Legalność oprogramowania

Dlaczego legalność oprogramowania to nie jedyny aspekt zarządzania oprogramowaniem w organizacji ?

     Brak należytego zarządzania oprogramowaniem/licencjami w organizacji niesie ze sobą pewne ryzyka, które w efekcie mogą doprowadzić do strat finansowych i wizerunkowych przedsiębiorstwa. Ryzyka te związane są z następującymi zagadnieniami:

  1. Legalnością oprogramowania - korzystanie z oprogramowania, do którego organizacja nie zakupiła licencji związane jest z odpowiedzialnością karną. Wykorzystywanie nielegalnego oprogramowania grozi poważnymi konsekwencjami, takimi jak konfiskata komputerów, wysoka grzywna, a nawet pozbawienie wolności do 5 lat.
  2. Bezpieczeństwem zasobów organizacji -  nieautoryzowane oprogramowanie może spowodować naruszenie poufności i integralności danych oraz ich całkowitą utratę. Użytkownik może korzystać z darmowego oprogramowania i nie naruszać zasad licencyjnych. Ale takie oprogramowanie może być źródłem wycieku informacji, ponieważ oprócz oferowanych funkcjonalności może ono w sposób niekontrolowany udostępniać pliki i katalogi użytkownika innym nieupoważnionym użytkownikom w internetcie (przykładowy scenariusz).
  3. Racjonalnym gospodarowaniem - wykorzystywane oprogramowanie w tym ilość posiadanych licencji związane są z kosztami /nakładami inwestycyjnymi. Rodzaj oprogramowania oraz ilość licencji powinna być ściśle powiązana z faktycznymi potrzebami organizacji oraz planem informatyzacji przedsiębiorstwa. Następstwem braku prawidłowego zarządzania oprogramowaniem, mogą być nieracjonalne i nieprzemyślane zakupy, a tym samym niegospodarność.

Na zarządzanie w tych trzech obszarach należy spojrzeć kompleksowo, ponieważ wydawanie pieniędzy na działania częściowe jest nieefektywne.

     Jest wiele firm, które specjalizują się w audytach legalności oprogramowania, ale warto się zastanowić, czy faktycznie audyt, który w wielu przypadkach jest przede wszystkim inwentaryzacją oprogramowania, jest wystarczającym rozwiązaniem. Z całym przekonaniem twierdzimy, że to rozwiązanie częściowe i mało skuteczne, ponieważ już dzień po wyjeździe firmy audytującej stan oprogramowania może być inny niż w raporcie.

Należy wdrożyć odpowiednie procedury, które będą ściśle powiązane z Polityką Bezpieczeństwa Informacji i Planem Informatyzacji przedsiębiorstwa oraz system, który kontroluje stan oprogramowania na wszystkich komputerach. Tylko takie podejście pozwoli na skuteczne zmniejszenie lub wyeliminowanie ryzyk w wymienionych powyżej trzech obszarach.

W ramach wdrożenia procedur zarządzania oprogramowaniem powinna być wykonana wnikliwa inwentaryzacja posiadanego oprogramowania, w zakresie wykorzystywanych systemów operacyjnych, aplikacji, baz danych, programów antywirusowych i innych. Analizie należy też poddać zainstalowane oprogramowanie darmowe - niewymagające zakupu licencji. W wyniku analizy powinniśmy uzyskać odpowiedzi na następujące pytania: czy faktycznie niewymagany jest zakup licencji, czy można je wykorzystywać do celów komercyjnych bez zakupu licencji , czy można je zaliczyć to oprogramowania zaufanego?

Wskazane jest, aby oprogramowanie, które w sposób ciągły monitoruje zasoby komputerowe, oprócz funkcji monitorujących i inwentaryzacyjnych, posiadało również inne właściwości wspomagające administratorów w utrzymaniu odpowiedniego poziomu bezpieczeństwa zasobów. Jedną z takich funkcjonalności jest możliwość blokowania portów usb i udostępniania ich wyłącznie uprawnionym użytkownikom posiadających autoryzowane nośniki.

     Naszym zdaniem priorytetem w zarządzaniu oprogramowaniem powinno być bezpieczeństwo przedsiębiorstwa, ponieważ w tym obszarze występuje najwięcej zagrożeń i wymaga ono więcej pracy i zaangażowania od ABI i ASI. Znacznie łatwiej jest uporządkować kwestię legalności i racjonalnego gospodarowania oprogramowaniem, które to cele można osiągnąć niemal przy okazji.

Zatem podsumowując powyższe wskazówki, aby właściwie zarządzać oprogramowaniem w przedsiębiorstwie, należy w sposób skoordynowany przedsięwziąć następujące działa:

- określić i wdrożyć zasady dostępu i korzystania z zasobów IT, zgodnie z którymi administratorzy nadają użytkownikom uprawnienia adekwatne do ich funkcji w strukturze organizacyjnej, ograniczające możliwość instalacji nieautoryzowanego oprogramowania. Zasady te powinny być odzwierciedlone w instrukcjach użytkowania sprzętu komputerowego i oprogramowania oraz być spójne z Polityką Bezpieczeństwa Informacji.

- wdrożyć odpowiednie zabezpieczenia techniczne na poziomie sieci, komputerów stacjonarnych, urządzeń mobilnych oraz nośników przenośnych.

- dokonać inwentaryzacji zasobów oraz wdrożyć procedury i narzędzia umożliwiające ciągły monitoring stanu zainstalowanego oprogramowania/licencji.

- przyjąć odpowiedną strategię i Plan Informatyzacji organizacji, zgodnie z którymi będą dokonywane zakupy licencji oprogramowania, dobrze zarządzać realizacją planu i jego zmianami.


Jeśli potrzebujesz porad w zakresie zarządzania oprogramowaniem, zapraszamy do kontaktu z naszymi konsultantami.