Программное обеспечение как сервис (SaaS) должно управляться как часть управления программными активами (Software Asset Management, SAM). Главный аналитик Forrester Бисваджита Махапатра, соавтор отчета Forrester «Why you must rethink your software asset management practices», дает на портале ComputerWeekly несколько практических советов о том, как это реализовать.
SAM превратилось из простого бэк-офисного учета в более сложное управление лицензиями и контрактами, в которое интегрированы такие инновационные технологии, как искусственный интеллект, машинное обучение и генеративный ИИ (GenAI).
Успешное внедрение SAM позволяет сэкономить на стоимости лицензий, повысить уровень соответствия и сократить количество корректировок. Оно также повышает эффективность использования ПО, позволяя компаниям извлекать больше пользы из существующих инвестиций, удалять неиспользуемые, ненужные или архитектурно непригодные приложения, а также улучшать отношения с поставщиками за счет более эффективного управления контрактами. Большинство практик и инструментов SAM существуют уже давно, и SAM продолжает играть важную роль на протяжении всего цикла приобретения ПО.
Фирмы сегодня используют процессы SAM не только для поддержки разовых мероприятий, аудита ПО или продления контрактов, но и для эффективного управления затратами и оптимизации технологий. Отслеживание облачных лицензий, регистрация контрактов, управление и связывание активов, а также понимание прав доступа остаются областями, на которых должны сосредоточиться поставщики SAM.
В исследовании Forrester «The State Of Modern Technology Operations Maturity, 2023» только 37% всех специалистов по цифровым технологиям и ИТ (43% на крупных предприятиях) согласились с тем, что ПО их организации хорошо контролируется и управляется командой SAM. Перед ИТ-отделом стоит множество задач, включая разработку новых систем и устранение высокоприоритетных инцидентов. Но с точки зрения процесса, который должен быть последовательным и повторяемым, SAM является сложным и трудным, и немногие компании считают, что полностью овладели им.
Кажущийся простым вопрос о том, установлено ли на том или ином устройстве то или иное ПО, таит в себе множество сложностей и подводных камней. Согласование этого трудно устанавливаемого технического факта с договорными правами на использование ПО является сложной задачей.
Основным ценностным предложением SAM является снижение операционного риска за счет уменьшения вероятности неблагоприятных аудиторских проверок ПО и неожиданных массовых корректировок. Но даже это менее выгодное, чем получение дохода или сокращение затрат, предложение делает SAM привлекательным способом сокращения расходов.
Экспертов в предметной области нелегко найти, и их часто приходится готовить изнутри — они ценны и поэтому подвержены переманиванию.
В качестве примера можно привести крупное предприятие, в котором работает более 5000 сотрудников, поручившее команде SAM, состоящей всего из трех человек, еженедельно составлять отчет о соблюдении требований по всем отделам и отправлять его руководителям подразделений. Перед компанией встала дилемма: с одной стороны, ей требовалось больше ресурсов, чтобы обеспечить точный учет каждого приложения, его фактическое использование и соответствие требованиям; с другой стороны, соображения оптимизации расходов привели к планам либо передать функцию SAM на аутсорсинг, либо привлечь для подготовки отчетов SAM внештатных сотрудников.
Каталог технологий — это список технологий, которыми управляют, укомплектовывают персоналом и защищают предприятия.
Корпоративным архитекторам, часто отвечающим за управление жизненным циклом технологий, необходим надежный и чистый основной список всех поставщиков и наименований ПО (в том числе с открытым исходным кодом), представленный в виде цифрового актива, в идеале с указанием дат жизненного цикла, включая общую готовность, окончание срока службы и расширенную поддержку.
Службе безопасности требуются аналогичные данные для исправлений и управления поверхностью атаки, что, согласно недавним исследованиям, является наиболее важной практикой для улучшения результатов обеспечения безопасности.
Некоторые SAM-инструменты, такие как Flexera IT Visibility и аналогичные предложения ServiceNow и других компаний, предоставляют эту информацию в виде каталога.
Еще одна сложность заключается в том, что распространение SaaS-решений, доступных через веб-браузеры, первоначально вызвало определенные трудности у поставщиков SAM. Лицензирование облачных вычислений — это не столько вопрос лицензирования и соблюдения требований, сколько проблема оптимизации и использования.
