A tavaszi a CIO Hungaryn mintegy 90 nagyvállalati vezető körében készített egy gyors felmérést az IPR-Insights License Consulting két szakértője. A felmérés tanulságait a cég kereskedelmi igazgatója, Berecz Zoltán foglalta össze.
Az elmúlt évek kétségtelenül erősödő trendje mind a nemzetközi, mind a hazai szoftverpiacon, hogy a nagyobb szoftvergyártók (Microsoft, Oracle, SAP, IBM, Adobe stb.) auditjogukkal élve szoftverfelhasználási-felmérést végeznek ügyfeleiknél, amelyek célja a licencelt és a valós felhasználás közötti eltérések feltárása és az esetlegesen elmaradt díjak kifizettetése az ügyféllel. Sokakban merülhet fel: nem lehetne ezt valahogy megúszni? A rossz hír az, hogy nem. A jó hír azonban az, hogy fel lehet rá készülni, ami kifizetődő is. Az alábbiakban öt tippet adunk arra, hogy hogyan.
1. Számíts rá, hogy megtörténik
Mivel az utóbbi időben egyre több gyártói auditban veszünk részt független szakértőként, szeretnénk az itt szerzett tapasztalatainkat most az Olvasóval is megosztani, melyhez a tavasszal megrendezett CIO Hungary 2014 konferencián készített felmérésünk eredményeit is felhasználjuk. A felmérés statisztikailag persze nem reprezentatív, hiszen a konferencián megjelenő informatikai és gazdasági döntéshozók körében végeztük. A vezetők gyártói audittal kapcsolatos tapasztalatait azonban így is szépen mutatja.
A felmérés elején a válaszadókat általános meglátásaikról, tapasztalataikról kérdeztük. Majd egy ponton azon vállalatok döntéshozóinál, ahol három éven belül előfordult gyártói audit, a számukra legfontosabbnak tartott audit konkrét, gyakorlati tapasztalatairól érdeklődtünk (feltételezve, hogy esetleg több is volt). Míg azon vállalatok döntéshozóit, ahol három éven belül nem fordult elő gyártói audit arról faggattuk, hogy nem jelezte-e valamely gyártó audit indítására vonatkozó szándékát az elmúlt időszakban.
Sajnos elég nyilvánvaló, hogy az auditokat teljesen megúszni nem lehet. Lehet azonban tenni azért, hogy minél tovább elkerüljön minket az ilyesmi, és ha mégis megtalál, a lehető legolcsóbban ússzuk meg. Ezért az első és legfontosabb tanácsunk az, hogy proaktívan mérlegeljük a saját kockázatainkat, és annak megfelelően reagáljunk.
Az alábbi ábra igen beszédesen mutatja meg, hogy a 3000 számítógépnél többet üzemeltető vállalatoknál már számítanak az auditokra, ami nyilván nem meglepő annak fényében, hogy nagyjából ugyanebben az arányban valósultak meg auditok az elmúlt 3 évben ebben a szegmensben. Ugyanakkor az is látszik, hogy az 1000-2999 szegmensben a döntéshozók erősen alábecsülik a kockázatot, az ennél kisebb vállalatok pedig kissé túlbecsülik, bár a valós kockázat sem kicsi: a 100 számítógépnél többet üzemeltető vállalatok kb. negyedét auditálta legalább egy gyártó az elmúlt három évben.
Bármekkorára is becsüljük kockázatainkat, nem árt azt sem pontosan látni, hogy honnan várhatjuk a fenyegetést. Ezt természetesen minden vállalatnak egyedileg kell mérlegelnie, a saját szoftverfelhasználási szokásainak függvényében – feltéve, hogy megfelelően is ismeri saját szokásait. Mindamellett érdemes az általános piaci trendeket is figyelembe venni, és esetleg a percepcióinkkal is leszámolni, amihez segítséget nyújthat az alábbi grafikon.
