Zrb to SAMo!

2011
Dobre praktyki zarzdzania oprogramowaniem na przykadzie Ministerstwa Gospodarki i Urzdu Patentowego RP

Cele zarzdzania oprogramowaniem

wiadomo zagadnie legalnoci oprogramowania jest w polskiej gospodarce i administracji publicznej do wysoka, ale gorzej jest z praktycznym zastosowaniem tej wiedzy. Z bada wykonanych w 2008 r. wrd przedsibiorcw 9 krajw europejskich (w Polsce badanie przeprowadzono we wsppracy z PARP) wynikao, e ok. 98% polskich przedsibiorcw uwaao, i licencjonowane oprogramowanie jest dla firmy wane, ale a 64% nie byo do koca pewnych, czy uywane w firmie oprogramowanie jest legalne. Ok. 17% ankietowanych firm nie widziao wtedy adnego ryzyka w korzystaniu z nielegalnego oprogramowania. Z kolei z bada wykonanych przez SGH w lipcu 2010 r. wynika, e w polskiej administracji publicznej nie ma spjnej polityki zarzdzania oprogramowaniem. W ponad poowie zbadanych urzdw nie ma dostatecznych informacji o wykorzystywanych zasobach oprogramowania, a w ponad jednej trzeciej nie ma nawet prawidowego rozeznania co do liczby wykorzystywanych komputerw.

O Ministerstwie Gospodarki
Ministerstwo Gospodarki jest urzdem obsugujcym Ministra Gospodarki, ktry wedug ustawy o dziaach administracji rzdowej kieruje dziaem gospodarka. Zasoby informatyczne biur i departamentw Ministerstwa Gospodarki to: cznie niemal 1300 jednostek komputerowych, w tym serwery, komputery desktop i notebooki, oprogramowanie systemowe i narzdziowe, liczne aplikacje uytkowe. Rozwojem i eksploatacj infrastruktury informatycznej zajmuje si Departament Gospodarki Elektronicznej (DGE). Podstawowa dziaalno DGE to planowanie, analiza i wdraanie polityki i otoczenia regulacyjnego gospodarki elektronicznej w kraju. Departament odpowiada te za koordynacj polityki informatyzacji ministerstwa, a take zapewnia sprzt, oprogramowanie, obsug techniczn, rozwj, konfiguracj oraz ochron systemw

i urzdze teleinformatycznych, w tym systemu Centralnej Ewidencji i Informacji o Dziaalnoci Gospodarczej (CEIDG) oraz platformy punktw kontaktowych, m.in. Pojedynczego Punktu Kontaktowego w ramach projektu UEPA uproszczenia i elektronizacji procedur administracyjnych.

Potrzeby i cele zarzdzania oprogramowaniem w Ministerstwie Gospodarki

Przed rokiem 2007 Ministerstwo Gospodarki przechodzio kilka duych reorganizacji, wynikajcych z kolejnych zmian zada resortu w ramach administracji centralnej. Ubocznym skutkiem reorganizacji bya niejednolita polityka licencyjna dotyczca oprogramowania oraz wykorzystywanie rnych programw i konstrukcji licencyjnych w celu zapewnienia wystarczajcej iloci wymaganych licencji. Wartoci niematerialne i prawne ewidencjonowane byy przez suby administracyjne ministerstwa, ale nie dawao to penego obrazu wszystkich licencji na oprogramowanie, nie mwic ju o moliwoci optymalizacji liczby i typw licencji. Kierownictwo urzdu obserwowao te cigy wzrost kosztw utrzymania oprogramowania komputerowego, niezbdnego w codziennej pracy. W celu ujednolicenia programw licencyjnych oraz zmniejszenia kosztw utrzymania i zarzdzania oprogramowaniem Ministerstwo Gospodarki zdecydowao si na wdroenie systemu zasad i procedur zarzdzania oprogramowaniem (SAM Software Asset Management). Celami systemu zarzdzania oprogramowaniem byy:

weryfikacja legalnoci i efektywnoci posiadanych zasobw oprogramowania, wprowadzenie jednolitych zasad zarzdzania oprogramowaniem, opracowanie i wprowadzenie spjnej polityki licencyjnej, pena kontrola nad wartociami niematerialnymi i prawnymi, zmniejszenie i optymalizacja kosztw utrzymania narzdzi informatycznych.