Большинство поставщиков SAM используют стандартные брокеры безопасного доступа к облаку (CASB) с единым входом или плагины для браузеров для учета и управления контрактами и использованием SaaS. Поставщики SAM также могут иметь стандартные API, которые интегрируются с большинством крупных поставщиков SaaS для получения данных о лицензиях и контрактах.
Стоит также отметить, что свободное ПО с открытым исходным кодом имеет свой собственный набор проблем, связанных с распространением и коммерциализацией. Поэтому компаниям крайне важно регистрировать любое ПО категории Open Source, особенно то, которое поставляется с лицензией GNU Affero General Public License.
В области управления ИТ-активами (ITAM) и SAM акцент смещается с аудита ПО и соблюдения лицензионных требований. Теперь они больше сосредоточены на управлении использованием, безопасности и управлении рисками по контрактам, а также на оптимизации затрат, расходов и бизнес-ценности. По мнению Forrester, при правильном построении процессов и использовании инструментов компании могут получить от инструментов SAM больше пользы для бизнеса.
Одно из направлений их использования — управление поставщиками. Инструменты SAM могут предоставить командам по управлению поставщиками информацию об использовании активов, их местонахождении и данных о производительности для заключения сделок с поставщиками ПО, оборудования и услуг. Они также помогают точно настроить соглашения и заключать более выгодные сделки, выявляя области, которые необходимо оптимизировать, расширить или исключить.
Инструменты SAM также способствуют оптимизации затрат на использование ПО и снижают риск дополнительных расходов на корректировку. Хотя выставление претензий по ПО часто является движущей силой внедрения SAM, правильное использование программных активов и лицензий с помощью SAM снижает другие риски. К ним относятся риски несоблюдения нормативных требований, связанные с несанкционированной установкой ПО, превышением лицензионных лимитов или использованием ПО без соответствующих лицензий; финансовые риски, связанные со штрафами за несоблюдение нормативных требований или оплатой ненужных подписок или лицензий на ПО; а также риски безопасности, связанные с использованием неподдерживаемого ПО, что может приводить к кибератакам или утечкам данных.
По мере усложнения среды, когда облачные, периферийные и в перспективе квантовые вычисления создают «путаницу» в активах, а структура лицензий постоянно меняется, становится все более важным применять интегрированный подход к управлению активами и внедрять инновационные технологии, такие как GenAI и автоматизация, для повышения операционной эффективности и снижения ручной нагрузки, рисков и затрат. Хотя поставщики еще не выпустили эти новые функции, они активно разрабатывают ряд возможностей MО и GenAI.
По мнению Forrester, GenAI облегчит управление жизненным циклом контракта, автоматизировав такие этапы, как составление, переговоры, утверждение, исполнение и мониторинг. Управляющие активами смогут использовать GenAI для быстрого создания и изменения контрактов в соответствии со своими специфическими потребностями, соблюдая при этом организационную политику и нормативные требования.
Машинное обучение также может быть использовано для контроля соблюдения требований и оценки рисков. Инструменты MО могут тщательно изучать контракты для выявления рисков соответствия, прогнозировать нарушения лицензий, обнаруживать несанкционированное использование ПО и оптимизировать решения о закупке лицензий. Автоматически сопоставляя данные об использовании ПО с правами и условиями лицензий, алгоритмы MО могут помочь организациям подготовиться к аудиту, выявить потенциальные пробелы в соблюдении требований и предоставить доказательства в поддержку усилий по сверке лицензий. Алгоритмы обнаружения аномалий на основе MО могут также выявлять попытки несанкционированной установки, использования или доступа к ПО.
Все основные корпоративные платформы управления сервисами, поддерживающие ITAM, — ServiceNow, BMC Helix, Ivanti — предлагают чат-боты. По прогнозам Forrester, чат-боты на базе GenAI будут предоставлять все более персонализированные рекомендации для принятия решений по управлению активами, анализируя предпочтения пользователей, исторические взаимодействия и контекстные данные, и смогут подстраивать ответы под индивидуальные потребности пользователей, будь то рекомендации по лицензированию ПО на основе моделей использования или предложения инвестиционных стратегий на основе профилей риска.