Végül joggal kérdezhetjük azt is, hogy vajon hogyan is kerül fel vállalatunk arra a bizonyos listára. Az a tapasztalatunk, hogy a gyártók folyamatosan figyelik a piaci történéseket, ezért gyorsan reagálnak például a nagy növekedésre, a cégstruktúrában bekövetkező változásokra (cégfelvásárlás, összeolvadás stb.). Ez jól látszik abból is, hogy a megkérdezettek is jelentős okoknak tartják ezeket egy audit megtörténtére. Mindemellett a megkérdezettek az egyik legjelentősebb oknak a lejárt licencszerződést tartják. Saját tapasztalatunk szerint azonban itt nincs egyértelmű ok-okozati összefüggés. Az, hogy a lejárt licencszerződés okot ad-e egy audit elindítására, nagymértékben függ az adott licencszerződés típusától (örökös licenc vagy előfizetés, támogatással vagy anélkül stb.)
Attól óva intenénk mindenkit, hogy azt gondolja, egy-egy érvényes licencszerződés keretében "eleget fizet" egy adott gyártónak ahhoz, hogy elkerülje a vizsgálatot, és ne kelljen tisztába kerülnie a vállalata szoftverfelhasználásának valós mértékeivel. A gyártók legkomolyabb "fogásaikat" az ilyen szemléletű vállalatoknál ejtik, hiszen a vállalat által megvásárolt licencek adataiból remekül ki lehet „bányászni” a licenceléssel összefüggő esetleges belső anomáliákat, eltéréseket.
2. Készülj fel
Ha számítunk rá, hogy egy adott gyártó előbb-utóbb auditálja vállalatunkat, akkor ideje elkezdeni a felkészülést. Nem csak azért, mert így egy audit során kisebb lesz a kiszolgáltatottságunk, de érdekes módon az audit valószínűségét is csökkentheti. Ahogy fent is írtuk, a gyártók tapasztalatunk szerint árgus szemmel figyelik a piacot, és valószínűleg kevesebb kedvet éreznek olyan vállalatok vizsgálatára, akikről az a hír járja, hogy kiemelt figyelmet fordítanak a megfelelő szoftvergazdálkodásra, hiszen ez nyilvánvalóan kisebb "eredménnyel" kecsegtet.
A felkészülés feladata első látásra egyszerűnek tűnik: meg kell nézni, hogy mit használunk, és össze kell hasonlítani azzal, hogy mit vettünk. Ugyanakkor biztos vagyok benne, hogy azok között a szakemberek között, akik akár csak egy nagyobb gyártó termékeivel megpróbálták ezt megtenni, egyet sem találnák, aki ezt tényleg ilyen egyszerűnek tartaná. A szoftvervilág komplexitása, a gyorsan fejlődő technológiák ezen a téren is komoly kihívás elé állítják a szakembereket.
Felmérésünkben rákérdeztünk a legnagyobb szoftvergazdálkodási kihívásokat jelentő tényezőkre is. A válaszok összesítése alapján a legtöbb szoftvergazdálkodási kihívást fontossági sorrendben a BYOD trend terjedése, a sokféle szoftver kezelése és a szervervirtualizáció jelenti a vállalatoknak.
De akkor mégis, hogyan készüljön fel a vállalat az auditra? Valójában a szoftvergazdálkodás mint IT-szolgáltatás „építőkövei” sem különböznek más IT-szolgáltatásokétól. Biztos, hogy szükség van megfelelő nyilvántartó eszközre, amely képes ennek a komplex környezetnek a figyelembevételével megmérni a használatot, valamint képes ezt összevetni a megvásárolt licencekkel. Nem szabad elfelejtkeznünk azonban arról, hogy semmilyen rendszer nem lesz képes használható és pontos adatokat előállítani képzett szakemberek és a munkájukat támogató, megfelelően kialakított folyamatok nélkül.
3. Kérj segítséget
A szoftvergazdálkodásban is vannak feladatok, amelyekre a vállalaton belül fel lehet és fel is kell készülni. Bőven vannak azonban olyanok is, amelyekre nem gazdaságos vagy egyszerűen nem is lehet vállalaton belüli erőforrást használni. Ezekhez a feladatokhoz érdemes inkább egy a területre specializálódott tanácsadót alkalmazni, aki éppen a széleskörű iparági tapasztalataival tudja segíteni a felkészülést vagy akár a gyártóval folytatott tárgyalásokat is.
A felmérés válaszadóink is hasonlóan gondolkodtak, közel 80 százalékuk ugyanis igénybe vett valamilyen külső segítséget (licencelésit, technikait vagy mindkettőt) az auditra történő felkészüléshez.