Pierwszy audyt i kampania Zrb to SAMo

W 2007 r. w Ministerstwie Gospodarki podjto decyzj o przeprowadzeniu audytu stanu wykorzystywanego oprogramowania. Jako partnera realizacyjnego wybrano CompNet z Konina, dziaajc od 2002 r. i specjalizujc si w dziedzinie audytu oprogramowania oraz bezpieczestwa informacji IT. Firma wykonaa audyt legalnoci oprogramowania stosowanego w ministerstwie, przygotowaa szereg zestawie i baz dotyczcych licencji, co pozwolio pracownikom urzdu na prawidowe zarzdzanie licencjami.Ten sam wykonawca przeprowadzi te szkolenia dla pracownikw z dziedziny ochrony prawa autorskiego i wasnoci intelektualnej. Dziaania te zakoczono w czerwcu 2008 r. uroczystym wrczeniem certyfikatw legalnoci firmy CompNet Jestem Legalny oraz certyfikatu Microsoftu. Certyfikaty te potwierdzaj wdroenie zasad i procedur zarzdzania oprogramowaniem w Ministerstwie Gospodarki. Kontynuacj a zarazem istotnym rozszerzeniem tych dziaa byo zainicjowanie kampanii pod hasem

W ramach tworzenia sprawnej administracji staramy si optymalizowa nasze zasoby informatyczne i prawidowo nimi zarzdza. Chcemy te dawa dobry przykad, by nasze dziaania wpyway inspirujco take na inne urzdy i instytucje publiczne.

Dariusz Bogdan, Podsekretarz Stanu w Ministerstwie Gospodarki

Kampania Zrb to Samo to szeroko zakrojone dziaania majce na celu promowanie zarzdzania oprogramowaniem w przedsibiorstwach, instytucjach, w organizacjach rnego typu. Zarzdzanie oprogramowaniem to zbir procesw, ktre maj zapewni instytucji bezpieczestwo informatyczne, bezpieczestwo informacji, ochron przed konsekwencjami korzystania z nielicencjonowanego oprogramowania, ale przede wszystkim podnie efektywno wykorzystywania zasobw informatycznych.

Krzysztof Janiszewski, Ochrona Wasnoci Intelektualnej, Microsoft

Zrb to SAMo, ktra miaa zachci do pjcia w lady Ministerstwa Gospodarki oraz Krajowej Izby Gospodarczej, ktra w 2008 r. take przeprowadzia audyt posiadanego oprogramowania i wdroya procedury SAM. Skierowana do instytucji publicznych oraz do przedsibiorcw kampania bya elementem programu innowacyjno-szkoleniowego realizowanego przez Business Software Alliance we wsppracy z Ministerstwem Gospodarki oraz Krajow Izb Gospodarcz, a majcego na celu promocj audytu i wdroenia procedur zarzdzania oprogramowaniem. W ramach programu uruchomiono por tal www.zrobtosamo.pl, przygotowano i rozesano publikacj omawiajc przykad audytu, zrealizowano rwnie film promocyjno-szkoleniowy. W pierwszej poowie 2009 r. w ramach kampanii do niemal 70 tys. firm i 2767 jednostek samorzdu terytorialnego rozesano list opisujcy program Zrb to SAMo, podpisany przez Waldemara Pawlaka, wicepremiera i Ministra Gospodarki, Andrzeja Arendarskiego, Prezesa Krajowej Izby Gospodarczej i Roberta Holleymana, Prezydenta BSA. Nastpnie przeprowadzono szkolenia dla pracownikw dziaw IT sektora prywatnego oraz jednostek administracji publicznej. W szkoleniach uczestniczyo 146 osb bezporednio i 527 on-line. W 2010 r. zesp warszawskiej SGH przeprowadzi badanie jakoci zarzdzania zasobami informatycznymi w jednostkach centralnej i lokalnej administracji publicznej. Wyniki badania zostay opublikowane w padzierniku

