Artykuły dotyczące tematu: Deloitte

dodany: 01.08.2013 | tagi: , , ,

Polskie firmy tracą miliony, źle zarządzając licencjami oprogramowania

5

Zdecydowana większość polskich firm posiada oprogramowanie komputerowe, z którego nie korzysta, a 32 proc. płaci za jego utrzymanie, choć nie ma uprawnień, by go używać. Jednocześnie jak wynika z analizy przeprowadzonej przez firmę doradczą Deloitte, aż dwie trzecie firm ma zaległości w opłacaniu licencji za używane programy, co może grozić roszczeniami ze strony ich dostawców i poważnie zachwiać firmowymi budżetami. Zdaniem ekspertów Deloitte tylko optymalne zarządzanie licencjami i regularne audyty pozwalają uchronić przedsiębiorstwa przed zbędnymi wydatkami.

Niemal w każdej firmie w Polsce, niezależnie od jej wielkości czy też branży, można znaleźć oprogramowanie, które dosłownie leży na półce. Z analiz Deloitte wynika, że wartość takiego nieużywanego oprogramowania w skrajnych przypadkach może przekraczać nawet 11 mln złotych w firmach klasy Enterprise. Ponad połowa firm (58 proc.) dodatkowo wykupuje wsparcie dla oprogramowania, z którego nie korzysta. Dodając do tego przypadki zakupu innych dodatkowych usług, za zbędne wsparcie techniczne przepłaca niemal dziewięć na dziesięć firm (89 proc.).

Przyczyn tego stanu rzeczy jest kilka. Część niewykorzystywanych licencji jest naturalną konsekwencją wygaszenia w firmie starych rozwiązań oraz wdrażania nowszych i bardziej nowoczesnych. Innym powtarzającym się schematem jest zakup oprogramowania na potrzeby projektów, które z różnych względów upadały we wczesnych etapach realizacji lub w ogóle nie zostały uruchomione. Pozostałe, najbardziej kosztowne przypadki, wynikają ze zwykłej nieznajomości potrzeb własnej firmy lub zasad licencjonowania określonych przez producenta oprogramowania.

Niemal jedna trzecia firm (32 proc.) płaci za utrzymanie oprogramowania, mimo że formalnie nie może z niego skorzystać. Wynika to z faktu, że producent wymaga wykupienia wsparcia do poziomu wykorzystania (zasada „wszystko albo nic”), podczas gdy klient obejmuje nim jedynie część używanych licencji.

O ile z licencją wieczystą, będącą spadkiem po historycznym systemie lub zapomnianym projekcie trudno cokolwiek zrobić, o tyle firmy powinny zadbać o wygaszenie utrzymania niewykorzystywanego oprogramowania komputerowego. Jest o co walczyć, bo roczny koszt takiej usługi sięga 30 proc. wartości licencji

–  wyjaśnia Bartosz Zając, Starszy Konsultant w Dziale Zarządzania Ryzykiem Deloitte.

Nadmiar posiadanych licencji jednego produktu nie wyklucza niedoboru licencji drugiego. Ponad dwie trzecie firm (68 proc.) ma jednocześnie braki licencyjne, skutkujące zobowiązaniami finansowymi wobec producenta. A to z kolei może poważnie zachwiać budżetem IT w przyszłości.

Najczęstszą przyczyną niedoborów licencyjnych jest nieznajomość warunków licencyjnych. Firmy poświęcają za mało czasu na przestudiowanie umowy z dostawcą oprogramowania, a warunki licencyjne dla poszczególnych produktów akceptowane są niemal automatycznie. Osoby, które z czystym sumieniem mogą zaznaczyć pole »Zapoznałem się i akceptuję warunki umowy licencyjnej« w trakcie instalacji oprogramowania należą do nielicznych wyjątków. Inną sprawą jest to, że warunki licencyjne bywają skomplikowane i nie zawsze są zrozumiałe już po pierwszej lekturze

–  mówi Bartosz Zając

Wiele firm nie poświęca odpowiedniej uwagi analizie zapisów umownych. Według dostawców oprogramowania niezrozumienie warunków licencyjnych nie usprawiedliwia jednak nieprawidłowego sposobu korzystania z ich produktów.

Częstą przyczyną skutkującą niedoborem licencji jest błędna konfiguracja systemów, wynikająca z nieznajomości oprogramowania lub zwykłej pomyłki administratora.

Spotykamy przypadki, w których niewielkie zmiany w konfiguracji wymagające kilku kliknięć myszką mogą prowadzić do generowania oszczędności lub kar rzędu kilku milionów złotych

– podkreśla Mariusz Ustyjańczuk, Menedżer w Dziale Zarządzania Ryzykiem Deloitte.

Firmy błędnie zakładają także, że wersje testowe i deweloperskie nie wymagają osobnych licencji. O ile warunki nie stanowią inaczej, z punktu widzenia licencjonowania traktowane są one identycznie jak produkcyjne, czyli w pełni funkcjonalne wersje oprogramowania.