A gyártói tárgyalásokhoz viszont a válaszadók több mint 60 százaléka semmilyen segítséget nem vett igénybe, ami azért meglepő, mert a felkészüléshez nyújtott segítséghez képest ez valószínűleg már nem túl nagy többletköltséget jelentett volna, viszont az iparági tapasztalat, a máshol, más auditokban megszerzett információk itt akár pénzben kifejezve is nagyon hasznosak lehettek volna.
4. Zárd rövidre
Ha valóban megfelelően felkészültünk; és a használat, illetve a kifizetett licencek közti eltérést már az előtt kezeltük, mielőtt a gyártó megérkezett, akkor mindkét fél érdeke az, hogy minél előbb szabaduljanak egymástól. Saját gyakorlatunk alapján úgy látom: átlagosan egy hónap kell egy adott gyártó termékeinek felmérésére és a kiértékelésre. Ha ehhez hozzáadjuk az esetleges tárgyalási szakaszt is (feltéve ugye, ha egyáltalán van miről tárgyalni), akkor se kell, hogy a folyamat három hónapnál tovább tartson.
Ez azonban már csak elmélet, mert a valóságban – a felkészülés hiánya miatt – az esetek 70 százalékában mégis tovább tart, és ami különösen ijesztő, hogy az esetek felénél 6-12 hónapig, sőt akár még tovább elhúzódik a folyamat.
A felkészülés azért rövidíti le a procedúrát, mert már az audit előtt "rendet tettünk" a területen, vannak felhasználási adataink, tudjuk, kik felelnek azért, hogy azok naprakészek legyenek. Így gyorsan, minimális extra erőforrásigénnyel tudunk adatokat szolgáltatni. Nincs váratlan hiány (vagy csak nagyon kicsi), így a sokszor parttalan huzakodás is elmarad aq gyártóval.
5. Költs a lehető legkevesebbet
Ha valóban van licenchiányunk, akkor költenünk előbb-utóbb mindenképpen kell. De egyáltalán nem mindegy, hogy mikor, mennyit és milyen módon. A proaktív megközelítés itt majdnem szó szerint aranyat érhet. Először is, ha elébe megyünk a problémának, és még a gyártó felmérése előtt tisztába kerülünk saját felhasználásunk mértékével, akkor ezt saját hatáskörünkben optimalizálhatjuk is. Tanácsadói gyakorlatunkban nem ritka, hogy az eredetileg felmért licencigény teljes költségének akár harmadára is sikerül levinni a valós költségeket. Tehát nem éri meg megvárni, amíg az első felmérést a gyártó végzi el a vállalatnál, mert optimalizálásra akkor és ott már nem lesz lehetőség: ha hiány van, fizetni kell. Arról sem szabad megfeledkezni, hogy ha mi keresük meg a gyártót a megfelelő lélektani pillanatban vásárlási szándékunkkal, garantáltan kedvezőbb feltételeket alkudhatunk ki, mint ha egy audit miatt, szorult helyzetben kell az árról alkudozni. Ráadásul megúszhatjuk a gyártónként változó, de annál változatosabb "büntető" tételeket is.
Mindent összevetve a proaktív megközelítés összes költsége (belső erőforrások, külső segítség, felmérő eszközök stb.) a töredéke annak, amit egy nem felkészült vállalat kénytelen az audit kapcsán – sokszor feleslegesen – kifizetni egy-egy szoftvergyártónak.
Felmérésünk azt mutatja, hogy míg a döntéshozók a vállalat számára legfontosabb gyártó feltételezett auditja esetén 55 százalékban számítanak hiányokra, a valóságban a gyártók a megtörtént auditok 74 százalékánál találtak kisebb-nagyobb eltéréseket. Ráadásul a visszajelzések alapján a megkérdezettek közel 30 százalékánál került sor olyan hiányok megállapításra, amelyeket az auditált szervezett nem érzett jogosnak.
Éppen ezért a gyártói auditokkal kapcsolatban többé már nem az az igazi kérdés, hogy fel kell-e készülni rájuk, hanem inkább az, hogy a vállalat milyen erőforrásokat vessen be, hogy hatékonyan oldja meg az auditokra történő felkészülést.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak