Bomba z opóźnionym zapłonem - czyli ryzyko
Transkrypt
Bomba z opóźnionym zapłonem - czyli ryzyko
COMPAREX POLAND Bomba z opóźnionym zapłonem - czyli ryzyko rozbieżności licencyjnych Większość decydentów w przedsiębiorstwach nie zdaje sobie sprawy z ryzyka, jakie wiąże się z posiadaniem oprogramowania. Wciąż pokutuje powszechne przekonanie, że samo legalne nabycie oprogramowania bądź licencji wyczerpuje kwestię odpowiedzialności i zgodności z prawem. Przeszkodą do poprawy sytuacji jest powszechny odpływ konsultantów z firm dostarczających oprogramowanie i zastępowanie ich młodą, niedoświadczoną kadrą, która nie zawsze potrafi wskazać potencjalne ryzyko i konsekwencje płynące z faktu nabycia. Prowadzi to do przykrych konsekwencji finansowych dla przedsiębiorstwa, co wpływa na cały wynik netto firmy. Dodatkowo, ryzykiem objęte są budżety odpowiedzialnych działów IT oraz działów zakupów. Według raportu IDC wartość strat z tego tytułu w naszym kraju w roku 2013 wyniosła około 2 mld USD. Jak poważny jest to problem? Rozpatrzmy przypadek firmy z branży finansowej, która posiada prawidłowo zalicencjonowane data center (w momencie zakupu). Data center zostało utworzone w roku 2003, licencje zakupiono zgodnie z ówczesnymi wymaganiami, a w 2008 r. nastąpiła znaczna rozbudowa związana z zakupem kolejnych serwerów (powiedzmy, 30 sztuk) i włączeniem ich do puli wirtualnej, aby lepiej rozłożyć ruch. Do serwerów zostały zakupione odpowiednie licencje i przy okazji stare serwery mające prawo do aktualizacji zostały podniesione do aktualnej wersji. W roku 2013 pojawia się kontrola licencjonowania prowadzona przez Vendora... Efekty i bolesny finał Skutkiem takiej sytuacji jest kwota 813 tys. euro do uregulowania względem vendora, wynikająca z błędnego sposobu licencjonowania, przy czym zakładamy, że w analizowanym przypadku vendor nie zamierza skorzystać z przysługujących mu praw dotyczących zadośćuczynienia, które mogą podnieść tę kwotę nawet trzykrotnie. Wartość oprogramowania wykorzystywanego w firmie łatwo możemy estymować, korzystając z relacji, że koszt oprogramowania na jedną wykorzystywaną stację PC rocznie wynosi ok. 2700 zł. Na podstawie badań przeprowadzonych przez Comparex* wiemy, że średnio około 20% desktopów jest nieprawidłowo licencjonowanych, co oznacza, że ryzyko kary wynosi ok. 0,5 mln zł za każde 1000 komputerów desktopowych. W przypadku oprogramowania serwerowego oraz wirtualizacji współczynniki te wynoszą odpowiednio 42% i 98,9% wyższe (badanie na próbie 45 tys. PC-ów). Można zatem postawić tezę, że jeśli mają Państwo zwirtualizowane środowisko serwerowe, to szacowane ryzyko kar wynikające z posiadania licencji i oprogramowania stanowi co najmniej wartość ogólnej kwoty wydanej na zakup tych licencji. Maksymalna wartość przekroczeń przy niewłaściwym licencjonowaniu w skali firmy mającej 200 serwerów wirtualnych może sięgnąć kwoty 1,4 mln euro. Źródła problemu Kwestia zarządzania posiadanym majątkiem związana z oprogramowaniem nigdy w Polsce nie zaprzątała głowy członkom zarządów firm. Polityka praw licencyjnych skierowana była raczej na uprzejme napominanie, a audyty formalne (bardzo rzadko występujące) zazwyczaj kończyły się mniej lub bardziej korzystną umową dla klienta – bez przykrych konsekwencji w formie kary. Kwestia stała się aktualna dopiero w momencie zwiększenia nacisku na audyty formalne przez vendorów, którzy znaleźli w nich remedium na zmniejszone zakupy i inwestycje działów IT przedsiębiorstw w wyniku odczuwanego kryzysu gospodarczego. Odpowiedzialność Podstawowym źródłem problemów jest nieświadomość zarządów spółek, że zasady wykorzystywania oprogramowania już zakupionego podlegają każdorazowo zmianie wraz z podniesieniem jego wersji do najnowszej i nie są to zmiany mające na celu zmniejszenie kosztów jego wykorzystywania**. Złożoność problemu jest na tyle duża, że działy IT bez przydzielonych zasobów nie są w stanie samodzielnie sobie z nim