, kontroly a údržby všech procesů SAM. Obsahuje šablony dokumentů ( např. Pasporty, závěrečné zprávy, předávací protokoly atd.)

Implementace a aplikace SAM systémů
SAM systémům se obecně říká auditovací nástroje. Jejich hlavní úlohou je eliminace rutinních procesů, zajištění trvalé aktuálnosti získaných údajů v evidenci.

Ač to na první pohled není zřejmé, systémy se od sebe výrazně liší.
Je nepříjemné zjistit až v průběhu reálného zavádění do provozu, že evidence licencí neobsahuje jejich historii, že po instalaci licencí nezůstávají žádné stopy (kdo kdy instaloval) nebo že nástroj se zadýchává již při zpracování první stovky počítačů. Ještě nepříjemnější je zjištění, že ačkoliv výrobce nástroje tvrdí, že obcházení jednotlivých počítačů není nutné, na devadesáti procentech z nich dálkově nefunguje.  V neposlední řadě jde o kvalitu výstupů (informace o tom, co je kde instalováno) a o každodenní uživatelský komfort.

Vytipujte tedy alespoň 10% počítačů a nasaďte na dva týdny auditovací nástroj „nanečisto“.

Inventarizace licencí softwaru (často nejen licencí, ale všeho počítačového vybavení)
Základem inventury je zjištění, co je na kterém počítači instalováno. Auditovací nástroj za Vás porovná nalezená data s vlastní knihovnou známých programů a poskytne potřebnou statistiku. Budete se muset pouze rozhodnout, co na počítačích zůstane a co se musí odinstalovat.

Jedinou rutinní prací, se kterou Vám žádný SAM systém nepomůže, je dohledání dokladů k licencím softwaru v účetnictví a jejich spárování se skutečnými instalacemi v evidenci auditovacího nástroje.
Je třeba pečlivě zkontrolovat, zda doklady o nabytí obsahují všechny náležitosti. (informace viz zeptejtesesama.cz nebo swmpoint.cz).

Pravidelný monitoring a reaudit
Poslední fáze projektu by měla obsahovat nastavení funkčního systému přehledů a výstupů z celého procesu SAM, které k takovým úpravám poskytnou dostatečné podklady.
Norma výslovně vyžaduje:

§  čtvrtletní přehled výdajů (porovnání s rozpočtem);

§  čtvrtletní porovnání autorizovaných instalací vůči všem instalacím (zjištění rozsahu neautorizovaných instalací);

§  dvakrát za rok přehled plnění stanovených úkolů, sumář změn a vyřešení případných problémů;

§  dvakrát za rok přehled plnění smluvních dodávek spolu s návrhem prodloužení časově omezených kontraktů či licencí;

§  dvakrát za rok ověření aktuálnosti evidence hardwaru i softwaru (včetně softwarových buildů);

§  roční přehled platnosti zaškolení a certifikací odpovědných osob;

§  roční přehled o stavu plnění plánů a úkolů definovaných pro oblast SAM;

§  roční přehled o stavu požadavků uživatelů, administrátorů, managementu, výhled do budoucna;

§  roční přehled o plnění dodávek ze strany dodavatelů;

§  roční přehled o stavu fyzických a elektronických evidencí;

§  roční přehled o aktuálnosti metod vyhodnocování skutečného využívání licencí softwaru uživateli;

§  roční přehled hodnotící způsob dodržování stanovených interních pravidel.

Závěrečná certifikace
Po realizaci výše uvedených kroků lze přistoupit k certifikačnímu auditu. Ten je předepsán jako dvoufázový. V první fázi je provedena revize dokumentace, komplexnost systému s ohledem na podmínky konkrétní firmy. Ve druhé fázi je pak prováděn audit shody dokumentace s realitou.

