Wie Unternehmen ein Compliance-Audit überstehen und von einem effektiven Software-Lizenzmanagement profitieren Die Anzahl der Compliance-Audits nimmt zu. Laut einer Gartner-Studie waren 2010 knapp 40 Prozent aller mittelständischen und großen Unternehmen von potenziellen externen Überprüfungen der Software-Lizenzierungseinhaltung betroffen. Jede Anfrage eines Softwareherstellers bezüglich der Verwendung seiner Produkte muss als Compliance-Revision oder Lizenzprüfung betrachtet werden. Diese Anfragen können in den meisten Fällen weder ignoriert noch abgelehnt werden. Vertragliche Vereinbarungen zwingen Unternehmen in der Regel zur Kooperation. Die Business Software Alliance (BSA), ein weltweit tätiger Interessenverband zur Verfolgung von Software-Piraterie, wirbt mit hohen Belohnungen für die Meldung von Lizenzverstößen. Wenn diese bei Unternehmen festgestellt werden, fallen unvorhergesehene Kosten für den Erwerb zusätzlicher Lizenzen an. Dies kann in die Hunderttausende gehen. Außerdem drohen rechtliche Sanktionen, möglichen Haftstrafen (selbst für unbeabsichtigte Verstöße) sowie negative Publicity. Genügend Gründe also, dafür zu sorgen, dass das eigene Unternehmen die Bedingungen von Software-Lizenzverträgen einhält. Mit der Etablierung eines aktiven Lizenz- oder Software Asset Managements können Unternehmen gegensteuern. Und realisieren gleichzeitig durch die aktive Verwaltung der unternehmensweiten Lizenzbeschaffung, -zuweisung, -bereitstellung und -verwendung hohe Einsparungen. Bewertung der aktuellen Prozesse Die Analyse der aktuellen Geschäftsabläufe, Softwareverwaltungsprozesse und der IT-Prozesse sowie -Richtlinien steht am Anfang – sie ist der erste Schritt beim Aufbau eines Lizenzmanagements. In der Praxis hat sich eine Bestandsaufnahme und -bewertung anhand der zehn folgenden Fragen bewährt. Die Ergebnisse bilden die Basis für die Planung eines unternehmensweiten Lizenzmanagements. Fragebogen zur Prozessbewertung und Best Practice-Erläuterungen dazu Bewertungsfragen Erläuterungen 1. Welche Software ist in der ComputingUmgebung meines Unternehmens erlaubt, und welche Richtlinien gibt es zur Steuerung der Softwarenutzung, zum Umgang mit Downloads und zur Verwendung von persönlich genutzter Software? Ihr Unternehmen sollte über klar definierte und schriftlich fixierte Prozesse und Richtlinien zur Installation und Verwendung von Software verfügen. Im Idealfall gibt es eine Standard-Softwarekonfiguration und einen Prozess für die Genehmigung von Ausnahmen. Downloads von externen Websites können erlaubt werden, allerdings bedarf es dazu festgelegter Sicherheitsvorkehrungen. Persönlich genutzte Software sollte nicht auf Unternehmensrechnern erlaubt werden, und Endbenutzer sollten nicht über Administratorrechte verfügen. 2. Wie wird Software, die in meinem Unternehmen eingesetzt werden soll, definiert und zertifiziert? Auch hier bilden klar definierte und schriftlich fixierte Richtlinien für die Beurteilung und Auswahl von Software die Grundlage. Non-Standard-Software sollte auf ein Minimum reduziert werden. Ein Team aus technischen und BusinessExperten sollte mit der Zertifizierung von Software betraut werden. 3. In welche Gruppen und Standardkategorien werden Softwareprodukte in unserer Beschaffungs- und IT-Abteilung eingeteilt? Ihr Unternehmen sollte Softwareprodukte in Gruppen und Standardkategorien einteilen, um die Verwaltung der Softwarebestände und die Zuweisung von Verwaltungsaufgaben im Software-Lebenszyklus zu erleichtern. 4. Gibt es genehmigte Hardware-, Software- oder Service-Pakete? Erfolgen Bestellungen manuell, automatisch oder über kombinierte Prozesse? Ihr Unternehmen sollte Standard-Pakete für ausgewählte Benutzertypen und -anwendungen festlegen, zum Beispiel Geschäftsbenutzer, Hauptbenutzer, IT-Benutzer, Maschinenhallen-Benutzer, Rechenzentrumsserver usw. Geben Sie die Marken und Spezifikationen so genau wie möglich an. Es sollte ein Standardbestellprozess für alle Mitarbeiter definiert und diesen kommuniziert werden. Benennen Sie außerdem einen zentralen Ansprechpartner. 