V minulém díle jsme nakousli problematiku softwarových auditů a vysvětlili jsme si důvod, proč je dobré pravidelný softwarový audit provádět. Dnes si povíme více o tom, jakým způsobem softwarový audit provést a jaké nástroje pro to máme k dispozici. Zmíníme se také o způsobech, kterými je možné přenést zodpovědnost za nelegálně nainstalovaný software až na koncové uživatele. Tato část se týká především správců IT ve firmách, na jejichž hlavu padá případný postih v případě, kdy nemají vše podchyceno tak, jak si popíšeme.
Již v minulém díle tohoto seriálu jsme si řekli, že pod pojmem softwarový audit rozumíme inventarizaci veškerého nainstalovaného softwaru a doložení dokladů potvrzujících jeho legální nabytí. Pokud děláme softwarový audit poprvé bývá počítač většinou zamořen z větší či menší části nelegálně nainstalovanými programy, které navíc uživatel často instaloval jen z toho důvodu, aby si daný software vyzkoušel a v současnosti již tyto programy nijak nevyužívá. V počítači se tak nachází tisíce různých souborů u nich nemusí být ani zcela jasné, ke kterému programu vlastně patří a na discích panuje značný chaos.
Nejjednodušším řešením v takovém případě je kompletní formát disků počítače a nová, čistá instalace OS. Pokud na počítač instalujeme nově operační systém a programy, ke kterým máme patřičné licence, můžeme si ihned založit evidenci k tomuto počítači. Listu, který obsahuje soupis všeho hardwaru a nainstalovaných aplikací se říká pasport. Jak by měl takový identifikační list počítače vypadat se můžete podívat například zde: http://www.swmpoint.cz//cs/download/pasport.doc. V pasportu uvedeme soupis hardwaru a veškerého softwaru, který jsme na počítač nainstalovali. K evidenci můžeme přidat i kopie pořizovacích dokladů a vytisknuté licenční smlouvy. Tímto získáme naprostý přehled o právě auditovaném počítači. Vždy, když budeme následně na tento počítač instalovat další programy neměli bychom zapomenout je připsat i do této evidence. Při každém dalším auditu, který by se měl dělat s frekvencí maximálně jednoho roku, pak jen porovnáme aktuálně nainstalovaný software s naší evidencí a dohledáme případné doklady v případě, že se na počítači bude nalézat software, který v evidenci chybí nebo z počítače odstraníme zjištěné nelegální kopie. Tomuto kroku se říká narovnání licencí.
Pokud z nějakého důvodu nechceme začínat se softwarovými audity přeinstalací počítačů, je vhodné, pokud oznámíme zaměstnancům firmy plánovaný softwarový audit dopředu. Mnoho zaměstnanců raději samo před plánovaným auditem odinstaluje veškerý software, který je na počítači nainstalován nelegálně. Při auditu pak budeme mít daleko méně práce, než kdybychom zaměstnance zaskočili nepřipravené.
Na trhu existuje řada nástrojů, které nám mohou softwarový adudit značně usnadnit, tím že proskenují počítač a zinventarizují veškerý jeho hardware a nainstalovaný software na auditovaném počítači, nebo na všech počítačích v síti. Seznam několika dostupných programů můžete získat na webové stránce:
http://global.bsa.org/zeptejtesesam/04_00.cfm.
Osobně doporučuji použití programu AuditPro, který patří ke špičce v této oblasti. Tento nástroj vám kromě inventarizace softwaru a hardwaru umožní také tisk evidenčních listů (pasportů) a správu majetku. Umožňuje hlídat počet zakoupených licencí a porovnávat jej s množství nainstalovaných kopií. Program udržuje velice rozsáhlou databázi známého softwaru a dokáže tak sám podle různých znaků rozpoznat nainstalovaný software včetně způsobu jeho licencování.
Pokud dojde ve firmě k policejní kontrole legálnosti používaného softwaru, stávají se ze zaměstnanců naprostí počítačový antitalenti, kteří ani neví jak se počítač zapíná, natož aby věděli, jak na něj nainstalovat nějaký program. Na software, který byl kontrolou v počítači nalezen hledí jako právě vyorané myši a nevěřícně kroutí hlavou s otázkami: Co to je za program? Kde se to tam vzalo? Kdo to tam nainstaloval? Vše vidí najednou poprvé… Těžko takovému zaměstnanci dokazovat, že tam zmíněný nelegální software nainstaloval právě on. Správce IT by proto měl dodržovat pár zásad mezi něž patří především nastavení oprávnění pro jednotlivé uživatele, kteří by v žádném případě neměli mít práva administrátora a neměli by tak mít možnost na počítač cokoliv instalovat. Stejně tak by měli mít uživatelé svá tajná hesla k systému, aby se později nemohli vymlouvat na to, že mohl nalezený nelegální software nainstalovat na počítač kdokoliv jiný. Další důležitou zásadou je, že necháme všechny zaměstnance podepsat protokol o převzetí hardware s nainstalovanými programy. Může jít například o již zmíněný evidenční list počítače, kde je všechen software včetně licenčních čísel uveden. Je důležité, aby na předávacím protokolu byl vyjmenován i software s free licenční politikou, protože by se jinak mohli zaměstnanci vymlouvat, že byl v počítači nainstalován i jiný software, než jen ten, který podpisem přebírali. V neposlední řadě je pak důležité, aby byli všichni zaměstnanci proškoleni o tom co smí a co ne a podepsali o provedeném školení protokol. Na řadu přichází pravidelný softwarový audit, který vyhmátne případné přestupky zaměstnanců, kteří přes všechny zákazy stále nelegální software instalují. Zde je potřeba upozornit na to, aby pravidelnost prováděných auditů nebyla zase tak pravidelná. Pokud bychom například prováděli audit vždy první pondělí v měsíci, mohli by si toho zaměstnanci všimnout a na daný termín vždy z počítače odstranit věci, které tam po auditu opět vrátí. Pro správce IT je ve firmě důležitá podpora vedení, které musí souhlasit s popsanými kroky a musí je i samo dodržovat. Mělo by jednoznačně vyžadovat dodržování stanovených pravidel a případné provinilce spravedlivě trestat.
Pokud se nám podaří zavést do praxe výše uvedené postupy, pak máme velikou šanci se z případné zodpovědnosti zcela vymanit nebo alespoň co nejvíce snížit případný postih. Ještě důležitější však je, že pokud budou tato pravidla skutečně dodržována, pak si žádný ze zaměstnanců nedovolí nelegální software instalovat. Vedlejším účinkem navíc je, že rozlobený zaměstnanec na vás jen těžko pošle policejní kontrolu. Musí mu být zcela jasné, že máte vše v naprostém pořádku a jakákoliv pomsta v tomto směru by se minula účinkem. Z pravidelného auditu se za chvíli stane činnost, která správci IT zabere jen pár minut drahocenného času.
Doufám, že vám informace obsažené v tomto seriálu zodpověděli alespoň část otázek o softwarovém auditu a pomohou vám nastolit pořádek ve firmě, kde třeba právě jako správce IT pracujete. Své zodpovědnosti se nikdy nemůžete zbavit úplně, ale s trochou dobré vůle můžete nastolit takový pořádek, abyste mohli klidně spát. Na samý závěr ještě uvádím odkaz na stránku s popsanými soudní spory, jež jsou spojené s porušováním autorských práv.