Certifikovaní odborníci

Přítomnost odborníků může proces zavední normy i jeho údržbu výrazně usnadnit a zkrátit. Pojďme se tedy ještě na chvíli zastavit u osobních certifikací pro ISO 19770. K dispozici jsou dva typy certifikací:

ISO/IEC 19770 SAM MANAŽER řídí zavedení  ISO 19770 ve firmě, přípravu na firemní certifikaci a údržbu procesů.  Certifikace není podmíněna konkrétním dosažedným vzděláním, pouze předpokládá potřebné informační zdroje pro přípravu snadno dostupné na internetu. Zkouška je písemná.

ISO/IEC 19770 SAM Auditor je externím specialistou. Auditorská certifikace se skládá z písemné a ústní části, vyžaduje výrazně hlubší oborové znalosti a alespoň tři doložené referenční projekty zavedení SAM ve firmě.

První certifikáty byly vydány v květnu 2008.

Názor odborníka

 

„ISO 19770 je standardem, který na našem trhu posledních deset let chyběl zákazníkům i profesionálním auditorům. Doposud nebyla k dispozici profesní certifikace, která by ověřovala kvalitu a zkušenost auditora. Obsah normy odpovídá požadavkům uplatňovaným doposud, pouze klade velký důraz na dlouhodobý efekt, opakovatelnost a udržování procesů ve stavu odpovídajícím reálné skutečnosti. Příznivě to vypovídá o kvalitě práce tuzemských odborných konzultantů.

Bc. Martina Hyndráková Softwarová auditorka, B:Right Consulting, s.r.o.

Bc. Martina Hyndráková
Softwarová auditorka, B:Right Consulting, s.r.o.

Pro firmu znamená zavedení ISO 19770 účinnou ochranu proti výskytu nežádoucího softwaru a přenesení odpovědnosti za případné problémy ze statutárního zástupce firmy a CIO na ty, kteří za vzniklý problém zodpovídají ve skutečnosti.

Možnost certifikace ISO SAM Manažer dává středním a větším firmám vyřešit zavedení ISO vlastními silami. Procesy tak budou více zapadat do každodenní provozní reality a budou tak i maximálně výtěžné. Na podzim by měla být norma k dispozici i v české verzi, zpřístupní se tak i menším firmám“.

Shrnutí

Zavádění ISO standardu je projekt jako každý jiný. Je třeba stanovit jasné cíle, provést výběrové řízení, stav projektu monitorovat a reagovat na změny. Při periodických reauditech, které jsou nedílnou součástí implementace normy, lze korigovat nevyhovující části procesů a doplňovat potřebné inovace. 

Zkoušku ISO 19770 SAM Manažer může absolvovat každý IT specialista, jež má 6 měsíční praxi v oboru, se znalostmi normy ISO/IEC 19770-1 a s orientací v procesech SAM.

Rubriky: ISO 19770-1 | Napsat komentář

Softwarový audit

Co je softwarový audit?

  Softwarový audit je kontrola nabývání a užívání software ve společnosti. Je součástí činností sdružených pod pojem softwarový management, slouží jako nástroj pro zpětnou kontrolu funkčnosti zavedených pravidel. Provádí ho buď IT manager, nebo externí softwarový auditor.

Co sebou přináší nelegalita?

  Používáním nelegálního software dochází nejen k porušování Autorského zákona, ale i daňových zákonů, vybraných paragrafů Trestního zákona, Zákona o účetnictví a mnoha jiných.

  Porušování autorských práv je postihováno podle paragrafu 152 Trestního zákona, který vyžaduje konkrétní zodpovědnost. Nelze se tedy domnívat, že pokud se ve firmě najde nelegální software, bude jednoduše stíhána firma. Za jednání firmy nese zodpovědnost její statutární zástupce, typicky jednatel. Ten bude při hledání viníka tedy na řadě první. V další fázi se dostáváme ke správci IT a teprve na konci řetězce je koncový uživatel počítače, který software nainstaloval.

Ano, v mnohých případech je to opravdu nespravedlivé. Jak tomu zabránit?