2010 r., przy okazji uroczystego wrczenia certyfikatw legalnoci oprogramowania dla Urzdu Patentowego RP, ktry take wdroy system zarzdzania oprogramowaniem.

Samokontrola i nowe cele

Wdraanie SAM nie koczy si na zewntrznym audycie i certyfikacji. Zarzdzanie oprogramowaniem jest bowiem procesem cigym, ktry ma zapewni pen kontrol nad zasobami i licencjami. Daje to pewno, e zasoby informatyczne wykorzystane s w sposb zgodny z postanowieniami licencyjnymi, a zarazem optymalny z punktu widzenia potrzeb instytucji oraz kosztw eksploatacji oprogramowania i infrastruktury IT. Wymaga to przestrzegania wdroonych procedur SAM. Na dziaaniach tych skupili si pracownicy Ministerstwa Gospodarki po zakoczeniu pierwszej fazy wdraania SAM. Aby usprawnia proces zarzdzania oprogramowaniem oraz podnie poziom bezpieczestwa, zesp Ministerstwa Gospodarki z pomoc firmy CompNet wyznaczy dalsze kierunki dziaania. Midzy innymi dostosowano Active Directory podstawow usug katalogow infrastruktury IT resortu, regulujc dostp do zasobw informacyjnych do polityki zarzdzania oprogramowaniem. Wytyczonym celem jest przygotowanie urzdu do wdroenia normy ISO/IEC 27001:2005, okrelajcej wymagania dotyczce wdroenia, eksploatacji, monitorowania, przegldy, utrzymania i doskonalenia Systemu Zarzdzania Bezpieczestwem Informacji.

Efekty pierwszego etapu dziaa

W pierwszym etapie wdroenia SAM wykonano pen inwentaryzacj rodkw trwaych: stacji roboczych (komputerw) i pozostaych urzdze peryferyjnych. Kady z elementw zosta oznaczony numerem identyfikacyjnym naklejonym na obudowie oraz zaewidencjonowany w bazie danych. Dodatkowo przeprowadzona zostaa inwentaryzacja przypisania rodkw trwaych do danych uytkownikw. Pene wdroenie usugi katalogowej pozwolio na nadanie odpowiednich uprawnie kontom uytkownikw komputerw. Dziki temu radykalnie ograniczono liczb samowolnych instalacji, a Departament Gospodarki Elektronicznej uzyska pen kontrol nad instalacjami na komputerach. Wdroony zosta system cigej kontroli wykorzystywanego sprztu i oprogramowania. Wybrano te standardowy zestaw aplikacji z pokryciem licencyjnym. Taka standaryzacja stacji znacznie usprawnia prac i uatwia wykonywanie dziaa serwisowych. Dodatkow korzyci byo zbudowanie ambitnego zespou osb, ktry doskonale sprawdza si w realizacji wyznaczanych celw.

