你曾收到原廠的軟體合規稽核信函嗎?
你曾處理過公司軟體合規稽核的案件嗎?
我相信,很多企業遇到這類的稽核來函,即便平常公司已三令五申宣導合規軟體使用的重要性並祭出相關罰則,但是IT單位對於內部實際軟體合規的狀態應該也是心裡毛毛,無十足的把握吧 ! 你說是不是呢?
其實沒把握的主要原因大致有:
1. 沒有一套軟體合規使用的管理規範;
2. 因為使用者行為不可控,很難完全制止員工私下違規行為;
3. 沒有一套有效的管理工具來進行智慧監控;
4. 遇到稽核時,無強而有利的證明及佐證數據來進行自清;
5. 外部供應商或協力廠商沒有納入管理,形成合規漏洞;
你知道哪些行為可能會造成公司侵權風險嗎? 其實當這些行為在企業內部發生時,就足以構成侵權並讓原廠取得企業不合規使用的記錄與軌跡。
我們將其歸類為三類,大致如下
- 合法授權不足:
- 公司軟體授權不夠,員工因專案需要先裝不合法的軟體應急!
- 公司購買的合法軟體沒有高階功能,員工自行安裝高階版軟體使用!
- 不當上網:
- 員工拿自己的筆電到公司,用公司的網路上網。因筆電內曾經裝過盜版軟體,被軟體公司查獲而視為盜版使用!
- 客戶或供應商來公司執行專案,期間借用公司的網路上網,結果他們所安裝的盜版軟體被視為公司的盜版使用行為!
- 刻意行為:
- 安裝試用版軟體,在試用有效期結束後還繼續使用而被視為盜版!
- 職務上不會被授予軟體使用,員工想自己學習而下載安裝盜版軟體!
為何企業會面臨周而復始的軟體稽核呢? 軟體管理會面臨怎樣的困擾呢?
軟體資源要如何管理呢?
建立軟體合規管制策略與善用資訊工具是軟體資源管理最有效的方法,從積極消彌違規動機到即時偵測、警示、干擾及攔截,來防範不合規的狀態發生,杜絶原廠周而復始的稽核行動。
軟體資源管理最大的問題在於”看不見”,看不見軟體的授權清單、使用狀態、使用效能及趨勢……等,因為看不到問題、看不到瓶頸、看不到真實數據,所以自然就無從管理起;企業可以從軟體狀態可視化著手,進行最基礎的工程,解決看不見的問題;在授權不足的動機消彌上,可以採用軟體許可證優化解決方案,讓企業主以最少的軟體投資成本,發揮最大的授權使用比,讓使用者更彈性、從容的取得軟體使用權限,降低安裝不合規軟體的念頭及動機;
軟體合規管理最大的問題是”管不了”,因為員工異動及行為的不可控性、協力廠商設備軟體合規的不確定性、綠色免安裝軟體的濫用,所以造成員工私下安裝盜版IT管不到、輕率使用USB綠色免安裝版本軟體查不到、自帶不合規檔案或設備至公司內網使用防不到、啟用不合規軟體禁不了又攔不到,這些都是造成軟體不好管的原因,而長期以來傳統資產管理工具,透過軟體清冊及黑名單管理的模式,並無法徹底決解軟體合規管理的要求,因此原廠軟體稽核的事件就周而復始的持續上演。
軟體侵權風險管理須具備哪些要件呢?
- 要能夠完整盤點公司內單機授權與網路版軟體授權的詳細內容;
- 要能夠掌握每台電腦裝了什麼軟體,以及各種軟體的使用行為;
- 可以針對個別軟體的授權特性,分別設定不同的合規判斷策略;
- 能夠偵測出疑似安裝使用盜版軟體的終端,並且準確定位不合規的使用者;
- 提供干擾警示或攔截進階管控工具,主動杜絕使用不合規軟體的終端使用者。
本解決方案合規診斷管理的四大範疇
- 終端軟體盤點
落實企業內部所有設備安裝軟體之盤查,取得最真實的軟體數據,再加以進行分類及分析。
- 軟體合規診斷服務
透過用戶端及全域雙重掃瞄的方式,進行合規資料收集,並依公司合規政策決定的常態性合規策略及設定,來執行合規自動識別比對,針對不合規使用情況可以設定為示警、干擾、攔截及改正動作,確保使用者的行為符合公司合規政策要求。
本解決方案與原來佈署的資產管理工具可以發揮互補之效
一般的 IT資產管理工具(Gartner 定義為 ‘ITSM’ 終端安全管理系統,如 SmartIT, WinMatrix, OCS…)是以硬體為主的資產及安全管理系統,對於軟體合規使用的偵測,最主要是以「黑名單」管理為主。黑名單的維護是一項耗費人力,又無法即時更新的管理程序,導致無法精準獲得不合規資訊。
客戶使用本解決方案進行合規診斷管理後,與原來的 ITSM 形成互補,本方案可著重於高價的、關鍵的軟體為主,特別是原廠最容易以抓盜版為手段的軟體如各種 CAD/CAE/EDA軟體為對象,而 ITSM 則針對其他泛用軟體為管理對象,並繼續承擔如電腦評估、安裝軟體、裝補丁、上網行為管理、設備准入管理、加密控制、解決故障問題等事務性工作。
本產品獨特性與傳統ITSM的差異比較
錡碩資訊
聯繫窗口 : Felix | 0936-115496 | Felix@QISO.com.tw
