Суть дела: Попробуй SAM

Трудности легализации

Ответ на самый интересный вопрос – во сколько же обойдется внедрение SAM – дать не просто, так как все зависит от конкретного проекта. По словам Владимира Лялеко из «Техносерва», существуют успешные примеры организации SAM на базе продуктов Microsoft Office в компаниях небольшого размера (до 100 человек). В этом случае все необходимые инструменты для создания SAM внутри организации уже включены в решения Microsoft, и затраты будут небольшими. IT-подразделение должно сделать следующие шаги: выделить сотрудника, занимающегося на постоянной основе этой работой, провести инвентаризацию и классификацию ПО и рабочих мест, выпустить соответствующие положение и приказ и поддерживать в актуальном состоянии библиотеку эталонного ПО, а также формировать отчетность, учитывая и контролируя обращение ПО.

По данным IDC, уровень компьютерного пиратства в России за последние годы снизился с 83 до 63%. Во многом это связано с желанием корпоративного сектора избежать риска появления проблем из-за использования пиратского программного обеспечения. «Когда пользователь устанавливает программное обеспечение, он принимает соглашение, что к нему в определенный момент могут прийти с аудитом и проверить его соответствие лицензионным требованиям, – объясняет менеджер по лицензированию российского представительства Adobe Systems Иван Дергачев. – Если же пользователь работает с изначально пиратскими продуктами, то тут уже в соответствии с Гражданским кодексом к нему могут прийти с проверкой правоохранительные органы, например по сигналу уволенного сотрудника».

Международная Ассоциация производителей программного обеспечения (BSA) – главный негосударственный борец с контрафактным ПО – с 2011 г. практикует в России гражданские проверки, когда в компанию приходят не правоохранительные органы, а судебные приставы вместе с представителями правообладателей. В результате в прошлом году потери российских компаний, связанные с незаконным использованием ПО, выросли на 21% и составили 73 млн руб. Даже если в какой-то стране не борются активно с пиратским ПО, у предприятия, использующего нелегальные программы, все равно могут возникнуть проблемы. Дело в том, что большинство американских штатов подписали акт, запрещающий местным компаниям покупать продукцию зарубежных поставщиков, работающих на нелегальном ПО.

Однако простого желания легализовать программное обеспечение и готовности заплатить за это деньги недостаточно. Чем больше компания – тем больше в ней установлено различных программных продуктов. Программы могут устанавливаться как по распоряжению руководства, так и самими сотрудниками. Программы могут быть различных версий, а на обновление могут потребоваться отдельные лицензии. Сами программы лицензирования также бывают различными.

«В последние годы доля IT-бюджетов на приобретение программного обеспечения резко выросла, при этом подавляющее большинство организаций остается недостаточно лицензировано по одним продуктам и избыточно – по другим, – с сожалением констатирует Виктор Попов, директор департамента инфраструктурных решений компании «АйТи». – Основная причина такого положения дел кроется в отсутствии осведомленности о схемах лицензирования, об имеющихся правах на использование и фактическом объеме используемого ПО. В результате бюджеты расходуются крайне неэффективно, а риски не снижаются».

Генеральный директор Danik Advisory Елена Денисова знает целый ряд примеров, когда компания, пытаясь честно платить за использованное программное обеспечение, на деле не выполняла лицензионных требований. Так, директор одной компании поручил привести используемые ПО в соответствие с законом, для чего был закуплен от Microsoft пакет Open Value Subscription. Однако в компании не разобрались, что данная лицензия дает только право на обновление, но не легализует базовые версии.

Более того, компания не собиралась модернизировать парк компьютеров, а потому и не проводила обновление установленных версий операционной системы Windows. «В результате директор думал, что все в порядке, так как за лицензирование регулярно платились деньги, – говорит Денисова. – Однако на деле компания, с одной стороны, продолжала незаконно пользоваться программами, с другой же стороны – приобретавшимися обновлениями никто не пользовался».

У другой компании были компьютеры с предустановленной операционной системой Windows и соответствующими наклейками. Приобретя корпоративную лицензию, компания стала закупать новые компьютеры без предустановленной системы и наклеек, полагая, что все легально. Но опять-таки лицензия компании позволяла лишь обновлять базовые, легальные версии Windows.