Drugi audyt oprogramowania

Na pocztku roku 2011 Ministerstwo Gospodarki podjo decyzj o przeprowadzeniu nastpnego audytu oprogramowania. Gwnym celem drugiego audytu byo podniesienie poziomu efektywnoci zarzdzania oprogramowaniem. Podczas drugiego audytu oprogramowania dokonano te weryfikacji aplikacji zainstalowanych oraz licencji posiadanych w celu potwierdzenia zgodnoci wykorzystywanych licencji. Weryfikowano te, czy wszystkie przeprowadzone dziaania wykonywane byy zgodnie ze standardami SAM. Zorganizowany zosta wsplny zesp audytowy zoony z przedstawicieli MG i wybranego wykonawcy. Ze strony wykonawcy projekt prowadzi Robert Radziejewski, koordynator ds. audytu w firmie CompNet. Ze strony Ministerstwa Gospodarki koordynatorem zosta Piotr Stadnicki, informatyk w Departamencie Gospodarki Elektronicznej. Obaj koordynatorzy na bieco zajmowali si prowadzonymi pracami i szczegami technicznymi wyniki analiz i obserwacji przedstawiano na spotkaniach z kierownictwem Departamentu Gospodarki Elektronicznej.

Szczegowe omwienie procesw zarzdzania oprogramowaniem wcaym zespole osb, ktre wnich wystpuj, pozwolio usprawni teprocesy. Wszyscy biorcy wnich udzia mogli zauway, jaki wpyw maj ich dziaania na przebieg pracy innych iostateczny wynik informacji
Piotr Stadnicki, Koordynator Audytu wMinisterstwie Gospodarki

Do tej pory klienci decydujcy si na audyt oprogramowania skupiali si na inwentaryzacji oprogramowania, upewnieniu si e s wykorzystywane zgodnie z prawem, wdroeniu podstawowych procedur zarzdzania oprogramowaniem i przeszkoleniu z nich pracownikw aby nie wykorzystywali komputerw do celw prywatnych. Dzisiaj chc podnie poziom zarzdzania zasobami IT poprzez powizanie informacji o licencjach z innymi obszarami informatyki zgodnie z dobrymi praktykami ITIL.

Sebastian Strzech, Dyrektor Zarzdzajcy, CompNet

Przeprowadzenie dokadnej analizy procesw zarzdzania oprogramowaniem pomogo nam w identyfikacji miejsc, w ktrych istniaa moliwo usprawnienia danego procesu np. poprzez jego skrcenie w przypadku dublowania si informacji.

Robert Radziejewski, Koordynator ds. Audytu, CompNet

W ramach drugiego audytu CompNet skupi si na zbadaniu wymiany informacji w poszczeglnych etapach zarzdzania oprogramowaniem. Badania te dokonywane byy na podstawie analiz, obserwacji i wywiadw z osobami biorcymi udzia w procesach. W tym samym czasie firma badajc oprogramowanie zebraa te informacje historyczne, aby okreli poziom realizacji celw wyznaczonych w roku 2008. W raportach wynikowych CompNet przedstawi m.in. wyniki i wnioski przeprowadzonych analiz, poziom realizacji celw wyznaczonych w roku 2008, ocen dziaania systemu samokontroli, zalecenia dotyczce dalszych dziaa i kierunkw doskonalenia systemu.

Wynikiem drugiego audytu jest osignicie wyszego poziomu zarzdzania oprogramowaniem poprzez skupienie si na procesach zwizanych z zarzdzaniem licencjami, m.in. poprzez powoanie administratora licencji, ktry bezporednio odpowiada za te procesy. Zakoczone dziaania audytowe oraz kolejna certyfikacja przez firm CompNet oraz firmy organizujce programy SAM (Microsoft, Adobe, Autodesk) potwierdziy, e Ministerstwo Gospodarki odpowiednio zarzdza oprogramowaniem.

Nowe cele strategiczne i operacyjne

Osignity wysoki standard zarzdzania oprogramowaniem dobrze przygotowa Ministerstwo Gospodarki do celu strategicznego: wdroenia normy ISO/IEC 19770 Software Asset Management (SAM). Wdroenie tej normy pozwoli umocni obecnie funkcjonujce zasady oraz w sposb cigy aktualizowa i weryfikowa posiadane zasoby.