To, czy firma zdołała uniknąć pułapek związanych z licencjonowaniem, weryfikowane jest w trakcie audytów legalności oprogramowania przeprowadzanych na zlecenie dostawcy. Kombinacja, w której jednocześnie zaistnieje kilka z powyższych warunków, może doprowadzić do powstania potencjalnego zobowiązania wobec dostawcy, które według analiz Deloitte w największych przedsiębiorstwach może osiągać kwoty przekraczające nawet 150 mln złotych. Często jednak wpływ umów licencyjnych na organizację jest niedoceniany, a mechanizmy kontroli wewnętrznej w tym zakresie albo są niedojrzałe, albo w ogóle nie istnieją.

Co należy zrobić, by uniknąć takiego scenariusza?

Zdaniem ekspertów Deloitte optymalne zarządzanie licencjami oprogramowania pozwala ograniczyć zbędne wydatki. W tym celu firmy powinny dokonać oceny istniejącego procesu oraz porównać go z najlepszymi praktykami w branży, a także standardami opracowanymi przez Information Technology Infrastructure Library (w skr. ITIL) i International Standards Organization (w skr. ISO).

Dostawcy oprogramowania oferują zaawansowane narzędzia typu Software Asset Management wspierające zarządzanie licencjami. Warto jest rozważyć ich wykorzystanie, szczególnie w sytuacji, kiedy infrastruktura informatyczna jest rozproszona terytorialnie lub gdy wykorzystujemy technologię wirtualizacji serwerów.

Niezbędny jest też audyt wewnętrzny. Działania te pozwolą określić liczbę posiadanych licencji i rzeczywiste zapotrzebowanie, a w konsekwencji zidentyfikować nieużywane oprogramowanie i braki licencyjne. Taki przegląd może stanowić podstawę do dalszych zakupów i dyskusji z dostawcami oprogramowania w celu precyzyjnego określania potrzeb zakupowych. Aby zapewnić ciągłą zgodność z warunkami licencyjnymi, działania te powinny być włączone w roczny plan audytu wewnętrznego każdego większego przedsiębiorstwa

podsumowują eksperci Deloitte.

Źródło: Deloitte

dodany: 08.04.2013 | tagi: , ,

Metody wywiadowcze skuteczną bronią w walce z cyberzagrożeniami

0

Ponad 80 proc. zagrożeń w Internecie nosi znamiona działań o charakterze zorganizowanym. Tymczasem ani prawo, ani narzędzia dotychczas wykorzystywane przez firmy w walce z cyberprzestępczością nie nadążają za nowymi sposobami ataków. Autorzy raportu „Cyberodporność w świecie ewoluujących zagrożeń” przygotowanego przez firmę doradczą Deloitte zwracają uwagę, że każda polska firma oraz organizacja musi zakładać, że jest potencjalnym obiektem ataku w sieci. Tylko działania prewencyjne mogą skutecznie przygotować ją na takie zagrożenie.

 

Dynamiczne zmiany technologiczne poza wieloma zaletami niosą za sobą także wiele zagrożeń. Zorganizowane grupy przestępcze zachęcone pozorną anonimowością w sieci, nieskutecznością działań organów ścigania oraz łatwością uzyskania korzyści finansowych, atakują organizacje rządowe i firmy na całym świecie. Wbrew pozorom nie jest to tylko problem amerykańskich gigantów czy tamtejszej administracji publicznej. W erze globalizacji granice pomiędzy poszczególnymi krajami zacierają się, a Polska i polskie firmy są członkami licznych organizacji o zasięgu międzynarodowym.

Tymczasem w ostatnich latach nastąpił gwałtowny proces profesjonalizacji grup przestępczych działających w cyberprzestrzeni. Obecnie cyberprzestępczość jest kolejną generacją rozwoju zorganizowanych grup przestępczych i potencjalnie może okazać się realnym następcą choćby mafii narkotykowej, a przez to atrakcyjną alternatywą dla tradycyjnych źródeł działań przestępców.

Atrakcyjność cyberrzeczywistości, jako platformy przeznaczonej do nielegalnych działań, wynika z kilku czynników. Przestępcy mogą liczyć na brak gotowości organów ścigania i wymiaru sprawiedliwości do sprawnego reagowania, a co za tym idzie do ograniczonego ryzyka sankcji. Zachęcającym czynnikiem jest także fakt, że koszt rozpoczęcia działań przestępczych w sieci jest mniejszy niż w wypadku tradycyjnych metod działania przestępczości zorganizowanej. Istotnym czynnikiem wpływającym na atrakcyjność cyberprzestęczości jest również ograniczona konkurencja, która w tradycyjnie pojmowanych obszarach działań przestępców jest znaczna. To wszystko sprawia, że rynek handlu informacjami rośnie w ogromnym tempie

– tłumaczy Jakub Bojanowski, Partner w Dziale Zarządzania Ryzykiem Deloitte.

