Niełatwe komputerów liczenie

Podstawą do efektywnego zarządzania zasobami informatycznymi jest wiedza o tym, jakie stacje robocze, serwery, systemy operacyjne i aplikacje pracują w firmie. Dokładna ich inwentaryzacja, a także monitorowanie ich stanu nie są jednak łatwe. Dlatego istotne jest wdrożenie odpowiednich procedur, które pozwolą działom informatyki na bieżące monitorowanie aktualnego stanu zasobów wykorzystywanych w przedsiębiorstwie.

Podstawą do efektywnego zarządzania zasobami informatycznymi jest wiedza o tym, jakie stacje robocze, serwery, systemy operacyjne i aplikacje pracują w firmie. Dokładna ich inwentaryzacja, a także monitorowanie ich stanu nie są jednak łatwe. Dlatego istotne jest wdrożenie odpowiednich procedur, które pozwolą działom informatyki na bieżące monitorowanie aktualnego stanu zasobów wykorzystywanych w przedsiębiorstwie.

W ciągu ostatnich dwóch lat audyt zasobów informatycznych nabrał dodatkowego kolorytu. W tym czasie zintensyfikowały działania instytucje egzekwujące przestrzeganie prawa autorskiego zarówno w dużych, jak małych i średnich firmach. W Polsce nie ma tradycji przestrzegania legalności oprogramowania. Przestrzeganiu przepisów prawa nie sprzyja ich nieznajomość przez użytkowników komputerów, którym wydaje się, że skopiowanie "atrakcyjnego" programu z komputera obok nie jest niczym zdrożnym.

Wszystkie instytucje egzekwujące przestrzeganie praw autorskich kierują się zasadą, że nieznajomość prawa nie zwalnia od odpowiedzialności. Oznacza to, iż nieświadomy użytkownik kopiujący nielegalnie oprogramowanie może być ukarany niezależnie od intencji. Jednak to nie wszystko. Na tej samej zasadzie odpowiadają kierownik, dyrektor czy zarząd firmy.

Dążenie do porządku

Kluczem do usunięcia zagrożeń przez organy ścigania przestępstw jest zapanowanie nad zasobami informatycznymi firmy. Konieczne jest wprowadzenie odpowiednich procedur zakupu, instalacji oraz korzystania z oprogramowania i przekazywania licencji. Zanim jednak to się stanie, konieczne jest dokładne rozpoznanie sytuacji wyjściowej, czyli przeprowadzenie szczegółowej inwentaryzacji sprzętu i oprogramowania. Aby operację tę wykonać szybko, sprawnie i dokładnie, najlepiej użyć metody, którą posługują się instytucje BSA i SIIA (poprzednio SPA) do przeprowadzenia audytu.

Można się zastanawiać, czy wystarczające do stwierdzenia, jakie komputery i oprogramowanie pracują w firmie, jest bazowanie na ewidencji środków trwałych, którą dysponuje każdy dział księgowości, przeprowadzenie "spisu z natury" lub korzystanie z wyników ostatniej inwentaryzacji.

Niestety, żaden z tych sposobów nie jest wystarczający. Nawet często powtarzany "spis z natury" nie zagwarantuje, że posiadane informacje wiernie obrazują rzeczywiste zasoby informatyczne. Dane o stanowiskach komputerowych szybko się dezaktualizują. Ponadto podczas standardowej inwentaryzacji zazwyczaj nie uwzględnia się takich parametrów, jak rodzaj i szybkość procesora, wielkość pamięci i dysków, wersje BIOS itp.

Problematyczne jest także śledzenie zmian wraz ze wzrostem liczby komputerów i liczby zarejestrowanych szczegółów. Ręczne monitorowanie zmian w konfiguracji może być problemem nie do rozwiązania w firmie, mającej tylko kilkadziesiąt komputerów. Lepszym rozwiązaniem jest skorzystanie z narzędzi audytorskich, które służą do szybkiej inwentaryzacji komputerów i zainstalowanych na nich aplikacji.

Samemu czy z pomocą

Wielu informatykom zatrudnionym w działach informatyki dużych firm wydaje się, że audyt sprzętu i oprogramowania najlepiej jest przeprowadzić samodzielnie, zwłaszcza że za audyt zlecony zewnętrznej firmie trzeba zapłacić 150-300 zł za każdy sprawdzony komputer (w zależności od liczby komputerów, ilości i szczegółowości zbieranych danych).

Jest to jednak myślenie błędne. Jeśli nawet firma zakupi odpowiednie oprogramowanie umożliwiające automatyczne rozpoznanie konfiguracji komputera oraz zainstalowanych na nim aplikacji (identyfikacja dokonywana jest na podstawie plików i kombinacji plików przechowywanych na dysku twardym), to i tak będzie miała trudności ze zidentyfikowaniem polskich wersji programów. Na rynku nie ma bowiem żadnego, aktualizowanego przez Internet pakietu, który zawierałby w bazie definicji polskie wersje oprogramowania. Oczywiście, tego rodzaju definicje znajdują się w posiadaniu firm oferujących audyt na polskim rynku, ale są udostępniane jedynie ich klientom.