Jednym z elementw strategii informatyzacji Ministerstwa Gospodarki jest denie do optymalnego zarzdzania zasobami informatycznymi i staego podnoszenia bezpieczestwa informacji. W ramach wdroonego zintegrowanego systemu zarzdzania informacj oraz zdobytych praktycznych dowiadcze i dobrej praktyki moglimy przystpi do certyfikacji ISO 27001 z zakresu zarzdzania bezpieczestwem informacji. W dziaaniach tych mieci si rwnie zarzdzanie oprogramowaniem, licencjami, czyli wartociami niematerialnymi i prawnymi w organizacji, stanowicymi duy zasb. Przeprowadzone audyty za kadym razem dostarczay nam wiarygodne informacje na temat tego, w jaki sposb wykorzystujemy oprogramowanie i jak moemy nim efektywniej zarzdza. Dziki nim moglimy uzyska istotne oszczdnoci w wydatkach na wartoci niematerialne i prawne. Dowiadczenia ze stosowania zarwno praktyk ITIL, jak i SAM w zarzdzaniu zasobami IT, w szczeglnoci oprogramowaniem, skoniy nas do przystpienia do certyfikacji w zakresie ISO 19770. Jest to norma, ktra si cigle rozwija, ale jestemy ju gotowi do wdroenia w Ministerstwie Gospodarki rwnie tych procedur.
Sebastian Christow, Dyrektor Departamentu Gospodarki Elektronicznej w Ministerstwie Gospodarki

Okrelono te operacyjne cele krtkoterminowe, majce wpyw na biec prac Ministerstwa. S to m. in.: dalsze szkolenia pracownikw dziau serwisu oraz Departamentu Gospodarki Elektronicznej z dziedziny licencjonowania oprogramowania, dokonywanie okresowych audytw wewntrznych, kontynuacja centralizacji zasobw, ujednolicenie baz danych posiadanych informacji w celu sprawniejszego ich wykorzystywania zgodnie z dobrymi praktykami ITIL (Information Technology Infrastructure Library).

nych regulowana jest m.in. przez Prawo wasnoci przemysowej. Na infrastruktur informatyczn Urzdu Patentowego RP skada si cznie ponad 650 jednostek komputerowych, w tym serwery, komputery desktop, notebooki i terminale.

Audyt i zarzdzanie oprogramowaniem w Urzdzie Patentowym RP

Urzd Patentowy RP uzyska certyfikaty po przeprowadzeniu przez CompNet audytu pod ktem zgodnoci z warunkami posiadanych licencji. Istotnym elementem audytu byo zastosowanie specjalistycznego rozwizania bazy danych licencji oprogramowania. Audyt oprogramowania potraktowano w Urzdzie Patentowym jako wany element wdraanej polityki informatyzacji. Dziaania Urzdu Patentowego ukierunkowane s bowiem przede wszystkim na stworzenie przyjaznego rodowiska szybkiej komunikacji elektronicznej, sucego uytkownikom systemu ochrony wasnoci przemysowej w Polsce. S to dziaania spjne z polityk szerokiej informatyzacji sfery publicznej prowadzon przez rzd, ktry za jeden z priorytetw przyjmuje wprowadzenie przyjaznej dla obywateli obsugi elektronicznej w urzdach administracji pastwowej. Jednym z czynnikw umoliwiajcych osignicie tego celu jest wdraanie najlepszych praktyk w zarzdzaniu oprogramowaniem, ktre zostay zdefiniowane m.in. w postaci praktyk ITIL. Kolejne audyty bd miay za zadanie usprawnienie polityki zarzdzania oprogramowaniem.

