自2019年底新型冠状病毒肺炎突至,持续至今已经三个月有余,疫情已经蔓延至上百个国家和地区。全球各国都采取了强有力的遏制措施,以减缓并扭转疫情蔓延。但是随着新冠疫情进入常态化,“一动不如一静”的生活方式对全球经济也造成了一定的影响。为了防止经济进一步下滑,全球各国开始积极推动企业复工复产。

疫情之下复工复产:企业面临合规风险

面对复工复产,企业都很小心谨慎,严格遵照国家疫情规范进行生产活动,避免近距离交流和接触,利用各种通讯会议软件系统进行远程办公,将相关业务流程、产品测试等工作转移到线上完成。疫情影响之下,用户对远程办公有了更新的认知度,对于线上办公软件有了更高的认可度。

然而,为了尽快促进企业效益的提升,企业优先把大部分财力和精力投入到直接产生价值的生产环节,之后才会是在企业IT系统和办公软件的购买上,这就造成了员工所使用的办公系统、专业软件过期未续买,产生合规问题;同时软件制造商,因为疫情致使用户购买欲望下降,市场萎缩,所以不得不加大对客户使用其软件的合规遵从性审计工作,开始在IT界自行以软件合规审计方式监管用户使用,来确保企业可以为所使用的IT技术、软件买更多订单,防止客户少买多用或者盗用之类的情况,致使企业频繁接到来自软件制造商的合规审核,甚至造成经济损失。

在Ivanti全球服务的客户中,疫情期间关于企业软件合规审计问题的处理事件达到高峰,原来关于软件许可、合规的问题,十个客户中只有两家可能会涉及,现在十家中竟有八九家客户向Ivanti咨询这类问题。越来越多的企业反馈他们正面临着软件厂商的合规审计,更有部分客户已经收到来自软件厂商的通知函或律师函,尤其是使用Adobe和AutoDesk旗下的一系列大型专业软件的企业,如果按照欧美的上市公司的标准进行审计,几乎所有公司都可能有不同程度的违规情况。这给IT管理造成了巨大的挑战。

避免被合规审计打中,企业IT需要洞察力

软件合规审计并不是新问题,但在疫情期间尤为突显,不得不引起企业的高度重视。因此,在接到供应商合规审计通知前,制定相关的合规审计的应对工作尤为重要,提前发现软件问题、收集相关数据,甚至主动与供应商进行协定,有助于企业消除合规问题,顺利通过审计。

首先,企业IT管理需要一种洞察力,来透视各个供应商手里的这把审计的“枪”,比如明确其瞄准的是AutoCAD 2019版还是2013版,是Adobe Photoshop的某个版本,还是其它的软件。当企业具有了软件洞察能力之后,就可以提前避开软件合规的大坑,避开针对你的这把“枪”。

解决了IT洞察力问题,就能解决软件合规问题。企业需要一种能够将所有办公系统和软件进行可视化管理的工具,包括对员工所安装的软件信息、软件列表、软件清单透明可见。通过这样的软件洞察力,企业就可以对整个公司所使用的软件数量、软件厂商、软件使用者、软件使用次数了如指掌,当软件许可证缺少时,就能够及时补上,给企业穿上防弹衣,可以主动躲开攻击你的方向,不被软件厂商合规审计的枪打中。

同时,企业还可以借助成熟的大数据、人工智能技术,利用数据分析明确哪些软件收费,哪类软件免费。Ivanti认为,企业可以通过汇总海量软件的收费信息,包括驱动程序类型、注册信息、使用痕迹等,使用数据分析技术自动识别软件收费与否,然后针对性地对软件进行操作,避免人工操作的遗漏或失误。当然,企业再引入一些软件管理的辅助功能,如批量导入员工软件使用权限信息表,自动管理软件安装权限;再如,设备维修保护管理功能,确保企业设备良好运行,这样能够更好地避免合规问题出现。

在此基础之上,当企业接到审核通知信后,就可以制定出软件审核计划,明确审核步骤,这将会减少审核对企业财政和生产力的影响。在Ivanti看来,企业软件审计可以遵循以下十个步骤

  1. 收到审核通知信后,立即确认需要注意的个人或部门,如ITAS/SAM经理、法律团队和CIO。
  2. 法律团队需要及时参与进来,并参与到每一步与软件供应商的交流与协商过程中。
  3. 与所有适用方或部门进行强制性会议,以建立在审核过程中对个人责任的明确认识。
  4. 与软件供应商协定新的保密协议,强调审核所需的信息将共享于双方之间。
  5. 协定审核条款和条件,明确写出供应商的哪些产品或应用将包括在审核中。
  6. 根据条件和条款收集所有相关数据,确保充分利用企业所有指定的个人。
  7. 在特定的时间内将数据提供给审核人员,不多也不少,避免 自己陷入不利局面。
  8. 与供应商协定审核结果,如调整成本、费用或罚款、或新合同条款,以降低成本。
  9. 记录审核结果,包括步骤是否奏效、审核费用、节省的成本、所使用的战术。
  10. 根据所记录下的结果调整软件审核计划,为下次审核做好准备。

企业IT管理水平仍待提升

Gartner的一项资产管理报告也表明,由于企业对IT资产管理不完善,经常实施临时策略和流程来管理IT资产的整个生命周期,缺乏全局性的IT资产管理生命周期流程管理的机制,不仅增加了企业IT管理成本,还带来了软件合规和影子IT的风险。

与此同时,Ivanti的IT资产管理IT服务管理的调查还显示,1600多名IT人员中超过一半的受访者每周还花费许多时间为已过保修期的资产提供支持;三分之一的受访者觉得他们每周花在库存/资产协调上的时间太多了;63% 的 IT 人员希望能将 ITSM 和 ITAM 整合起来以便更好地了解其 IT 资产。

由此或见,IT管理水平与企业能否顺利通过软件厂商审计有着直接关系,企业需要具备完整的软件管理体系,包括对软件安装使用的监测、软件许可证分配与回收的处理、软件安装权限的管控,以及软件资产状况的展现。

Ivanti在IT服务管理领域深耕多年,对IT资产管理有着独到的见解和深刻的洞察。2019年Gartner软件资产管理工具魔力四象限,Ivanti成功跻身于利基者象限。Gartner认为,Ivanti的“统一的IT”方法,包括用于UEM、ITSM和安全性的产品,十分契合软件资产管理工具客户的需求。

欲了解更多详情,欢迎点击下载Ivanti软件审计十步计划。