探索中国CIO人才现状 | 第四季调研报告
IT资产管理战略:软件合规性
2015-11-06  来源:techtarget

IT资产管理战略,如果正确实施,可以让公司在接受软件供应商审计时,有所准备,对于企业内已经购买的,和正在被使用的系统和软件有所知晓,帮助IT部门确立特定的战略。但是,如果一个公司没有实施IT资产管理(ITAM)战略——或者并没有恰当实施,那最大的风险就是,它会面对一系列的问题,以及技术供应商的潜在罚款。

软件供应商对于软件违规的处罚可能很高,高达每单个软件,或者运行特定应用程序的每单个注册设备,30,000美元, George Spalding说,他是IT服务管理咨询公司Pink Elephant的副总裁。而且,如果一个软件供应商发现了软件不合规,就有可能导致另一家供应商的审计,因为供应商之间会就不合规的客户进行沟通,他说。

在本期问与答中,Spalding将解释面对软件供应商对于软件合规性审计时,可能面临的问题,为什么IT资产管理战略对于硬件很重要,资产管理工具如何与检测和服务台工具相集成,以及物联网将如何影响ITAM。

当审计时,发现有软件不合规时,会发生什么?

George Spalding:通常,被审计的企业会雇用一群律师,和软件供应商的律师坐下来,基本上,他们会达成协议。他们会协商罚款。但这是痛苦的。当(被审计的公司)被发现违规时,罚款很高。

我相信,大多数公司并不想违规。他们不想欺骗软件公司。他们也没有意识到自己违规了。就好像,“哇,这是怎么发生的?我认为我们购买了该软件。我们有政策说明我们应该购买该软件。”

被审计的公司并不想违法,但这的确是:违法行为。这其实是欺诈。这是在没有支付合法费用,或者租借的情况下,窃取知识产权。这实际上就是违法行为,这也就是为什么(被审计的)公司当然不会希望,以任何方式,形式,形态,参与,或部分参与其中,或者,为人知晓。

这就解释了资产管理的重要性。人们会说,“嗯,我们负担不起资产管理项目。”真的吗?不对,你承担不起没有资产管理项目的代价。你必须要有一个资产管理系统,这样你就可以有专人立即回复软件公司的请求,比如,“你能证明你有X数量的许可证,你有多少员工会使用它们?”

如果立即回应,且不是“是的,我们有许可证”这样的回答,而是有相关证明和文档,他们就不会来进行审计。你只需要做出回应,就万事大吉。但一旦有任何闪烁其词或者任何疑问,他们就会立刻派人突击进行审计,而工作人员就会手足无措。

供应商多久会对IT企业进行合规性审计?

Spalding:这肯定会发生,但IT公司通常不会对外宣布,而软件供应商也不会对外宣布。因为这就相当于银行有安全漏洞。他们会修正,但不会告诉任何人。他们不想破坏声誉。说实话,没有人真正知道企业被审计和被罚款的频率。

对于IT公司,确保软件合规的解决方案之一就是购买企业许可证。 真正的大企业从来不需要面对软件不合规问题,因为他们直接购买企业许可证。

往往都是中型公司,会因为想节约一到两美元,而为100名员工购买100份许可证。他们也正是这样惹上麻烦的。

中型公司也不太可能,或者愿意投资于资产管理。

Spalding:他们没有看到它的必要性。他们似乎无法承担资产管理部门。他们可能有一个资产管理经理,一个人,只有一个人,使用检测工具来确定资产。但是没有任何一个检测工具可以解决所有问题。最终,他们必须购买很多工具来解决很多问题。

如果企业不知道自己拥有的IT资产,除了软件不合规问题以外——还有其他财务影响吗?

Spalding:我来举个例子:有一家位于双城区的大公司,租赁了30台服务器。租赁公司说,“嗨,很高兴见到你。你知道吗,你租赁的那30台服务器已经到期了。所以请归还我们的服务器。” 我当时也在场。公司部门的负责人说,“我们已经决定买下这些设备。”租赁公司说:“真的吗?哇,那太棒了。好的,我准备发票,你可以付款了。”他们真的这样做了。

我问那位部门负责人,说:“你为什么要买下这些设备?”他说,“因为我们不知道这些设备在哪里。我们找不到了。”突然,资产管理和配置管理概念中出现了一个全新的元素。这成了很大的财务问题,不仅涉及到购买,维护,如果你租赁设备,还要知道资产在哪里。

那些存储在服务器上,却找不到的数据,怎么办呢?

Spalding:就是说呀。当然,没有人会告诉你这些,因为没有人想让别人知道,但是这类问题一直存在。他们就是找不到设备了。

所以,我们既有购买的资产,也有我们需要丢弃的资产。 而处理丢弃的资产也很重要,因为要考虑其中的数据,当然也要考虑环境问题。

然后,还要涉及到将资产和其资产号码相配对,政策管理和其他所有这类的问题。

资产管理涉及到大量的数据,表格和枯燥的细节,为了保护企业免受违规的处罚,保护投资和各类资产而必须这样做。

让我们谈谈如何将检测工具集成在IT资产管理系统内。

Spalding:每一个独立的资产管理系统都应该有检测工具。这应该是它的一部分,否则你就不应该购买它。但是,让我们想一想“检测”到底是什么意思。首先,我能够检测的前提是资产能够让我检测到。这是第一步。所以它必须让我检测到。

