Teoria
Audyt IT i audyt oprogramowania i sprzętu komputerowego zapewnia program do audytu Ewida Audit.
Wykonanie audytu IT możliwe jest zarówno przez informatyków z działu IT w firmie (wewnętrzny) jak i przez wyspecjalizowane, audytorskie firmy zewnętrzne.
Niniejszy tutorial składa się z dwóch części: teoretycznej i praktycznej. W pierwszej opisujemy założenia i procedurę audytu IT i audytu legalności oprogramowania, w drugiej wykonujemy go krok po kroku w programie Ewida Audit.
Audyt IT – przygotowania
Audyt IT i audyt oprogramowania rozpoczyna się od zebrania tzw. atrybutów legalności. Zaliczamy do nich kopie faktur zakupu oprogramowania i licencji, nośniki, oraz certyfikaty licencji. Mogą nimi być także książeczki licencyjne dołączane do oprogramowania, etykiety COA (Certificate of Authenticity) oraz inne. Atrybuty legalności ustalane są indywidualnie przez producenta oprogramowania.
Audyt sprzętu komputerowego
Pierwszy audyt sprzętu komputerowego w firmie powinien opierać się na fizycznym podejściu do każdego komputera. Należy wykonać skanowanie komputera i sprawdzić stan jego plomb i naklejonych etykiet licencyjnych COA (Microsoft).
Audyt IT komputera można wykonać jedną z trzech metod. W tym tutorialu użyjemy D-Scannera (Desktop Scanner), który jest niewielkim programem dołączonym do Ewida Audit. Więcej o tej procedurze zostanie opisane w części praktycznej.
Metody audytu IT w Ewida Audit
- Zdalny audyt IT sprzętu komputerowego i oprogramowania za pomocą zainstalowanych Agentów.
- Zdalny audyt IT sprzętu komputerowego i oprogramowania za pomocą DCOM (połączenie bezagentowe).
- Audyt IT sprzętu komputerowego i oprogramowania do plików za pomocą dołączonego programu D-Scanner.
Inwentaryzacja licencji
Inwentaryzacja licencji polega na prawidłowym wprowadzeniu ich do programu Ewida Audit wraz z dołączonymi obrazami faktur zakupu.
Uwaga : Ewida Audit w żaden sposób nie domniema posiadania licencji na podstawie wykrytych aplikacji lub odczytania ich kluczy licencyjnych. Ten sposób wprowadzałby jedynie dezorientację użytkownika, co może wywołać poważne konsekwencje w zderzeniu z formalną kontrolą legalności oprogramowania.
Należy zawsze pamiętać, że posiadanie licencji to fizyczne posiadanie wszystkich niezbędnych dla niej elementów (atrybuty legalności). W skład wchodzi zawsze faktura zakupu oraz wszystkie inne wymagane przez danego producenta atrybuty legalności. Mogą to być np.: określone nośniki, certyfikaty, książeczki dołączane do oprogramowania itp.
Ewidencja pracowników
Ewidencja pracowników to procedura uzupełniająca, mająca ogromny wpływ na kompletność końcowego wyniku audytu. Dzięki ewidencji pracowników audyt sprzętu komputerowego i oprogramowania jest bardziej przejrzysty i kompleksowy. Użytkowników można zaimportować z Active Directory, pliku CSV lub bazy ewidencji w Ewida Standard.
Audyt IT – krótkie streszczenie działania
W programie do audytu IT Ewida Audit tworzy się Hosty odpowiadające skanowanym komputerom. Aplikacja zapisuje osobno dane źródłowe skanowania każdego hosta i wykonuje proces rozpoznania danych. Proces ten to zamiana skanowanych danych WMI, Rejestru i przeskanowanych plików na postać zestawów komputerowych, urządzeń i oprogramowania.
Po załadowaniu plików ze skanowania następuje proces polegający na przypisaniu posiadanych licencji do wykrytego oprogramowania. Gdy audyt oprogramowania wykonywany jest zdalnie (okresowy lub kontrolny) proces przydzielania licencji do oprogramowania następuje automatycznie. Aby skorzystać z automatycznego mechanizmu dopasowania licencji należy powiązać wprowadzone licencje z hostami w trybie Audyt – autodopasowanie. Podczas pierwszego audytu przydzielenie licencji do oprogramowania lepiej jest wykonać manualnie z pełną kontrolą tego działania. Ten sposób zapewni, że audyt legalności oprogramowania i audyt sprzętu komputerowego zostały wykonane w 100% poprawnie.