5. Erfolgt die Beschaffung von Software zentral, dezentral oder beides? Es sollten grundsätzlich Verträge abgeschlossen werden, und zwar unabhängig davon, ob die Beschaffung zentral, dezentral oder über beide Wege erfolgt. Dabei ist eine Lieferantenliste hilfreich, die zusammen mit einem klar definierten Bestellprozess zentral verwaltet werden sollte. Mit diesem Ansatz können Sie das Beschaffungs-Know-how Ihres Unternehmens bündeln und voll ausschöpfen. Wenn Ihr Unternehmen größer ist, sollten Sie Anbieter in Betracht ziehen, die Ihre Bestellungen lokal empfangen und diese zu Berichtszwecken für Ihre zentrale Einkaufsabteilung konsolidieren können. 6. Werden Software- und Lizenzverträge und die entsprechenden Lizenzinformationen (d.h. Lizenzzertifikate, Lizenzschlüssel und medien) an sicheren Orten verwaltet und aufbewahrt? Alle Medien, Lizenzverträge und Lizenzschlüssel sollten an einem zentralen sicheren Ort verwaltet und aufbewahrt werden. Kopien können lokal aufbewahrt werden, vorausgesetzt, sie sind gesichert, und der Zugriff ist auf festgelegte Personen beschränkt. 7. Mit welchen Prozessen (und Tools) kann sich Ihr Unternehmen einen schnellen Überblick über aktuell gültige Wartungsverträge verschaffen? Siehe Punkt 6 oben. Sie benötigen eine manuell gepflegte Liste, eine Excel-Tabelle oder ein Vertragsmanagementtool, um Berichte zu aktiven Wartungsverträgen zu erstellen. Automatisierte SAM-Tools mit integrierten Vertragsmanagementfunktionen bieten viele Funktionen auf Knopfdruck. Wenn Ihr System über die Funktion zur Erstellung aktiver Vertragsberichte verfügt, legen Sie die Parameter fest, um das Tool zu festgelegten Zeiten (z.B. einmal pro Monat) auszuführen. Wenn die Verträge in Ihrem Unternehmen nicht zentral gespeichert werden (d.h. physisch oder elektronisch), können Sie keine konsolidierte Ansicht der Verträge erzeugen. 8. Über welche Prozesse werden Softwareprodukte installiert, abgesetzt und ausgemustert? Siehe Punkte 1, 2, 3 und 6 oben. Die Richtlinie und der Prozess sollten folgende Punkte umfassen: Installation, Absetzen und Ausmustern von Hardware und Software. Alternativ können Sie die Entsorgung veralteter Hardware oder einen Prozess zur Beibehaltung überzähliger Softwarelizenzen für die erneute Bereitstellung hinzufügen. 9. Wer ist im Unternehmen für das Lizenzmanagement verantwortlich? Für das Thema Lizenz-, Software- oder IT Asset Management sollte ein Verantwortlicher festgelegt werden. Dieser sollte alle Aspekte verantworten oder Aufgaben auf andere Personen übertragen. 10. Wie oft und auf welche Weise werden interne Revisionen und Stichproben zur Überprüfung von Lizenzen, Verträgen, Hardwareprodukten und Medien durchgeführt? Interne Revisionen zu Medien, Verträgen und eine Überprüfung der Lizenzeinhaltung zur Sicherstellung der Compliance sollten so oft wie nötig durchgeführt werden. Die Überprüfung der Lizenzeinhaltung sollte mindestens ein Mal pro Jahr stattfinden, in manchen Fällen sogar quartalsmäßig oder monatlich. Ihr Unternehmen möchte ggf. den Nutzen der installierten oder verwendeten Software überprüfen und abklären, ob eine Unter- oder Überlizenzierung vorliegt. Ferner kann es sein, dass die vertraglichen Anforderungen hinsichtlich Berichterstellung und Verhandlungen mit dem Softwarehersteller diskutiert werden. Dieser Prozess sollte genau definiert werden. Darüber hinaus sollte es eine Checkliste mit den zu überprüfenden und zu beachtenden Punkten geben. Im Idealfall sollten in internen Revisionen erfahrene Mitarbeiter und unter Einbeziehung von SAM die Überprüfung durchführen. Aktuelle Softwarebestände aktualisieren Ein zentrales Element von SAM- oder IT Asset Management ist ein ständiger Überblick über den Software- und Hardwarebestand im Unternehmen. Entscheidend ist der Abgleich der Softwareinstallationen mit den vertraglich erworbenen Lizenzen. Werden Softwarelizenzen pro Benutzer oder Computer vergeben, ist es relativ einfach, die Installationen oder Benutzer und Lizenzen zu zählen und Abweichungen zu