Более анекдотичный случай произошел в одном из банков: уборщицы чистили системные блоки компьютеров, в результате чего на четверти из них лицензионные наклейки просто стерлись. Совсем экзотический пример связан с компанией, которая закупила экран со встроенной системой Windows Embedded, но не проконтролировала процесс получения соответствующей наклейки. Обнаружив эту проблему, компания была готова заплатить за лицензионный пакет, однако для этой версии Windows такого пакета нет.

Для решения этой проблемы и существует Software Asset Management (SAM) – методология, позволяющая предприятию управлять таким своим активом, как лицензии на программное обеспечение. Правильное внедрение SAM позволяет компании быстро, без серьезных затрат для IT-отдела и неожиданных результатов для руководства проходить аудит производителя ПО и получать от него License Compliance – подтверждение соответствия компании лицензионным требованиям, говорит Дергачев. Так было, например, в группе компаний «Рольф» (насчитывает 5800 сотрудников): аудит со стороны Adobe прошел в сжатые сроки, было подтверждено соответствие количества закупленных лицензий количеству используемых продуктов, и были даны лишь некоторые рекомендации по обновлению ПО.

А теперь – оптимизация

Как отмечает руководитель департамента бизнес-консалтинга компании Softline Владимир Разуваев, первый этап внедрения SAM в России был ориентировочно в 2003–2008 гг., он был связан как раз с желанием IT-директоров избежать ответственности за использование нелегального ПО. Последовавший затем кризис заставил компании оптимизировать свои расходы, в том числе и в области ПО.

«Основной тенденцией 2008–2010 гг. был переход от бездумных закупок программного и аппаратного обеспечения к более обоснованному сокращению затрат, – вспоминает Разуваев. – Нужно было, чтобы ПО отвечало требованиям бизнеса, функциональности и своей стоимости. Тогда же количество программного обеспечения, которое выполняло многочисленные задачи бизнеса, зашкаливало». Наконец, сегодняшний период, по его мнению – это время, когда речь идет об управлении, контроле и эффективности ПО.

По оценкам Gartner, правильное внедрение SAM позволяет компании сэкономить в первый год до 30% затрат на ПО и от 5–10% – каждый следующий год в течение пяти лет. Согласно данным, которые привел в своей презентации Георг Херрнлебен из BSA на конференции «Ведомостей» SAM Academy, 30% IT- и финансовых директоров не знают, сколько их организации каждый год тратят на основное ПО. Также предприятия в среднем используют лишь 70% от закупленных ими серверных лицензий.

Денисова приводит пример из практики Danik Advisory, когда они помогли клиенту получить 12-кратную экономию, предложив разнести на разные серверы системы Windows и Linux плюс несколько других, а лицензии покупать не на сервер, а на процессор, что по действовавшим в 2012 г. правилам избавляло от необходимости лицензировать каждую виртуальную машину отдельно (подробнее см. на стр. 9).

Сам не сделаешь

Будучи лидером по ассортименту программного обеспечения, корпорация Microsoft активно способствует и внедрению SAM. Компания предлагает целый ряд продуктов в этой области. Microsoft Assessment and Planning Tool (MAP) – инструмент для инвентаризации и получения среза текущей информации на текущий момент. System Center Configuration Manager – продукт для управления IT-инфраструктурой на основе Microsoft Windows и смежных устройств, использующийся для управление обновлениями, развертыванием ПО и операционных систем, инвентаризации аппаратного и программного обеспечения, удаленного управления ПО, а также управления виртуализированными и мобильными системами. Есть и облачное решение Windows Intune, обеспечивающее управление компьютерами и мобильными устройствами и их безопасность.

Может показаться странным, что Microsoft как крупнейший поставщик ПО помогает своим клиентам сократить затраты на программное обеспечение. «Нам нужны заказчики, которые получают полную отдачу от приобретаемого программного обеспечения, – поясняет глобальный директор по SAM-программам Microsoft Хизер Янг. – Если клиент покупает слишком много программного обеспечения, это ставит под угрозу наши долгосрочные отношения и не является залогом доверия, не гарантирует выгоды, поэтому лучше заказчик будет покупать меньше лицензий, но столько, сколько ему действительно нужно, и у нас будут хорошие долгосрочные отношения».