Audytor IT – raporty poaudytowe
Program do audytu udostępnia użytkownikowi aplikacji ogromny zbiór wszelkiego typu zestawień, które można wykorzystać do raportu końcowego. Mogą to być zestawienia podsumowujące, które w czytelny sposób zestawiają ilościowy stan oprogramowania licencjonowanego i bez licencji. Do wyboru są też zestawienia ogólne dla oprogramowania, licencji, urządzeń i zestawów komputerowych a także raporty szczegółowe. Raport audytu kompleksowy zestawia z kolei wszystkie rozpoznane obiekty. Mechanizm Moje zestawienia pozwala audytorowi IT skonstruować własne zestawienia. Możliwości jest naprawdę bardzo dużo.
Zakończenie audytu IT
Polega na wykonaniu końcowego raportu audytu z dołączonymi wydrukami zestawień i raportów. Raport zawiera wnioski z przeprowadzonego audytu sprzętu komputerowego i oprogramowania. Zawiera się w nim także propozycje programu naprawczego dla uzupełnienia brakujących licencji i wytyczne na przyszłość. Raport z poaudytowy może zawierać propozycje szkoleń dla pracowników IT odnośnie legalności oprogramowania. Zakończenie audytu IT powinno też ustalić przyszłą procedurę zarządzania zasobami IT w firmie. Przygotowuje się także dokumenty odnośnie porozumienia pracodawcy z pracownikiem w zakresie używania oprogramowania. Dokumenty te mogą być tworzone na bazie raportów szczegółowych zestawów komputerowych z informacją o odpowiedzialności pracownika.
Audyt kontrolny i zarządzanie zasobami IT w firmie
Aby wdrożyć prawidłowe zarządzanie zasobami IT w firmie polecamy program do ewidencji i inwentaryzacji IT – Ewida Standard.
Można na tym etapie ustalić także procedury zakupu nowego oprogramowania i licencji w firmie. Audyt oprogramowania powinien zakończyć się także ustaleniem daty audytu kontrolnego. Procedura audytu kontrolnego zweryfikuje zarówno ponownie stan legalności oprogramowania jak i sprawdzi stopień wdrożenia planu naprawczego.
Praktyka
Jak już to zostało opisane wyżej – audyt sprzętu komputerowego i oprogramowania może zostać przeprowadzony przez pracownika firmy (audytor wewnętrzny) – wymaga to licencji PREMIUM dla Ewida Audit. Audyt oprogramowania i sprzętu komputerowego może być także procesem zewnętrznym, wykonanym przez wyspecjalizowaną firmę audytora zewnętrznego. Audyt zewnętrzny wymaga licencji AUDITOR ONE lub AUDITOR dla Ewida Audit.
W części praktycznej tego tutorialu założymy, że jesteśmy firmą zewnętrzną. Będziemy przeprowadzać audyt IT w siedzibie Klienta. Mamy już podpisaną umowę z naszym Klientem. Klient rozpoczął także przygotowywanie dla nas dokumentów będących potwierdzeniem posiadania licencji (atrybuty legalności omówione w części teoretycznej). Opisał nam także schemat pracowników przydzielonych do danych działów. Dzięki temu procedura audytu szczegółowo określi lokalizacje komputerów. Klient rozpisał nam także jakie licencje powinny być użytkowane na jakich komputerach. To jak jest faktycznie wykaże dopiero nasz audyt legalności oprogramowania i sprzętu komputerowego, musimy jednak znać założenia Klienta.
Możemy zaoferować dwa warianty wykonania audytu.
- Podstawowy audyt legalności oprogramowania i sprzętu komputerowego.
- Rozszerzony audyt legalności oprogramowania i sprzętu komputerowego. Ta wersja rozbudowuje audyt o zaprowadzenie kompleksowej ewidencji i inwentaryzacji IT u Klienta.