  Samotný jednorázový softwarový audit k přenesení odpovědnosti na koncové uživatele nestačí. Tvrzení, že pouhým vytvořením evidenčního listu počítače přenesete odpovědnost až na koncového uživatele, jsou nepřesná. Aby byla odpovědnost skutečně přenesena, je nutné zvolit kombinovaná opatření:

  • Interní směrnice, kde je jasně definován způsob nakládání se software ve firmě (odpovědnosti, práva a povinnosti)
    důležité: zaměstnanci musí být s touto směrnicí seznámeni (potvrdí podpisem).
  • V evidenčním listu je třeba zopakovat nejdůležitější údaje ze směrnice.
  • Při auditu jste získali kompletní evidenci licencí – udržujte ji aktuální.
  • Softwarový audit doporučujeme opakovat častěji (nejlépe nepravidelně).
  • Další technická opatření – omezení aktivit uživatelů.

Čím doložit legalitu software?

  Typicky je legalita dokládána tzv. „nabývacím dokladem“. Za nabývací doklad mohou být považovány následující doklady: faktura, kupní, převodní nebo darovací smlouva a prohlášení prodejce či dodací list – pokud splňuje následující náležitosti: jasná identifikace dodavatele a odběratele, datum nabytí, specifikace produktu (název produktu, verze produktu, jazyková mutace, počet nabytých licencí). U OEM produktů rozhodně nestačí faktura s textem „Počítač …se software v celkové ceně …“. Vždy je třeba žádat na dokladech specifikaci o jaký software se jedná.

K čemu je licenční smlouva?

  Stejně jako nabývací doklad, i licenční smlouva k programu je velmi důležitým dokumentem. Originál licenční smlouvy může v případě potřeby sloužit i jako doklad o legálnosti nabytí software. Autor jejím prostřednictvím uživateli sděluje, za jakých podmínek umožňuje program používat a v jakém rozsahu. Protože se smlouvy liší i u jednotlivých verzí produktů, nestačí archivovat jednu smlouvu k jednomu typu programu (např.Windows).

Co a jak dlouho archivovat?

  Důležité je archivovat nabývací doklady a licenční smlouvy, a to po celou dobu užívání software (dle §32 Zákona o účetnictví). Ochrana práv autora trvá ještě 70 let po jeho smrti, takže rozhodně nedoporučujeme nabývací doklady skartovat spolu s ostatními účetními doklady, které už jsou ke skartaci určeny.

Rubriky: SAM | Napsat komentář

Síťový management

Síťový management je souhrn činností, týkajících se nakládání s fyzickými prvky sítě, ale také sledování potřeb uživatelů a chod samotné sítě. Díky důkladné evidenci, lze sledovat potřeby nákupu nových technologií či nutnost vylepšovat tu stávající. Management by měl být vytvořen v okamžiku propojení prvních počítačů do sítě ve společnosti. V případě, že fyzické prvky sítě nebyli evidovány, nebyl prováděn záznam chodu sítě a nebyl vytvořen síťový management, slouží k jeho vytvoření tzv. audit sítě. Audit slouží i ke kontrole stávajících stavů vybavení a chodu sítě. Pod pojmem chod sítě, je myšleno zaznamenávání zatížení sítě, její průchodnost, technické výkresy fyzické sítě, evidence uživatelů a jejich napojení do aktivních prvků atd. Doporučujeme kontrolu provádět minimálně jednou za měsíc IT managerem.
Rubriky: SAM | Napsat komentář

Softwarový management

  Softwarový management je souhrn činností, týkajících se nakládání se software. Díky důkladné evidenci, lze získat aktuální přehled o stavu software na Vaší počítačové síti a přenést zodpovědnost za protiprávní nakládání se software ve Vaší společnosti až na koncové uživatele. Management by měl být vytvořen při koupi prvního software ve společnosti. V případě, že software nebyl evidován a nebyl vytvořen softwarový management, slouží k jeho vytvoření tzv. softwarový audit. Audit představuje v první řadě důkladnou inventarizaci. Audit slouží i ke kontrole stávajících stavů software. Chvíli po jeho skončení se stav počítačové sítě začne znovu dynamicky měnit a je nutné na něj umět reagovat. Více viz softwarový audit.
Rubriky: SAM | Napsat komentář