ביקורת ניהל נכסי תוכנה
רקע
בשנים האחרונות אנו עדים לעלייה במודעות ל"ניהול נכסי תוכנה", מושג המאגד בתוכו את התשתיות והתהליכים הדרושים לניהול, בקרה והגנה על נכסי תוכנה לאורך מעגל חייהם, כגון:
- רכש ותחזית, הכוללים בין היתר ניהול משא ומתן עם ספקי תוכנה חדשים או לקראת חידוש תקופתי.
- בחינת סוגי רישוי (מטריצת הרישיון), לדוגמה: במוצרים מסוימים ניתן לרכוש רישיונות לפי כמות משתמשים או כמות מסמכים או נפח תעבורת נתונים. רכישת מטריצת רישיון לא אופטימלית יכולה להוביל לעלויות יתר לארגון, לעומת זאת, רכישת מטריצת רישיון אופטימלית יכולה לחסוך עלויות לארגון.
- זיהוי וניטור של תשתיות, התקנים ותוכנות, לרבות הוספה, שינוי וגריעה שלהם.
עד כאן עמוד ראשון – שער
אתגר המורכבות
ניהול נכסי התוכנה נשמע פשוט, אך היישום בפועל מורכב ומאתגר, בין היתר לאור הסיבות הבאות:
| 1. תוכנה מהווה בממוצע כ-15% מהתקציב הכולל של מערכות המידע ולכן נחשבת לנכס מהותי. |
| 2. בארגון סטנדרטי קיימים בממוצע מעל 50 ספקי תוכנה ומאות חוזי רישיונות. |
| 3. ניהול נכסי תוכנה מצריך מעורבות גבוהה של גורמים ארגוניים בתהליכי רכש, התקנה, חידוש, התאמה וגריעה של נכסי תוכנה. |
| 4. ההתפתחות הטכנולוגית (סביבות וירטואליות, מחשוב ענן) הפכו את המעקב אחר נכסי התוכנה לתהליך מאתגר. |
| 5. מטריצת הרישיון הופכת ליותר ויותר מורכבת ומשתנה לעיתים תכופות.
כך למשל, SAP עדכנו לפני כשנתיים את מודל התמחור בגין שימוש לא ישיר (באמצעות ממשקים), כך שארגונים יכולים לרכוש רישוי שונה מ-SAP לפי כמות מסמכים במקום כמות משתמשים. |
| 6. ביקורת מצד ספקי תוכנה גדולים הפכו לדבר שבשגרה ועלולה להוביל לקנסות, עקב הבנה לקויה של תנאי הרישיון ו/או שימוש חורג הנובע ממעקב לקוי בספירת התוכנות המותקנות בפועל. |
הסיכונים הטמונים בהיעדר ניהול "נכסי תוכנה"
ניהול לקוי של נכסי התוכנה בארגון חושף את הארגון לשלושה נושאי סיכון מרכזיים:
סיכון כספי
תשלומי יתר בגין נכסי תוכנה העשויים לנבוע מקנסות של ספקי התוכנה ומרכישה וחידוש רישיונות שאינם בשימוש ו/או שאינם במטריצת רישיון אופטימלית לארגון.
סיכון משפטי
מורכבות הרישיונות עלולה לגרום להפרה של תנאי הרישיון ואף להוביל לפגיעה במוניטין הארגון.
סיכון אבטחת מידע
התקנה ושימוש בתוכנות לא ידועות או תוכנות עם גרסה לא מעודכנת עלולים להוביל לפרצה באבטחת המידע בארגון.
*בתרשים: שירותים וטובין הקשורים בניהול נכסי התוכנה בארגון
נכסי תוכנה בהיבט הביקורת הפנימית
לאור המודעות הגוברת לנושא ולסיכונים הגלומים בו, פונקציית הביקורת הפנימית יכולה לשמש בתפקיד מהותי בסיוע בבניית מגנוני הבקרה.