ermitteln. Schwieriger wird es, wenn eine Software für mehrere Benutzer oder nach Nutzung lizenziert wird. In diesem Fall benötigen Organisationen ein Tool zur Überwachung der Nutzung und zum Sammeln der erforderlichen Daten. Es ist die Aufgabe des Lizenzmanagers, Nutzungsmuster zu analysieren und Vorfälle wie Über- oder Unternutzung zu beseitigen und ggf. zusätzliche Lizenzen zu erwerben. Ein weiteres Ziel der Nutzungsanalyse ist die Identifizierung nicht oder zu wenig genutzter Software sowie die erneute Zuweisung oder Ausmusterung derselben. IT-Manager geben an, dass durch die erneute Bereitstellung und die Ausmusterung von Software durchschnittlich 10 bis 30 Prozent des Softwarebudgets eingespart, der Arbeitsaufwand der Service Desk-Mitarbeiter reduziert und die Ausgaben für die Softwarewartung gesenkt werden können. Rollen und Verantwortlichkeiten zuweisen Nach der Prozessbewertung und der Inventarisierung der Software und Hardware folgt der nächste Schritt: Die Gestaltung des Lizenzmanagements beginnt mit der Festlegung des Umfangs. Dieser ergibt sich aus der Anzahl der zu verwaltenden Softwaretitel, Softwarehersteller oder ComputerPlattformen. Ein weiterer Faktor sind eventuelle Einschränkungen der Softwarenutzung, z.B. nur für bestimmte Regionen oder Geschäftseinheiten. Im zweiten Schritt werden die entsprechenden Verantwortlichkeiten und Rollen umrissen. Dazu zählen z.B.: Rollen zur Verwaltung der Datenspeichermedien, Rollen zur Verhandlung und Verwaltung von Softwareverträgen, Rollen zur Überwachung des Lebenszyklus von Softwareprodukten und die Verantwortung für die Installation und Deinstallation von Software. Und nicht zuletzt die koordinierende Rolle des Lizenzmanagers – entweder als klar definierte Teilzeitaufgabe oder, in größeren Unternehmen, als Vollzeit-Job. Richtlinien & Prozesse überprüfen Die Aufgaben des Lizenzmanagements werden durch Richtlinien und Prozesse definiert. Der Lizenzmanager sollte Pläne zur Bereinigung und Normierung von Daten entwickeln. Das Ergebnis ist ein Prozess, bei dem die Rohdaten der Inventarisierung in nützliche Informationen mit Standardnamen, Klassifikationen und Beschreibungen umgewandelt werden. Darüber hinaus werden Richtlinien für folgende Punkte benötigt: Vertragsbedingungen, zulässige Softwarenutzung, Urheberschutz für Drittanbieter und Softwarelizenzen, Compliance, persönliche Verwendung von Software und Internet-Downloads, Verwendung von Firmensoftware auf Home-PCs, Datenschutz, Planung des Softwarebedarfs und Beschaffung von Software. Und natürlich sind Technologie und Automatisierung wichtig für alle Unternehmen, es sei denn, sie haben nur wenige Endanwender. Die komplexen Prozesse und organisatorischen Aufgaben, die mit dem Aufbau und dem Erhalt eines Lizenzmanagementprogramms einhergehen, sollten jedoch durch Tools ergänzt werden. Das Lizenzmanagement betrifft viele Bereiche und Abteilungen und kann nur in den seltensten Fällen auf einzelne Bereiche beschränkt werden. Ein effektives System muss nahtlos in die geschäftlichen und technischen Prozesse integrierbar sein. Ein Lizenzmanagementtool ergänzt zum Beispiel ein IT-Asset-Repository, eine CMDB (Configuration Management Database) oder ein Service-Desk-Tool und arbeitet mit Softwarebestandsdaten sowie Vertrags- und Endbenutzerdaten. Für Lizenzmanagementfunktionen werden Asset-Management-Daten benötigt, die durch erforderliche Lizenzdaten, Berechtigungen und Abgleich-Funktionen ergänzt werden. Da sich Funktionen und Prozesse überschneiden können, bevorzugen viele Unternehmen integrierte, modulare und umfassende Lösungen. Autor: Dr. Thomas Gerick, USU AG Der Beitrag stützt sich auf Recherchen und Projekterfahrungen der USU AG sowie auf Inhalte eines aktuellen Whitepapers des Marktforschungsunternehmens ECPweb.com, an dessen Inhalten USU die Nutzungsrechte besitzt. Interessierte können das ausführliche Whitepaper (Software License Management: Minimize Risk and Cost, 2010) kostenlos anfordern bei: USU AG, Dr. Thomas Gerick, [email protected], www.usu.de.
© Copyright 2024 ExpyDoc