Rozszerzona wersja audytu IT spowoduje, że uzupełnimy dane o kompleksowe informacje dotyczące użytkowanego sprzętu komputerowego. Dodamy do ewidencji faktury zakupu i gwarancje oraz stworzymy zestawienia kosztów. Możemy także dodatkowo powiązać z programem obrazy dokumentów. Rozszerzony audyt IT zakończymy (poza raportem z audytu) eksportem danych do programu Ewida Standard. W Ewida Standard Klient będzie mógł dalej przetwarzać swoje dane posiadanej infrastruktury IT. My z kolei w ramach okresowych audytów będziemy te dane uaktualniać. To będzie dla nas wygodniejszą formą niż każdorazowe tworzenie audytu IT od początku.
Audyt IT i audyt oprogramowania – przygotowania
Zaczynamy we własnej firmie. Rozpoczynamy od instalacji programu Ewida Audit, na komputerze, na którym opracujemy cały audyt. Wiemy już, że program do audytu ma do dyspozycji trzy niezależne mechanizmy skanowania (Agenci, DCOM i D-Scanner).
W przypadku zewnętrznych audytów IT preferowana metoda to D-Scanner. Pierwsze dwie metody najczęściej nie mogą być stosowane, ponieważ Klient może nie życzyć sobie (i słusznie) instalacji jakiegokolwiek oprogramowania na swoich komputerach. Po drugie, oficjalna procedura audytu oprogramowania wymaga by audytor IT odwiedził każdy z komputerów osobiście. Audytor IT powinien sprawdzić etykiety naklejonych licencji COA (oraz dodatkowo np. plomby komputerów – na życzenie Klienta).
Pamiętajmy więc : Nie instalujmy żadnych Agentów na komputerach w firmie audytowanego Klienta, ponieważ to zła praktyka. Używamy do audytu skanera D-Scanner uruchamianego z zewnętrznego Pendrive’a lub ze skryptów sieciowych (opis poniżej). Instalowanie jakiegokolwiek oprogramowania na komputerach Klienta w 99% przypadków jest niezgodne z jego polityką bezpieczeństwa i należy to zawsze uszanować i przestrzegać.
Mamy już ustaloną metodę audytu, więc możemy działać. Na początku wybieramy opcję MENU > AUDYT > NOWY i otrzymujemy Kreator nowego audytu. W procedurze tworzenia nowego audytu wprowadzamy dane firmy naszego Klienta (będą one widoczne w nagłówkach wszystkich raportów). Następnie wprowadzamy jakikolwiek domyślny Host (może to być nawet nasz komputer – później go usuniemy), wymagany do utworzenia przestrzeni audytu. Pomijamy oczywiście zarówno procedurę instalacji Agentów jak i procedurę zdalnego skanowania. Wciskamy przycisk [DALEJ] oraz [ZAKOŃCZ].
Uwaga: Tylko licencje AUDITOR i AUDITOR ONE pozwalają na zmianę danych audytowanej firmy. W przypadku licencji dedykowanych do użytku wewnątrz firmy (PREMIUM) dane audytowanej firmy to dane posiadacza licencji.
Audyt IT – Desktop Scanner (D-Scanner)
Audyt sprzętu komputerowego wykonamy za pomocą programu wbudowanego w Ewida Audit o nazwie Desktop Scanner (D-Scanner). Program ten jest lekkim skanerem, nie wymagającym instalacji. Będziemy go uruchamiać z dysku USB (Pendrive’a).
Warto nadmienić, że Desktop Scanner obsługuje parametry startowe, a więc można go także uruchamiać z własnych skryptów w sieci komputerowej.
Lista parametrów startowych Desktop Scannera:
- autostart – automatyczne uruchomienie skanowania.
- autoclose – automatyczne zamknięcie skanera po skanowaniu.
- hide – uruchomienie skanera bez interfejsu.
- silent – brak okna informującego o zakończeniu skanowania.
- skipstartupdrive – pominięcie dysku startowego w skanowaniu.
- targetdir – określenie innego niż domyślny katalogu zapisu skanu.
- targetfile – określenie innej niż domyślna nazwy pliku ze skanem.
Jeśli podano parametr -hide automatycznie zostaną dodane parametry: -autostart -autoclose -silent (nie trzeba ich dodatkowo wpisywać).
Konfiguracja ustawień
Zanim przygotujemy sobie wyżej opisany Desktop Scanner do pracy, warto sprawdzić ustawienia skanowania komputerów. Aby przejść do ustawień klikamy przycisk Ustawienia widoczny na ToolBarze aplikacji a następnie przechodzimy do gałęzi Audyt.