Istnieją również inne argumenty przemawiające za wynajęciem profesjonalnej firmy audytorskiej. Autoryzacje, zasoby i doświadczenie takiej firmy są gwarancją, że uzyskane wyniki będą zgodne z rzeczywistością, a sformułowane sugestie i wnioski będą optymalne. Zapewniony będzie także czas trwania projektu (czasami nawet kilkakrotnie krótszy niż w przypadku wykorzystania własnych zasobów). Nie bez znaczenia pozostaje również to, że badanie wykonują osoby obce, a więc jest niemożliwe "przymykanie oka" na pewne nieścisłości lub wręcz ukrywanie faktów.

Dodatkowym utrudnieniem w przypadku samodzielnego wykonywania audytu jest niewielka liczba lub wręcz brak gotowych opracowań i poradników, zawierających aspekty praktyczne i formalne dotyczące audytu, legalności oprogramowania i problemów związanych z rokiem 2000. Zdobycie wiedzy w tej dziedzinie wymaga czasu i zaangażowania, podczas gdy np. szczegółowy raport opisujący zgodność sprzętu i oprogramowania z rokiem 2000 można uzyskać od firmy przeprowadzającej audyt za niewielką dopłatą lub wręcz za darmo.

Ponadto korzyścią wynikającą z wynajęcia firmy audytorskiej jest pomoc we wdrożeniu odpowiednich procedur umożliwiających przeprowadzanie późniejszych, okresowych weryfikacji zasobów informatycznych firmy przez zatrudnionych w niej informatyków. Dzięki temu nawet comiesięczne powtarzanie audytu weryfikującego, szczególnie w środowisku sieciowym, będzie niezauważalne dla szeregowych pracowników. Z drugiej zaś strony zapewni stałą aktualność wiedzy o zasobach informatycznych firmy.

Wyczerpujące informacje

Celem każdego audytu jest uzyskanie pełnej specyfikacji wszystkich stanowisk komputerowych w firmie. Są to informacje o pamięci, procesorze, zasobach dyskowych, kartach rozszerzeń, wykorzystywanych zasobach sieciowych i np. wersjach BIOS, co jest szczególnie istotne wobec problemu roku 2000. Zestawienie odnalezionych programów, systemów i aplikacji w połączeniu z danymi o posiadanych przez firmę licencjach stanowi natomiast informację o oprogramowaniu używanym legalnie oraz takim, które trzeba zalegalizować lub usunąć.

Oprogramowanie wykorzystywane do przeprowadzenia audytu automatycznie wykrywa i rejestruje wszystkie szczegóły konfiguracji sprzętu komputerowego. Rozpoznaje i segreguje informacje na temat pakietów oprogramowania (wynik w postaci "znaleziono niekompletny pakiet Word 5.0 for DOS - nie kompatybilny z rokiem 2000" zamiast "znaleziono następujące pliki w liczbie 14"). Nadaje unikalny numer każdemu badanemu komputerowi. Ponadto pozwala na wpisanie z klawiatury dodatkowych informacji niemożliwych do uzyskania w sposób automatyczny, np. lokalizacji komputera, nazwy działu, w którym funkcjonuje, nazwiska pracującej na nim osoby, numerów seryjnych i inwentaryzacyjnych, informacji o licencjach OEM oraz dowolnych innych uwag.

Wszystkie zebrane dane, wraz z wpisanymi poprzez klawiaturę, są zapisywane w formie elektronicznej, nic więc nie stoi na przeszkodzie, aby automatycznie zasilić nimi dowolną bazę danych (można do tego wykorzystać mechanizm ODBC). Następnie korzystając z dowolnego narzędzia do raportowania (np. Crystal Reports) można tworzyć konkretne zestawienia, np. raporty legalności i dotyczący roku 2000, zestawienie komputerów przewidzianych do złomowania lub rozbudowy bądź listę komputerów, których dyski twarde są "zapchane" plikami typu GIF, AVI czy MP3.

Zyski z audytu

Aktualna wiedza o zasobach informatycznych jest nie do przecenienia. Dział informatyki zyskuje stałą kontrolę nad wykorzystaniem oprogramowania w firmie. Na tej podstawie może precyzyjnie określać zapotrzebowanie na konkretne licencje.

Bieżące dane o konfiguracji poszczególnych stanowisk to również nieoceniona pomoc w przywracaniu tych stanowisk do zwykłej pracy po awarii. Natomiast świadomość, że zawartość dysków lokalnych jest regularnie monitorowana, zniechęca pracowników do instalacji zbędnych - z punktu widzenia pracodawców - aplikacji (np. gier) na "ich" komputerach.