ДЭВИД БИКЕТ: «Дисциплина SAM, по сути, должна лежать в основе всего, что происходит с ПО в организации» |
Программное обеспечение становится ключевым активом бизнеса, потому неудивительно, что управление программными активами (Software Asset Management, SAM) было темой конференции ведущего делового издания «Ведомости». Для бизнеса очень важно понимать, в частности, какие лицензии на программное обеспечение у него существуют и как они используются. Однако управление программными активами не сводится к контролю лицензий, убежден выступивший на конференции Дэвид Бикет, ведущий международный эксперт по SAM, председатель рабочей группы ISO 19770. Бикет ответил на вопросы журналиста «Открытых систем».
Что вы вкладываете в понятие SAM?
Управление программными активами — это операционная дисциплина. У нее, как и у бизнес-деятельности, есть определенные результаты. Если результаты бизнеса — это продукты или услуги, то результаты SAM — это сервисы. SAM обеспечивает распределение и установку программного обеспечения на компьютерах, управление его использованием, удаление ПО, когда оно перестает быть нужным. Таким образом, SAM создает сервисную инфраструктуру, поддерживающую весь жизненный цикл ПО для бизнеса.
Очень часто SAM отождествляют с выполнением регулятивных норм в отношении лицензий ПО. Это неверно. Как всякая операционная деятельность, SAM обязательно включает в себя функции управления рисками, в том числе обеспечение соответствия, однако это нельзя сводить только к обеспечению соответствия лицензий нормативным требованиям. Есть другие типы соответствия, например корпоративным политикам использования программного обеспечения. Если в вашей компании всех сотрудников обязывают для совместной работы применять только Lotus Notes, то в рамках SAM должно проверяться выполнение этой политики — на рабочих местах не могут появляться продукты Microsoft или системы с открытым кодом.
Ключевыми для SAM являются вопросы безопасности. Меня поражает, что в компаниях предпочитают изолировать эти области. Наиболее распространенный подход: «Я занимаюсь SAM и не собираюсь общаться с кем-либо еще». А специалистов по безопасности никогда не интересуют проблемы управления программными активами. И такая ситуация совершенно ненормальная, потому что дисциплина SAM, по сути, должна лежать в основе всего, что происходит с ПО в организации.
Как развиваются стандарты SAM?
В 2006 году был принят стандарт ISO 19770-1, описывающий процессы управления программными активами. Это был первый стандарт в области SAM. Вначале он не привлек большого внимания, однако к настоящему времени интерес к стандарту значительно вырос, и сообщество профессионалов заинтересовано в его развитии.
Сейчас завершается работа над новой версией стандарта, определяющего четыре возможных уровня SAM в организации. Все процессы, описанные в исходной версии стандарта, остаются без изменения, но мы сгруппировали по различным уровням не просто области процессов, но определенные детали областей. В результате компании получают возможность выбирать подмножества процессов и получать сертификацию на соответствие стандарту только по определенному уровню.
Например, первый уровень включает в себя процессы, которые позволяют получить достоверные данные о том, какое ПО есть в компании и как оно используется. Это первый шаг к построению эффективного управления программными активами. Чтобы достичь этого уровня, компания должна провести определенный объем работы и таким образом обеспечить себе четкие и понятные преимущества.
Почему мы реализовали такой подход? Дело в том, что замысел первой версии стандарта был слишком грандиозный: фактически в нем описываются все процессы стандарта ISO 20000-1 по управлению ИТ-сервисами в применении к SAM. В результате организации, которые хотели сертифицироваться по этому стандарту, должны были соответствовать огромному числу детальных требований. Первая версия стандарта написана как спецификация продукта — «да/нет, да/нет, да/нет». Это не вполне оправданно с точки зрения системного управления. Сертификация по второй версии стандарта даст компании возможность оценивать соответствие относительно заданных целей — чего необходимо в целом достичь в конкретной процессной области, а не относительно точных, предельно детализированных результатов. Например, на первом уровне вы должны показать наличие процессов, обеспечивающих точность и достоверность данных об используемом в компании ПО. Это подход стандарта системного управления, а не стандарта спецификации продукта. Хотя при желании компании смогут сертифицироваться по разным уровням SAM и в соответствии с подходом, принятым в первой версии.
Окончательное голосование по новой версии стандарта запланировано на 24 марта. Но уже ведется работа над следующей версией, тем самым положено начало общему процессу приведения стандартов управления к единообразному виду. Сейчас существует несколько стандартов ISO, описывающих процессы управления в разных областях: очень популярный стандарт систем менеджмента качества ISO 9001, ISO 14010 по управлению окружающей средой, ISO 27000 по управлению информационной безопасностью, ISO 20000 по управлению ИТ-сервисами. Все они в принципе описывают сходные процессы, но совершенно по-разному. И если компания хочет реализовать структурированный подход к управлению, она должна в одной области следовать одним принципам, в другой — несколько другим, в третьей — третьим и т. д. Это похоже на сумасшедший дом.
Чтобы исправить ситуацию, был образован специальный комитет для создания единого фреймворка под названием Guide 83, которому должны будут следовать все стандарты управления. Это будет означать, что организация, реализовавшая один стандарт, сможет реализовать другие без необходимости осваивать новые сложные детали процессов и создавать специальную документацию.
Стандарт процессов SAM тоже будет переписан в соответствии с Guide 83. Я абсолютно убежден, что это единственно правильный путь развития индустрии. Мы не должны существовать на изолированных островах, мы должны работать вместе.
Сколько времени займет приведение всех стандартов управления к единому виду?
Некоторые стандарты будут переписаны в новом формате в течение года. Например, уже активно идет работа над стандартом ISO 27000. Но каждый стандарт имеет пятилетний цикл обновления, поэтому самое долгое через пять лет мы увидим, что все стандарты управления будут приведены к единому виду.
Помимо работы над стандартом SAM, я участвую в комитете ISO по стандарту управления активами в целом — зданиями, оборудованием, участками земли и др. Управление программными активами в этом стандарте будет рассматриваться как часть общих процессов управления активами, что позволит соотнести программные активы со всеми остальными активами в организации и работать с ними более эффективно. В частности, появится возможность больше внимания уделять финансовым аспектам SAM. На последней встрече комитета обсуждалась идея большей прозрачности управления активами путем раскрытия в финансовых документах деталей управления крупнейшими активами организаций, учитывая их важность для бизнеса. Эта же логика применима и к управлению программными активами.
Существуют ли стандарты управления ИТ-активами в целом?
Фактически ISO 19770 — это стандарт управления всеми ИТ-активами. Хотя в его названии фигурирует аббревиатура SAM, де-факто он охватывает управление ПО и всеми связанными с ним активами, поскольку невозможно управлять программным обеспечением в отрыве от аппаратного. В работе над этим стандартом самое деятельное участие принимает Международная ассоциация управления ИТ-активами IAITAM. Очередная встреча нашей рабочей группы пройдет в октябре на конференции ассоциации.