Jak szybko zauważymy możliwości konfiguracji audytu są ogromne. Instalując program po raz pierwszy parametry audytu są domyślnie ustawione. Każdy Użytkownik powinien choć raz się z nimi zapoznać, a zalecane jest dostosowanie ich pod własne potrzeby i oczekiwania.
Ze względu na przejrzystość niniejszego tutorialu pomijamy tutaj opcje konfiguracji i idziemy dalej. Będziemy wykonywać skanowanie komputerów na domyślnych ustawieniach.
Przygotowania D-Scannera do pracy
Gdy mamy już ustawioną procedurę skanowania nadszedł czas na wygenerowanie Desktop Scanner (D-Scannera) i wgranie go na nasz nośnik USB. W tym celu klikamy na przycisk D-Scanner widoczny na Toolbarze.
Audyt IT – skanowanie komputerów
Uzbrojeni w nośnik USB z D-Scannerem idziemy do siedziby Klienta by wykonać skanowanie komputerów. Przy okazji zaopatrujemy się w notes, w którym zanotujemy sobie informacje odnośnie każdego skanowanego komputera. Oczywiście w idealnej sytuacji to nasz Klient dostarczyłby nam przejrzyste zestawienie komputerów z dokładnym opisem ich lokalizacji, użytkownika i etc. W razie gdyby jednak ten idealny scenariusz nas nie obejmował, radzimy sobie z własnym notesem i notujemy:
- Hostname komputera.
- Użytkownika komputera: imię, nazwisko, stanowisko, dział, lokalizację, nr pokoju, sekcję.
- Notujemy czy komputer ma prawidłowe naklejki certyfikujące (COA), plomby i etc.
Na komputerze uruchamiamy plik PCScanner.exe z katalogu D-Scannera nośnika USB i wciskamy przycisk [Start]. Czekamy (w zależności od konfiguracji audytu) od kilku do kilkudziesięciu sekund. Czasami odrobinę dłużej, gdy nasza konfiguracja audytu włącza skanowanie plików. Gdy zakończy się skanowanie komputera plik z rezultatem zapisze się w podkatalogu D-Scannera na nośniku USB.
Audyt oprogramowania – przetwarzanie danych
Po etapie skanowania komputerów i wynotowaniu potrzebnych informacji nadszedł czas na powrót do naszej firmy. Wypijamy dobrą kawę i ładujemy pliki ze skanowania hurtem do Ewida Audit. Robimy to za pomocą opcji MENU > AUDYT > ZAŁADUJ PLIKI SKANOWAŃ (D-SCANNER). Pliki skanowań znajdziemy domyślnie w podkatalogu Codenica D-Scanner\Audit\Scans.
Po załadowaniu plików skanowań Ewida Audit sama utworzy hosty (reprezentujące audytowane komputery) i rozpozna skanowanie. Rozpoznanie to procedura zamiany danych ze skanowania do postaci komputerów, oprogramowania i urządzeń.
Audyt oprogramowania – dodajemy użytkowników
W celu przejrzystego zlokalizowania audytu i ustalenia przynależności komputerów, oprogramowania, urządzeń i licencji potrzebni są nam pracownicy. W Ewida Audit pracownicy zwani są użytkownikami. Możemy dodać ich manualnie na podstawie notatek lub dokumentów Klienta albo zaimportować z Active Directory lub pliku CSV, lub bazy danych Ewida Standard.
Użytkowników możemy dodać na wiele sposobów np.: z poziomu Kreatora nowego użytkownika. Po dodaniu użytkownika (pracownika) przydzielamy go do istniejącego hosta (audytowany komputer).
Audyt oprogramowania – dodajemy posiadane licencje
Teraz przyszedł czas na wprowadzenie posiadanych przez Klienta licencji.
Pamiętajmy o tym, że gdy D-Scanner wykrywa klucz licencyjny nie oznacza to, że Klient ma licencję! To bardzo ważne – Klient posiada licencje tylko wtedy, gdy fizycznie posiada atrybuty legalności określane przez producenta oprogramowania. Atrybuty legalności oprogramowania opisane są w części teoretycznej.
