Как собрать и валидировать данные о программных активах для эффективного SAM-процесса
Основной признак начального уровня зрелости процесса управления программными активами — отсутствие качественных данных. Чтобы начать движение из этой точки в сторону повышения уровня зрелости, нужно правильно организовать сбор и валидацию информации о программных активах. В этой статье разберемся, где искать нужные данные о ПО и лицензиях, как их правильно собирать и анализировать.
Шаг 1. Определить источники данных
Итак, вы на первом уровне зрелости системы управления программными активами. Данные не собираются или собираются не полностью, в результате вы получаете цифры, которые нет смысла анализировать и использовать из-за их низкого качества. Как это исправить?
Перед тем как переходить к сбору данных необходимо идентифицировать основные источники информации. Какие данные требуется собирать для управления программными активами? Во-первых, это инвентарные данные по устройствам и установленному на них ПО. Во-вторых, это коммерческие данные о приобретенных лицензиях.
Источниками инвентарных данных могут выступать:
Системы управления ИТ-инфраструктурой компании (например, Microsoft SCCM), с помощью которых осуществляется развертывание ПО на физические и виртуальные устройства в корпоративной сети;
Системы обеспечения информационной безопасности (например, Kaspersky Security Center, MaxPatrol). Как правило, антивирусы и SIEM-системы обладают функцией автоматической инвентаризации устройств и установок ПО;
Системы мониторинга (например, Naumen Network Manager), которые собирают не только данные по событиям на устройствах, но также отслеживают технические характеристики и установленное ПО;
Специализированные решения для дискаверинга и автоматической инвентаризации (например, Lansweeper, GLPI, OCS Inventory).
При выборе источника инвентарных данных необходимо проверить, собирает ли система требуемые для SAM данные:
По устройствам:
Наименование процессора,
Частота процессора,
Количество процессоров,
Количество ядер,
Операционная система.
Эти данные необходимы для расчета использования лицензий по «сложным» метрикам лицензирования (по процессорам или по ядрам).
По установленному ПО:
Наименование вендора,
Наименование программного продукта,
Версия,
Дата установки,
Устройство, на котором установлено ПО.
Зачастую, одна система не покрывает все устройства в ИТ-инфраструктуре компании. В этом случае можно агрегировать данные из нескольких систем. Например, MS SCCM — для устройств под управлением операционной системы Windows, Naumen Network Manager — для устройств под управлением Linux.
Источниками данных о приобретенных лицензиях являются:
Системы бухгалтерского или контрактного учета, ERP-системы (например, 1С, SAP, Oracle, Галактика);
Оригиналы или скан-копии документов о приобретении лицензий.
При выборе системы-источника коммерческих данных необходимо убедиться, что в ней содержится информация о спецификациях в рамках договоров с полным описанием приобретенных позиций. Эта информация требуется, чтобы однозначно идентифицировать, лицензии на какое ПО и в каком объеме прав были приобретены организацией.
После определения ключевых источников можно переходить непосредственно к сбору данных.
Шаг 2. Получение инвентарных данных
Допустим, в качестве основного источника инвентарных данных вы выбрали уже развернутую в организации систему антивирусной защиты. Перед сбором данных необходимо проверить, что система собирает данные с не менее 95% устройств в ИТ-инфраструктуре компании. В случае, если этот показатель ниже, нужно выявить «слепые пятна», исследовать и устранить причины их возникновения, установив агенты инвентаризации на устройства или настроив безагентский сбор данных.
Почему в качестве целевого ориентира используется 95%, а не все 100%? Важно понимать, что достичь стопроцентного охвата инвентаризации ИТ-активов практически невозможно, потому что часть процессов сложно учитывать в режиме реального времени. Например, есть устройства, которые совсем недавно были перемещены со склада в эксплуатацию, и это не успело отразиться в системах-источниках данных. Поэтому, когда речь идет об уровне доверия к собираемым данным, допустима погрешность в 5%.