Свои продукты в этой сфере также предлагают HP, Landesk, CA. Есть наработки и у российских компаний – например, «АйТи» предлагает созданную на базе решений Microsoft свою «Систему управления лицензиями». Но SAM не сводится к внедрению еще одного продукта от Microsoft или кого-то другого. Softline изучила около 40 различных инструментов для внедрения SAM и готова предлагать их заказчикам в различных ситуациях, говорит Разуваев. Однако решения, которое полностью бы автоматизировало процесс управления лицензиями, не существует, предупреждает он. Компании нужны специалисты – либо свои, либо внешние.

«Инвентаризация – лишь первый шаг идущего процесса, который надо постоянно вести, – соглашается Янг. – SAM, в принципе, невозможно купить, так как это не разовое мероприятие. Одна только подготовка к внедрению SAM требует целого ряда подготовительных шагов. Есть печальный пример одного государственного заказчика из США, который потратил $15 млн на внедрение SAM, но потом пришел к выводу, что проект закончился неудачно. Инструменты делали все, что обещал поставщик, работая в точности как было обещано, но заказчик не построил фундамент системы и не разобрался, как устроены собственные процессы по снабжению, закупкам, найму на работу сотрудников, приему и списанию оборудования, и, соответственно, не вводил в систему эту информацию».

«Чтобы расходовать бюджеты эффективно и снижать риски, ПО нужно не просто покупать, а точно знать свои потребности в лицензиях, – добавляет Попов из «АйТи». – Для этого необходимо хорошо разбираться и в лицензировании, и в истории закупок лицензий на предприятии. Причем даже «успешно внедренные процессы SAM» порой помогают слабо – если нет людей, процессы остаются на бумаге. Поэтому нужен грамотный специалист SAM, который, понимая ситуацию изнутри, сможет выбрать подходящую именно для этого предприятия схему лицензирования».

Внешние компании, которые могут оказать помощь в этом вопросе, Попов разделяет на три категории. Первая – это фирмы-аутсорсеры, оказывающие услуги технической поддержки. «Многие такие фирмы не готовы брать на себя риски, связанные с установкой нелицензионного ПО, чем вынуждают заказчиков закупать лицензионное ПО, – отмечает он. – Но это самые неквалифицированные в плане SAM компании, хотя у них есть одно преимущество: они уже оказывают услуги по подписке и могут своим клиентам за дополнительные деньги предлагать связанные услуги, в том числе SAM».

Вторая категория – это продавцы ПО. «Они имеют большую компетенцию в лицензировании, но перед ними так или иначе стоит выбор: продавать ПО побольше и подороже либо экономить деньги заказчика, – отмечает Попов. – С одной стороны, хорошо бы повысить лояльность заказчика, с другой – и квоту никто не отменял».

Есть и третья категория – это собственно специализированные фирмы, SAM-консультанты: они занимаются консалтингом либо проводят аудит, по результатам которого дают свои рекомендации. В России основными компаниями в этой сфере являются Softline, QCS, Consistent Software Distribution (CSD), а также петербургские «Поликом» и Columbus. У Microsoft существует специальный статус для партнеров – SAM Gold, которым в России обладают примерно 30 компаний. Разуваев из Softline оценивает этот рынок в $70–80 млн в год. Владимир Лялеко, начальник отдела управления и организации IT-услуг «Техносерв», добавляет, что этот рынок за последние 3–4 года вырос в полтора раза.

Еще одно направление Microsoft в этой области – сертификация специалистов. Сдав экзамен от Microsoft и набрав не менее 700 баллов из 1000, специалист получает сертификат в данной области. Экзамены сдаются в специализированных учебных центрах, каждая попытка оплачивается отдельно и стоит в районе $100. Имея двух специалистов, сдавших экзамен по SAM, компания-партнер получает от Microsoft статус SAM Silver, если у компании будет еще два специалиста, которые сдадут дополнительные экзамены, компания получит статус SAM Gold. В России SAM-сертификацию от Microsoft прошли примерно 250 профессионалов, говорит президент российского представительства корпорации Николай Прянишников.