poradzić. Na bazie przeprowadzonych badań wiemy, że na każde 100 komputerów przypada średnio 81 wykorzystywanych aplikacji. Dla firmy wykorzystującej 5000 PC-tów otrzymujemy 4050 rodzajów aplikacji, z czego tylko 27% to aplikacje znanych vendorów, takich jak IBM, Oracle czy Microsoft. O ile działy IT posiadają podstawową wiedzę w zakresie licencjonowania dla najważniejszych vendorów, o tyle w przypadku pozostałych aplikacji nikt nie jest w stanie tym się zająć. Odwołajmy się do liczb i skali zjawiska, z jakim mamy do czynienia: w analizowanym przypadku aplikacje znanych vendorów obejmują 1050 rodzajów, a pozostali reprezentanci stanowią około 3000 pozycji (mówimy tylko o podstawowej wiedzy, która nie wystarcza do bezpiecznego zarządzania choćby środowiskami zwirtualizowanymi). Oddzielną kategorię problemów obejmuje zróżnicowanie praw licencyjnych w zależności od sposobu ich wykorzystywania oraz od kategorii właściciela. Najpowszechniejsze programy do kompresji danych są darmowe dla zastosowań prywatnych, ale płatne dla komercyjnych. Zachęcam Państwa do przeprowadzenia podobnej analizy w swojej firmie. Rozwiązania problemu Skutki audytów formalnych mają zawsze negatywne konsekwencje finansowe dla spółki i personalne dla pracowników odpowiedzialnych za wieloletnie zaniedbania, nie wykluczając członków zarządu. Przedstawiciele zarządu odpowiadają za niedociągnięcia własnym majątkiem oraz nadszarpniętą opinią biznesową, a także utratą prestiżu. Warto przypomnieć przypadek znanej spółki, która musiała zrezygnować z wejścia na giełdę ze względu na umieszczenie w projekcie prospektu emisyjnego informacji o ryzyku związanym z posiadanym nielegalnym oprogramowaniem. Oto rozwiązania problemu: • Własny dział zarządzania oprogramowaniem. Przykład firmy z czołówki światowych producentów maszyn i urządzeń stosowanych w górnictwie podziemnym, która stworzyła od podstaw dział zarządzania oprogramowaniem, delegując do niego trzech pracowników, którzy w ciągu roku uporali się z zadaniem uporządkowania praw do posiadanych i wykorzystywanych zasobów. Oczywiście, nie kończy to wykonywania przez nich tego typu pracy. Teraz ich zadaniem jest nadzór nad oprogramowaniem, kontrola i szukanie oszczędności wynikających z mnogości posiadanych zasobów. • Zaproszenie do współpracy firm zajmujących się bilansem licencji w celu wsparcia działu IT i działu zakupów w procesie uporządkowania zastanej sytuacji i wprowadzenia polityk oraz zasad zarządzania oprogramowaniem. • Zakup serwisu firmy prowadzącej outsourcing zarządzania licencjami w przedsiębiorstwie. Co jest dla mnie najlepsze… Nawet pobieżna analiza wskazanych rozwiązań wykazuje, że rozwiązanie drugie nie zwalnia nas od ryzyka, bowiem bilans utworzony jest na określoną datę, zazwyczaj od miesiąca do sześciu miesięcy wstecz, pozostawiając nas bez możliwości stałego monitoringu sytuacji. Rozwiązania pierwsze i trzecie są zdecydowanie lepsze, chociaż powodują stały koszt, który należy uzasadnić biznesowo. W przypadku pierwszym dla organizacji mającej 1500 desktopów to koszt ok. 60 tys. euro rocznie, a w przy trzecim rozwiązaniu 17,5 tys. euro. Oszacujmy teraz na bazie dostępnych badań ryzyko braku zarządzania oprogramowaniem: 20% PC-tów z 1500 (300 jednostek) razy średnia wartość oprogramowania 2700 zł to 810 tys. zł. Jeśli uwzględnimy dodatkowe błędy w środowisku serwerowym i zwirtualizowanym, okazuje się, że inwestycja w zarządzanie oprogramowaniem w każdym przypadku jest opłacalna. * Kwoty wskazane w artykule pochodzą z badań własnych COMPAREX Poland. **Przypadek Ministerstwa Gospodarki – przetarg na zakup pakietu legalizującego GGWA – Get Genuine Windows Agreement. http://tech.wp.pl/kat,1009779,title,Setki-pirackich-Windowsow-w-Ministerstwie-Gospodarki,wid,14755860,wiadomosc.html?ticaid=112297 COMPAREX Poland Sp. z o.o. ul. Równoległa 2 02-235 Warszawa tel.: +48 22 578 19 00 fax: +48 22 578 19 30 e-mail: [email protected] web: www.comparex.pl