Już na samym początku ustaliliśmy z naszym Klientem, że przygotuje posiadane atrybuty legalności oprogramowania (faktury zakupowe i etc.). Teraz zakładamy, że jesteśmy w nie wyposażeni (ksera), pozytywnie je zweryfikowaliśmy i możemy je wprowadzać do audytu oprogramowania.
Aby wprowadzić licencje wybieramy MENU > LICENCJA > NOWY
Tutaj zwracamy uwagę na pola: Nazwa, Wersja i Ilość stanowisk. Pola Nazwa i Wersja muszą być tożsame z wykrytym oprogramowaniem, dlatego najlepiej użyć nazw z list podpowiedzi (ALT+Strzałka w dół).
Ilość stanowisk wynika z charakteru danej licencji. Pamiętajmy, że 1 licencja na 100 stanowisk ewidencjonowana jest inaczej niż 100 licencji jednostanowiskowych. Wypełniamy także wszystkie inne pola, które uznajemy za niezbędne. W kreatorze dodawania licencji (widocznym powyżej) należy zwrócić uwagę, że lewa jego część określa dane faktury zakupowej. Jest to część niezmiernie ważna dla procesu audytu legalności oprogramowania. Wypełniamy ją zgodnie z posiadanymi kserokopiami.
Audyt oprogramowania – łączymy Licencje z Hostami
I tak jak w przypadku Użytkowników także Licencje łączymy z Hostami. Takie przydzielenie możemy zrobić na kilka sposobów. Poniżej widoczny jest kreator uruchamiany z MENU > LICENCJA > PRZYDZIEL > HOST (AUDYT-AUTODOPASOWANIE)
W tym kreatorze możemy wykonywać pojedyncze lub hurtowe wiązanie obiektów. Pojedynczą licencję wielostanowiskową możemy jednym ruchem (drag & drop) przydzielić do wielu hostów.
Na końcu nasz przykładowy Host powinien wyglądać tak jak poniżej.
Widzimy w obiektach powiązanych relacje zarówno z Licencją jak i z Użytkownikiem.
Audyt oprogramowania – odsiewamy ziarno od plew
Na tym etapie już wszyscy dostrzegli mały problem – wykrytego oprogramowania jest tak dużo, że dane przestały być czytelne. Aby sobie z tym poradzić uruchamiamy opcję Toolbar > Definicje > Oprogramowanie – Nie rozpoznawaj.
Otworzy się okno z całym wykrytym oprogramowaniem. Okno to umożliwia zaznaczenie wszystkich tych aplikacji, które są zbędne w procesie audytu. Mamy tu na myśli wszelkie bezpłatne programy i biblioteki. Gdy to zrobimy – odświeżamy dane klikając przycisk Odśwież na ToolBarze.
Audyt IT – wersja rozszerzona
W tym momencie możemy także wprowadzić rozszerzone elementy naszej umowy z Klientem.
- Karty gwarancji komputerów i urządzeń wraz z ich danymi zakupowymi.
- Rozszerzone dane Użytkowników.
- Możemy eksportować dane audytu do Ewida Standard, gdzie Klient będzie mógł je dalej przetwarzać.
Dzięki temu rezultat audytu nie będzie tylko papierowy, co jest ogromnym atutem.
Zakończenie audytu
Zakończyliśmy audyt legalności oprogramowania i audyt sprzętu komputerowego, czas na wykonanie zestawień i raportów końcowych. Program do audytu Ewida Audit posiada ogromne możliwości tworzenia zestawień. Część wbudowanych typów raportów opisywaliśmy już w części teoretycznej. Dodajmy, że mechanizm Moje zestawienia pozwala na tworzenie własnych zestawień i dołączania ich do menu programu.
Proponowane przez nas zestawienia końcowe audytu dla Klienta.
- Raport audytu kompleksowy.
- Zestawienie legalności oprogramowania (formularz BSA Polska).
- Zestawienia podsumowujące: Oprogramowanie, Urządzenia, Zestawy i Licencje.
- Zestawienia weryfikujące : Powtórzone klucze produktów i Różne klucze produktów i licencji.
Pozostaje nam przygotować dla Klienta wnioski poaudytowe i plan szkoleń personelu w zakresie legalności oprogramowania. Nie zapominajmy także o planie naprawczym w zakresie dokupienia bądź relokacji licencji oraz audycie kontrolnym.
Audyt legalności oprogramowania zapewnia program do audytu Ewida Audit.