Bomba z opóźnionym zapłonem - czyli ryzyko

COMPAREX POLAND
Bomba z opóźnionym zapłonem
- czyli ryzyko rozbieżności licencyjnych
Większość decydentów w przedsiębiorstwach nie zdaje sobie sprawy z ryzyka, jakie wiąże się z posiadaniem oprogramowania. Wciąż pokutuje powszechne przekonanie, że samo legalne nabycie
oprogramowania bądź licencji wyczerpuje kwestię odpowiedzialności i zgodności z prawem.
Przeszkodą do poprawy sytuacji jest powszechny odpływ konsultantów z firm dostarczających
oprogramowanie i zastępowanie ich młodą, niedoświadczoną kadrą, która nie zawsze potrafi
wskazać potencjalne ryzyko i konsekwencje płynące z faktu nabycia. Prowadzi to do przykrych
konsekwencji finansowych dla przedsiębiorstwa, co wpływa na cały wynik netto firmy. Dodatkowo, ryzykiem objęte są budżety odpowiedzialnych działów IT oraz działów zakupów. Według
raportu IDC wartość strat z tego tytułu w naszym kraju w roku 2013 wyniosła około 2 mld USD.
Jak poważny jest to problem?
Rozpatrzmy przypadek firmy z branży finansowej, która posiada prawidłowo zalicencjonowane
data center (w momencie zakupu). Data center zostało utworzone w roku 2003, licencje zakupiono zgodnie z ówczesnymi wymaganiami, a w 2008 r. nastąpiła znaczna rozbudowa związana
z zakupem kolejnych serwerów (powiedzmy, 30 sztuk) i włączeniem ich do puli wirtualnej, aby
lepiej rozłożyć ruch. Do serwerów zostały zakupione odpowiednie licencje i przy okazji stare serwery mające prawo do aktualizacji zostały podniesione do aktualnej wersji. W roku 2013 pojawia
się kontrola licencjonowania prowadzona przez Vendora...
Efekty i bolesny finał
Skutkiem takiej sytuacji jest kwota 813 tys. euro do uregulowania względem vendora, wynikająca z błędnego sposobu licencjonowania, przy czym zakładamy, że w analizowanym przypadku
vendor nie zamierza skorzystać z przysługujących mu praw dotyczących zadośćuczynienia, które
mogą podnieść tę kwotę nawet trzykrotnie.
Wartość oprogramowania wykorzystywanego w firmie łatwo możemy estymować, korzystając z relacji, że koszt oprogramowania na jedną wykorzystywaną stację PC rocznie wynosi
ok. 2700 zł. Na podstawie badań przeprowadzonych przez Comparex* wiemy, że średnio około 20% desktopów jest nieprawidłowo licencjonowanych, co oznacza, że ryzyko kary wynosi
ok. 0,5 mln zł za każde 1000 komputerów desktopowych. W przypadku oprogramowania serwerowego oraz wirtualizacji współczynniki te wynoszą odpowiednio 42% i 98,9% wyższe (badanie
na próbie 45 tys. PC-ów). Można zatem postawić tezę, że jeśli mają Państwo zwirtualizowane środowisko serwerowe, to szacowane ryzyko kar wynikające z posiadania licencji i oprogramowania
stanowi co najmniej wartość ogólnej kwoty wydanej na zakup tych licencji. Maksymalna wartość
przekroczeń przy niewłaściwym licencjonowaniu w skali firmy mającej 200 serwerów wirtualnych
może sięgnąć kwoty 1,4 mln euro.
Źródła problemu
Kwestia zarządzania posiadanym majątkiem związana z oprogramowaniem nigdy w Polsce nie
zaprzątała głowy członkom zarządów firm. Polityka praw licencyjnych skierowana była raczej
na uprzejme napominanie, a audyty formalne (bardzo rzadko występujące) zazwyczaj kończyły
się mniej lub bardziej korzystną umową dla klienta – bez przykrych konsekwencji w formie kary.
Kwestia stała się aktualna dopiero w momencie zwiększenia nacisku na audyty formalne przez
vendorów, którzy znaleźli w nich remedium na zmniejszone zakupy i inwestycje działów IT przedsiębiorstw w wyniku odczuwanego kryzysu gospodarczego.
Odpowiedzialność
Podstawowym źródłem problemów jest nieświadomość zarządów spółek, że zasady wykorzystywania oprogramowania już zakupionego podlegają każdorazowo zmianie wraz z podniesieniem
jego wersji do najnowszej i nie są to zmiany mające na celu zmniejszenie kosztów jego wykorzystywania**.