检测工具基本使用两种技术运行:基于代理的或无代理的。基于代理的检测,软件需要在每个资产内进行加载。工具查询代理,代理响应检测工具。而无代理检测,在每个单独组件上并没有代理。而是在检测工具内构建档案,寻找匹配。所以,它检测到设备的存在,将它与档案列表中的设备相对比。如果寻找到匹配,就会报告这一特定资产。这是一个Exchange server,这是一个文件服务器,那是一个直通文件服务器,那是SQL Server。

然后,作为客户你可以不断添加档案文件,这样检测工具就能不断发现资产。

下一个问题是,多久进行一次检测?当然,你期望能找到所有资产;你期望能检测到100%。但是从来都做不到。不可能做到,因为总有些没有被记录的,或者有些设备不支持代理,比如路由器。所以你使用路由器监控系统作为检测路由器,交换机和防火墙的工具。这是另外一种工具。

但是,检测工具很占带宽。如果你的公司很大,有成千上万的设备,如果你想对所有设备进行检测。最好安排在周末,要不就完蛋了。因为这要花费好几个小时,而且会占据网络的所有带宽。 如果你想要检测笔记本电脑的客户端设备,而在周末,员工会关闭电脑,你就无法通过检测工具发现这些设备。如果设备不在公司,还必须通过VPN连接。问题是,VPN支持检测工具吗?也许支持,也许不支持。

所以当一个企业进行检测时,能够发现企业内IT资产的实际情况吗?

Spalding:这可以作为实际参照,然后和他们认为的情况相比较。然后,开展讨论。他们会说:“等一下。那个服务器在哪里?我知道我们有那台服务器,它并没有出现在列表中。为什么没有出现?”然后试着找出它没有出现的原因。

所以,他们将之前的情况和当前的情况相比较。他们会说,“好吧,除了这六个设备以外,其他都匹配。这六项资产是我不知道的,但是被发现的。这六项资产是我以为会发现,但是没有被发现的。现在,我们来讨论一下情况。”

那服务台功能呢?服务台内能集成这些工具吗?

Spalding: 某些工具可以。

假设你遇到了问题,打电话给服务台。 服务台的员工输入你的公司名称,然后你作为服务台授权用户,会跳出相关信息,这是第一步。接下来服务台工作人员想知道你可能遇到问题的,你所使用的电脑资产。服务台想要将你和你的资产相关联。 你所使用的公司电脑,它的品牌,是一年半前购买的,安装的Windows系统版本。类似的信息。服务台需要所有这些信息,如何获得这些信息呢?通过资产管理/检测/配置管理工具。

有工具可以将所有这些信息相关联。但是必须有一个连接器,将个人与资产相关联。所以,当你第一次打电话的时候会比较繁琐。但是之后,对话就会简单很多。

所以,一般来说,集成套件往往比一个单一的产品有更好的功能?

Spalding:是的。过去,我们总是认为单一产品是最好的选择。总是想选择最好的单一产品。想要最好的变更管理系统,最好的服务台系统,最好的检测系统,等等。但是,随着时间的推移,我们发现,最好的产品并不能解决问题。

如果你购买一个系统,你应该购买一个将所有你需要功能相集成的系统。一个系统。即使你可以很容易地证明,也许其中的变更管理模块并不是最好的。集成系统还是比拥有最好的单一产品更好。毫无疑问,你可以节省时间,获得最大效率。所以是更好的选择。

物联网是如何影响IT资产管理战略的?

Spalding:这会把他们逼疯。

根据Gartner的调查,现在,共有49亿件物件连接在互联网上。将在未来的五年内,增长到250亿,这就是物联网。首先,每个人都在谈论恒温器、电炉、房门锁、车库的开门器、冰箱、面包机,所有这些类型的东西。

基本上,当你谈到物联网时,你谈论的是一个智能设备, 和网络连接——一个单独可访问的设备。

当我们谈论IT资产管理时,我们关心的不是面包机。不是冰箱;不是恒温器。而是在一个办公环境中,我们关心的是投影仪之类的东西。那些可以联网的智能投影仪。我能够查询一台数据投影仪,知道它是否正常工作。我能知道灯泡使用的时长,以及寿命还有多长。我可以远程知道。我可以查询打印机,知道它是否正常工作,并知道它所有的当前数据。它是否有足够的碳粉,是否有足够的纸。这一切即将实现。

因此,这就意味着网络边界弱化。防火墙的概念几乎可笑,因为电话里就有网络。

当你进入办公室以外的世界时,生产制造中有自动机械。办公室外的几乎所有行业内的,几乎每个设备都是由电脑控制的。还有卡车和各类运输工具,都有GPS,并传回信息。

因此,卡车,或者任何运输的交通工具,卡车内的任何设备,生产制造中的任何机器,休息室内的自动售货机,都将联网。

这一切都会发生。其中的一些已经发生了。所以从业务的角度出发,如果一个设备有电源,那很可能会有一个IP地址。 因此,这个地址,使它能够联网,并要求设备本身有某种形式的智能,知道如何回应和对话。

从资产管理的角度出发,所有的这一切都要有所记录。资产管理会爆发。在接下来的五年内,资产管理必须自动化。这一切不可能通过人工方式进行跟踪。

所以,资产管理检测工具,以及资产管理的自动化版本必须迎头赶上。物联网设备不可能通过人工管理。