O Urzdzie Patentowym RP
Urzd Patentowy RP, istniejcy od 1918 r., jest centralnym organem administracji rzdowej odpowiedzialnym za realizacj zada zwizanych z ochron wasnoci przemysowej w Polsce. Tworzenie nowych rozwiza technicznych, warunkujcych zrwnowaony rozwj gospodarczy, wymaga zapewnienia szeroko pojtej ochrony wasnoci intelektualnej, majcej obecnie rwnie istotne znaczenie, jak ochrona prawa wasnoci w sferze materialnej. W Polsce ochrona wartoci niematerial-

Urzd Patentowy RP, urzd administracji centralnej realizujcy swoj misj ochrony wasnoci przemysowej, szczegln uwag przywizuje do aspektw zwizanych z dziaalnoci samego urzdu a wic take legalnoci oprogramowania, ktrego uywa si w pracy kadego dnia, we wszystkich procedurach realizowanych przez UP RP.

dr Alicja Adamczak, Prezes Urzdu Patentowego RP

Stare narzdzie arkusz kalkulacyjny, w ktrym zapisane byy dane posiadanych licencji zastpilimy centraln baz danych, utworzon zgodnie z praktykami ITIL. Baz wypenilimy szczegowymi danymi o licencjach. Rozwizanie to radykalnie usprawnio zarzdzanie oprogramowaniem.
Jakub Fomin, Gwny Specjalista w Urzdzie Patentowym RP

Urzd Patentowy jest w posiadaniu danych, ktre dla przedsibiorcw ubiegajcych si o patent stanowi niezwykle cenn warto niematerialn. Dlatego polityka bezpieczestwa oraz zarzdzanie oprogramowaniem w Urzdzie Patentowym musz by niezwykle pewne, skuteczne i precyzyjne.

Sawomir Wachowicz, Zastpca Prezesa Urzdu Patentowego RP

Podsumowanie
Pena wiedza o posiadanym sprzcie informatycznym oraz zainstalowanym i wykorzystywanym oprogramowaniu jest podstawowym warunkiem zarzdzania zasobami IT. Dziki skutecznemu zarzdzaniu oprogramowaniem zasoby informatyczne wykorzystane s w sposb zgodny z postanowieniami licencyjnymi, a zarazem optymalny z punktu widzenia potrzeb instytucji oraz kosztw eksploatacji oprogramowania i infrastruktury informacyjnej. Dziaania Ministerstwa Gospodarki oraz Urzdu Patentowego RP w dziedzinie zarzdzania wykorzystywanym oprogramowaniem mog by wzorem zarzdzania infrastruktur informacyjn urzdu administracji publicznej. Prawidowe i optymalne wykorzystanie zasobw IT wraz z precyzyjnymi podstawami prawnymi, odpowiedni organizacj instytucji oraz dobrze zaprojektowanymi i wdroonymi procedurami jest bowiem podstaw sprawnoci nowoczesnej administracji.

W czerwcu i lipcu 2010 r. zesp SGH przeprowadzi badanie na temat zarzdzania oprogramowaniem w niemal 100 organach administracji centralnej i lokalnej. Cho prawie we wszystkich badanych urzdach podstawow procedur zarzdzania oprogramowaniem byo wyznaczenie osoby odpowiedzialnej za zasoby IT, to jednak tylko w 50% urzdw bya pewno co do zgodnoci liczby licencji z zainstalowanym oprogramowaniem. Oznacza to, e 50% ankietowanych nie wykluczao moliwoci, i na komputerach urzdu mogo by zainstalowane oprogramowanie bez licencji. Tylko w ok. 40% badanych urzdw stosowana bya blokada moliwoci samodzielnej instalacji oprogramowania przez pracownikw.
Raport z badania Zarzdzanie oprogramowaniem w centralnej i lokalnej administracji publicznej SGH, Warszawa, wrzesie 2010

Analitycy oceniaj, e dziki wdroeniu zarzdzania zasobami oprogramowania oszczdnoci w wydatkach sigaj w pierwszym roku 30%, a w kolejnych latach od 5 do 10% kosztw oprogramowania rocznie.

Frances OBrien IT Asset Management: Moving to Higher Ground, Gartner ITAM Conference 2003