Złożoność problemu jest na tyle duża, że działy IT bez przydzielonych zasobów nie są w stanie
samodzielnie sobie z nim poradzić. Na bazie przeprowadzonych badań wiemy, że na każde 100
komputerów przypada średnio 81 wykorzystywanych aplikacji. Dla firmy wykorzystującej 5000
PC-tów otrzymujemy 4050 rodzajów aplikacji, z czego tylko 27% to aplikacje znanych vendorów,
takich jak IBM, Oracle czy Microsoft. O ile działy IT posiadają podstawową wiedzę w zakresie licencjonowania dla najważniejszych vendorów, o tyle w przypadku pozostałych aplikacji nikt nie
jest w stanie tym się zająć. Odwołajmy się do liczb i skali zjawiska, z jakim mamy do czynienia:
w analizowanym przypadku aplikacje znanych vendorów obejmują 1050 rodzajów, a pozostali
reprezentanci stanowią około 3000 pozycji (mówimy tylko o podstawowej wiedzy, która nie wystarcza do bezpiecznego zarządzania choćby środowiskami zwirtualizowanymi).
Oddzielną kategorię problemów obejmuje zróżnicowanie praw licencyjnych w zależności
od sposobu ich wykorzystywania oraz od kategorii właściciela. Najpowszechniejsze programy
do kompresji danych są darmowe dla zastosowań prywatnych, ale płatne dla komercyjnych.
Zachęcam Państwa do przeprowadzenia podobnej analizy w swojej firmie.
Rozwiązania problemu
Skutki audytów formalnych mają zawsze negatywne konsekwencje finansowe dla spółki i personalne dla pracowników odpowiedzialnych za wieloletnie zaniedbania, nie wykluczając członków
zarządu. Przedstawiciele zarządu odpowiadają za niedociągnięcia własnym majątkiem oraz nadszarpniętą opinią biznesową, a także utratą prestiżu. Warto przypomnieć przypadek znanej spółki,
która musiała zrezygnować z wejścia na giełdę ze względu na umieszczenie w projekcie prospektu
emisyjnego informacji o ryzyku związanym z posiadanym nielegalnym oprogramowaniem.
Oto rozwiązania problemu:
• Własny dział zarządzania oprogramowaniem. Przykład firmy z czołówki światowych producentów maszyn i urządzeń stosowanych w górnictwie podziemnym, która stworzyła od
podstaw dział zarządzania oprogramowaniem, delegując do niego trzech pracowników,
którzy w ciągu roku uporali się z zadaniem uporządkowania praw do posiadanych i wykorzystywanych zasobów. Oczywiście, nie kończy to wykonywania przez nich tego typu pracy.
Teraz ich zadaniem jest nadzór nad oprogramowaniem, kontrola i szukanie oszczędności
wynikających z mnogości posiadanych zasobów.
• Zaproszenie do współpracy firm zajmujących się bilansem licencji w celu wsparcia działu IT
i działu zakupów w procesie uporządkowania zastanej sytuacji i wprowadzenia polityk oraz
zasad zarządzania oprogramowaniem.
• Zakup serwisu firmy prowadzącej outsourcing zarządzania licencjami w przedsiębiorstwie.
Co jest dla mnie najlepsze…
Nawet pobieżna analiza wskazanych rozwiązań wykazuje, że rozwiązanie drugie nie zwalnia nas
od ryzyka, bowiem bilans utworzony jest na określoną datę, zazwyczaj od miesiąca do sześciu
miesięcy wstecz, pozostawiając nas bez możliwości stałego monitoringu sytuacji.
Rozwiązania pierwsze i trzecie są zdecydowanie lepsze, chociaż powodują stały koszt, który
należy uzasadnić biznesowo. W przypadku pierwszym dla organizacji mającej 1500 desktopów to
koszt ok. 60 tys. euro rocznie, a w przy trzecim rozwiązaniu 17,5 tys. euro.
Oszacujmy teraz na bazie dostępnych badań ryzyko braku zarządzania oprogramowaniem:
20% PC-tów z 1500 (300 jednostek) razy średnia wartość oprogramowania 2700 zł to 810 tys. zł.
Jeśli uwzględnimy dodatkowe błędy w środowisku serwerowym i zwirtualizowanym, okazuje się,
że inwestycja w zarządzanie oprogramowaniem w każdym przypadku jest opłacalna.
* Kwoty wskazane w artykule pochodzą z badań własnych COMPAREX Poland.
**Przypadek Ministerstwa Gospodarki – przetarg na zakup pakietu legalizującego
GGWA – Get Genuine Windows Agreement.
http://tech.wp.pl/kat,1009779,title,Setki-pirackich-Windowsow-w-Ministerstwie-Gospodarki,wid,14755860,wiadomosc.html?ticaid=112297
COMPAREX Poland Sp. z o.o.
ul. Równoległa 2
02-235 Warszawa
tel.: +48 22 578 19 00
fax: +48 22 578 19 30
e-mail: [email protected]
web: www.comparex.pl