על הביקורת הפנימית לבחון את ניהול נכסי התוכנה משני היבטים עיקריים:
- באמצעות הערכת תהליך ניהול נכסי התוכנה, בין היתר לעומת סטנדרטים מקצועיים בתחום (ITIL, ISO), אפשר לבחון נושאים ותהליכי עבודה כגון:
- קיומם של מדיניות ונהלים
- זיהוי וסיווג תוכנות
- הוספה, הסרה או עדכון של תוכנות (לרבות תוכנות בענן)
- הוספה, הסרה או עדכון של התקנים (שרתים פיזיים, וירטואליים, מחשבים ועוד)
- מצאי רישיונות ושימושים בפועל
- טכנולוגיה ואמצעים ממוכנים לניהול רישיונות, התקנות, שימושים וגרסאות
- רכש ותחזית
- ניטור ובקרה
- במסגרת הביקורת ניתן לבחור ספק או תוכנה ספציפיים ולבחון את מחזור החיים שלהם:
- רכש וכמויות
- בחינת תהליך בחירת הספק והמשא ומתן, לרבות שימוש ביועצים
- בחינת התקנות ו/או שימושים
- התאמה בין מה שנרכש לבין מה שהותקן
- "טקטיקות רישוי" באמצעות מעבר בין מטריצות רישוי. לדוגמה, רישיון שנמדד לפי כמות משתמשים יכול להיות יקר יותר מרישיון שנמדד לפי כמות מעבדים
שימוש בכלים טכנולוגיים בביקורת
בהיעדר כלים טכנולוגיים בארגון, או כחלופה לבחינת כלים קיימים, שיתוף פעולה עם ספקי כלים לניהול נכסי תוכנה יכול לסייע ואף ליצור ערך בביצוע ביקורת פנימית. להלן מספר דוגמאות:
- בחינת רישוי של תוכנה או ספק תוכנה ספציפי
ניתן לבצע שימוש חד-פעמי תקופתי עם ספקי כלים המאפשרים:
| איסוף נתוני התקנות ושימושים מהתקנים שונים (בהתאם להיקף הביקורת) | |
| בדיקת התקנות ושימושים בפועל לעומת הרישיונות שנרכשו | |
| דיווח על אפשרויות לשיפור השימוש ברישוי |
- זיהוי שימושים וסיכונים בתוכנות ענן
ניתן לבצע שימוש חד-פעמי תקופתי עם ספקי כלים המאפשרים:
| זיהוי ספקי ענן בארגון באמצעים שונים, כגון התחברות מדפדפנים, מידע מהחזרי הוצאות של עובדים, מידע מה-ERP ועוד |
| בחינת שימושים של משתמשים בארגון ברישיונות של ספקי הענן | |
| בדיקה כי תוכנות הענן נבחנו ואושרו בהתאם לנהלים |
- זיהוי תוכנות קוד פתוח
קוד פתוח הוא תוכנה שקוד המקור שלה פתוח ונגיש לציבור והוא חופשי לשימוש, לצפייה, לעריכת שינויים ולהפצה מחודשת לציבור.
ניתן לבצע באמצעות כלי קיים בארגון או באמצעות שיתוף פעולה חד-פעמי:
| איסוף מידע על כלל התוכנות בארגון (בהתאם להיקף הביקורת) | |
| זיהוי תוכנות "קוד פתוח" | |
| בחינה כי תוכנות "קוד פתוח" נבחנו ואושרו בהתאם לנהלים |
לסיכום,
ניהול נכסי תוכנה מציב אתגרים משמעותיים שעימם מתמודדים פונקציות שונות בארגון, ובהן גם המבקר הפנימי.
היערכות והבנה מעמיקה של הסיכונים הטמונים בהיעדר ניהול נכסי תוכנה בארגון הוא צעד חשוב בפיתוח אסטרטגיה ומבנה ארגוני מתאים לניהול אופטימלי של נכסי התוכנה, שגם יכול לחסוך לארגון הוצאות.
כמבקרים פנימיים עלינו להעריך את מצב מוכנות הארגון לאתגרים העומדים בפניו ולהתריע על ליקויים בתהליכי הזיהוי, הרכש והניטור של נכסי תוכנה קיימים.