Для того, чтобы получать данные максимально приближенные к реальности, необходимо настроить выполнение автоматической инвентаризации устройств с периодом как минимум 1 раз в день.
Стоит отметить, что инвентарные данные собираются с устройств в «сыром» виде: одни и те же вендоры и программные продукты могут быть представлены в 3–4 различных наименованиях. Для последующего использования данных в процессе SAM необходимо провести процедуру их нормализации, то есть приведения к единообразному виду.
Также важно понимать, что «сырые» инвентарные данные содержат большое количество записей, которые не требуется учитывать: это различные языковые пакеты, драйверы, патчи и так далее. Доля таких «мусорных» записей в общем объёме инвентарных данных о ПО может достигать 45%, поэтому необходимо отсеивать их ещё до начала работы, чтобы оперировать только записями о ПО, которое требуется учитывать.
Задачи нормализации и фильтрации данных очень трудоемкие: для организаций с несколькими тысячами устройств количество записей об установках ПО может достигать нескольких миллионов. Избежать ручного рутинного труда при решении этих задач помогут специализированные SAM-системы. Например, в системе управления программными активами Naumen SAM реализованы встроенный механизм нормализации данных, каталог распознавания ПО и игнорирующие правила, которые позволяют полностью автоматизировать процесс, сократив трудозатраты специалистов до нуля.
Шаг 3. Инвентаризация коммерческих данных по лицензиям
Инвентарные данные позволяют получить аналитику только по фактическому использованию ПО. Для понимания, соответствует ли использование ПО закупленным лицензиям требуется инвентаризировать и оцифровать данные по всем лицензиям ПО, которыми владеет компания.
Для решения этой задачи необходимо:
Найти все договоры на приобретение лицензий ПО, которые были заключены компанией.
Проанализировать каждый договор на предмет того, какое ПО закупалось, в каком объеме, с какой стоимостью и на каких условиях использования.
Оцифровать параметры закупленных лицензий в рамках каждого договора в SAM-системе или Excel-файле.
Пример оцифрованного договора в системе
Задача объемная, потому что требуется поднять историю покупок лицензий за все время существования компании, для крупных организаций количество договоров может достигать нескольких сотен.
Кроме того, наименования ПО в спецификациях договоров также, как и в «сырых» инвентарных данных, могут быть записаны в различных формулировках, которые требуется нормализовывать, чтобы отнести к одному программному продукту. Задача упрощается, если спецификации договоров хранятся в структурированном виде в учетной системе.
Конечная цель этих 3 шагов — создать единую базу данных, которая включает в себя нормализованные данные об установленном ПО и коммерческие данные о закупленных лицензиях. Совокупность этих данных позволяет строить отчеты по лицензионному соответствию организации для выявления compliance-рисков и оптимизации использования лицензий.
Заключение
Для организации эффективного SAM-процесса необходимо предварительно выстроить процедуры сбора и обработки данных о программных активах.
Первый шаг к получению достоверных данных — определение источников информации о приобретенных лицензиях и установленном на устройствах ПО. Источником инвентарных данных могут выступать имеющиеся в организации системы управления ИТ-инфраструктурой, мониторинга, обеспечения информационной безопасности и специализированные решения для автодискаверинга, источником коммерческих данных — бухгалтерские, контрактные и финансовые системы.
Второй шаг — проведение автоматической инвентаризации для сбора данных об устройствах и установленных на них экземпляров ПО. Важно приблизиться к охвату инвентаризацией 95% от всех устройств в компании. Если этот показатель ниже, необходимо устранить «слепые пятна».
Третий шаг — сбор коммерческих данных о приобретенных лицензиях. Для создания полноценной картины использования лицензий ПО требуются данные, которые невозможно получить в ходе инвентаризации. Это данные о закупках лицензий, которые хранятся в договорах с вендорами.
Выстроив процедуры сбора данных, компания открывает для себя возможности для перехода на следующий уровень зрелости «Проактивный SAM», на котором доступна оптимизация процессов с опорой на качественные данные.