Существует и международный стандарт ISO/IEC 19770, сертификация по которому идет по правилам ISO. «Это гораздо сложнее, чем от Microsoft, потому что стандарт ISO гораздо шире наших требований», – уточняет Прянишников. В 2002 г. была образована Международная ассоциация по управлению активами в сфере информационных технологий (IAITAM), разработавшая собственные курсы и программы сертификации в области SAM. В России оператором системы является компания «Арбайт».

Поскольку ни один производитель ПО все-таки не может предоставить клиенту гарантии, что к нему не будет претензий со стороны других производителей, ассоциация BSA также разработала собственную программу курсов по выполнению требований ISO – CSS (Certified in Standards-based SAM). Сертификаты могут выдаваться сразу трем категориям лиц: индивидуальным специалистам, аудиторам по проверке SAM и собственно организациям, желающим соответствовать требованиям по управлению ПО. Пока эта программа в пилотном режиме работает в Индии и Мексике (подробнее см. стр. 15).

В этом году следует ожидать и запуска в России программ BSA в области SAM, говорит менеджер российского представительства организации Алексей Черный. «Сейчас в других странах отрабатывается модель, когда после выполнения аудита по продуктам определенных участников BSA компании выдается свидетельство о том, что в течение двух лет эти производители ПО не должны ее беспокоить, – говорит он. – Вероятно, такая возможность будет и в России, хотя гарантией отсутствия проверок со стороны правоохранительных органов это все равно не станет».

В любом случае, пройдя сертификацию, организация сможет получить конкурентные преимущества и продемонстрировать отсутствие у нее рисков в области ПО, что особенно важно для публичных компаний, говорит руководитель консалтинговых проектов CSD Игорь Хлебников. Правда, он отмечает, что в России до сих пор отсутствует собственный стандарт в данной сфере, а государство перестало финансировать создание новых стандартов. В связи с этим CSD решила самостоятельно профинансировать разработку ГОСТ в сфере управления лицензиями на ПО, который будет создан на основе ISO, но не будет его полным переводом.

Стоит ли вкладывать миллионы?

«В крупных компаниях затраты исчисляются сотнями тысяч долларов, но и окупаются они, при правильной организации процесса, в течение одного-двух лет, конечно», – отмечает Лялеко. Коммерческий директор QCS Александр Голев приводит такой диапазон: от 50 000 руб. в малом бизнесе до 30 млн руб. в крупном. «Если брать типовые работы и размер компании примерно в 2000 компьютеров, то полное приведение в порядок ПО может стоить в среднем 3 млн руб., внедрение средств инвентаризации – еще 2 млн, постановка процессов по стандартам ISO – еще около 5 млн руб., – говорит гендиректор QCS. – То есть всего 10 млн руб., не считая годовой поддержки развития SAM за дополнительные 2–3 млн руб.».

Однако такие затраты должны быстро окупиться. «У описанной выше типовой компании годовой бюджет на ПО может составлять примерно 60 млн руб., включая то ПО, за которое компания сознательно или несознательно не платит, – продолжает Голев. – Первый же год позволяет сохранить от 35 до 50% этой суммы, т. е. 20–30 млн руб., и это не включая снижения юридических рисков, повышения эффективности работы и уровня безопасности, связанных с упорядочиванием парка ПК и источников ПО».

Тем не менее такие затраты отпугивают многие компании, а потому SAM в России еще есть куда расти. «Пока сертифицированных специалистов в этой области очень мало, а услуги их стоят дорого, и не каждая компания может себе позволить самостоятельно решить подобные проблемы, разовые же публичные проекты по «внедрению SAM» погоды на рынке тоже не делают, – полагает Попов из «АйТи». – Но рынок SAM будет развиваться тем активнее, чем большее количество компаний начнет выходить из условной «зоны комфорта», осознавая свои проблемы и пытаясь решить их системно, а не разово. Рынок отстроится в тот момент, когда большинство компаний смогут получать услуги SAM по подписке (вроде технической поддержки), а для бизнеса станет очевидно, что выгоднее потратить тысячу на консультанта и сэкономить при этом миллион».

Спрос не исчезнет

Если корпорация использует свободное программное обеспечение – например, операционную систему Linux и пакет Open Office, – то SAM может ей не понадобиться. Такое ПО распространяется на основе «свободных» лицензий, в частности GPL: сами программы могут быть и платными, но обладатель такого ПО имеет право ставить его на любое количество компьютеров и даже как угодно распространять. Единственное условие – исходные коды продукта должны оставаться свободными.

«Раньше в России были прецеденты, когда правоохранительные органы приходили с проверками и требовали показать им GPL, – говорит заместитель гендиректора компании AltLinux Алексей Новодворский. – Но по нынешнему законодательству проблем с этим нет: пользователю достаточно лишь один раз при установке согласиться с лицензионным соглашением».

Правда, ситуация со свободным ПО может оказаться не такой простой, как кажется на первый взгляд. Соответствующие продукты могут распространяться в виде наборов – дистрибутивов, содержащих проприетарные (закрытые) компоненты. Например, известный дистрибутив Linux – Red Hat Enterprise Server, так же как и Windows, необходимо покупать отдельно для каждого компьютера, потому что плата взимается за использование торговой марки. А у AltLinux есть дистрибутив с сертификатом ФСТЭК: его тоже необходимо покупать отдельно для каждого компьютера, иначе сертификат будет недействительным.

«В этом случае управление лицензиями, конечно, потребуется, – признает Новодворский. – Но если пользователь имеет дело только со свободным ПО, то ему достаточно один раз изучить лицензионные требования, а необходимости с внедрением специальных SAM-решений все равно нет. SAM нужен тогда, когда у пользователя стоят различные проприетарные продукты с различными, сложными лицензиями».

Эксперты же в области SAM уверены, что мода на свободное ПО никак не снизит спроса на соответствующие решения. «Возьмем самый распространенный в этом смысле продукт – Microsoft Office: мы не встречали ни одной компании, которой бы этого продукта было достаточно даже на уровне сотрудников среднего звена, – говорит Денисова. – Причин несколько: все к нему привыкли, есть задачи бизнеса, требующие эффективного решения, и есть контрагенты, с которыми нужно обмениваться документами. Таким образом, неизбежно в компаниях будет оставаться совмещение свободного ПО с полноценными версиями продуктов, что усложняет отслеживание лицензий, особенно по сравнению с закупкой программного обеспечения для всех компьютеров в рамках корпоративных соглашений».

«Новые технологии требуют новых подходов к организации процесса, – добавляет Лялеко. – Например, многие забывают, что для свободного программного обеспечения существуют свои типы лицензий (MIT, BSD, GPL и т. д.), со своими нюансами и ограничениями. А при работе с облачными технологиями или аутсорсинге возникает множество вопросов в части разделения ответственности за лицензионную чистоту ПО между заказчиком и поставщиком. Следовательно, необходимость в процессе управления активами ПО только растет».

В самой Microsoft также уверены, что свободное ПО не идет вразрез с методологией SAM. «Проприетарное и свободное программное обеспечение – это различные бизнес-модели разработки и предоставления ПО пользователю, при этом лицензии есть и у того и другого, – говорит Прянишников. – Существуют различные варианты того, как компании-разработчики получают деньги за ПО с клиентов: одни берут плату непосредственно за программный продукт, другие – за платформу в целом, третьи – за устройства, четвертые – за поддержку и обновление и проч., но так или иначе в итоге всегда клиент оплачивает работу разработчика, а компания-разработчик сама выбирает оптимальную модель под конкретный сценарий. Так, например, Microsoft поставляет на рынок продукты под различными лицензиями, включая «свободные». В любом случае пользователям требуется понимать, какими продуктами и с какими правами они пользуются, а значит, сохраняется необходимость проводить учет и аудит (SAM), в частности с тем, чтобы обеспечить оптимизацию затрат на лицензии».