Działalność przestępców to jednak tylko jedno z wielu źródeł współczesnych zagrożeń dla organizacji działających w cyberrzeczywistości. Organizacje uczestniczące w globalnym badaniu Deloitte TMT Security Survey 2013 (z ang. 2013 TMT Global Security Study: Blurring the lines) wskazały, że dostrzegają istotne zagrożenia związane:

  • z ilością oraz rodzajem danych przekazywanych stronom trzecim (78 proc. respondentów),
  • coraz szerszym wykorzystaniem urządzeń mobilnych (74 proc.) oraz
  • brakiem odpowiedniej świadomości wśród użytkowników (70 proc.).

Powoduje to sytuację, w której organizacje stoją przed wyzwaniami związanymi z cyberprzestępczością z jednej strony, a trendami w dziedzinie wykorzystania technologii z drugiej.

 

Potrzeba nowego podejścia

Skuteczna odpowiedź na nowe lub rozwijające się zagrożenia związane z działaniem w cyberrzeczywistości wymaga zastosowania nowego podejścia. Stosowana od lat ochrona polegająca na wykrywaniu i neutralizowaniu cyberzagrożeń oraz doskonaleniu procesów ochrony w oparciu o wnioski wynikłe z analizy zdarzeń, przestała być skuteczna. Skala potencjalnych strat w organizacjach silnie uzależnionych od technologii może być tak znaczna, że nie będą one miały szans na naukę – przestaną istnieć w wyniku skutecznego cyberataku. 

W obliczu zagrożeń typu APT – Advanced Persistent Threats („zaawansowane, ciągłe zagrożenia”) najważniejszym czynnikiem, który minimalizuje skutki ataku, jest natychmiastowa reakcja. Tradycyjne metody oparte na kontroli dostępu okazują się nieadekwatne do stopnia złożoności i szkodliwości aktualnych zagrożeń

– wyjaśnia Cezary Piekarski, Starszy Menedżer w Dziale Zarządzania Ryzykiem Deloitte.

 

Zdaniem ekspertów Deloitte w takich przypadkach dobrym pomysłem jest ciągła analiza zachowań infrastruktury informatycznej oraz informacji pochodzących z zewnątrz organizacji (z ang. threat intelligence).

Mechanizmy obrony muszą mieć charakter wyprzedzający i działać niczym sprawny wywiad, który dostarcza informacji na czas. W gotowości powinny czekać narzędzia do zbierania materiału (mogącego stanowić dowód w postępowaniu), środki komunikacji wewnętrznej i zewnętrznej firmy oraz grupa ekspertów, która niezwłocznie podejmie działania eliminujące słabości wykorzystane przez atakujących oraz ograniczy wpływ zagrożenia

– tłumaczy Cezary Piekarski.

 

Tymczasem mimo rosnącej skali zagrożeń budżety przeznaczane przez organizacje na ochronę kluczowych informacji oraz obronę przed cyberzagrożeniami pozostają niemal bez zmian na przestrzeni ostatnich trzech lat. Wynika to przede wszystkim z trwającego kryzysu ekonomicznego i konieczności redukcji kosztów. Jest jednak szansa na zmianę postrzegania wydatków na ochronę informacji jako zbędnego balastu w budżecie. Blisko połowa firm z sektora bankowego i technologicznego zdaje sobie sprawę, że ograniczenia budżetowe stanowią poważną przeszkodę na drodze do budowania efektywnego programu bezpieczeństwa IT.

 

Jak Polska i polskie firmy są przygotowane do walki z cyberprzestępczością? W ocenie Deloitte, propozycje Ministerstwa Spraw Wewnętrznych RP zawarte w dokumencie „Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011-2016” oraz „Polityce Ochrony Cyberprzestrzeni” są krokiem w dobrą stronę, ale niezbędne są również zmiany legislacyjne, których celem byłoby stworzenie lepszych warunków do współpracy pomiędzy administracją publiczną a sektorem prywatnym.

Niepokoi również brak współpracy i wymiany doświadczeń w zakresie bezpieczeństwa w sieci pomiędzy firmami w wielu branżach, także tych kluczowych dla gospodarki, jak energetyka czy transport. Dużo lepiej jest za to w sektorze telekomunikacyjnym czy bankowym, gdzie dochodzi do regularnych kontaktów pomiędzy osobami odpowiedzialnymi za bezpieczeństwo informacji w danej spółce. Działania koordynowane z innymi firmami z tego samego sektora gospodarki lub posiadającymi podobny profil ryzyka powinny być podstawą skutecznego programu zwalczania cyberzagrożeń

– podsumowuje Jakub Bojanowski.

 

Informacje o raporcie:

Raport Deloitte „Cyberodporność w świecie ewoluujących zagrożeń” podsumowuje zmiany, które zachodzą na polu cyberzagrożeń. Raport przedstawia powody, dla których cyberprzestępcy decydują się na nielegalne działania w sieci, omawia kwestie związane z rozwojem technologii i jej adaptacji oraz zwraca uwagę na fakt, iż dotychczasowe, standardowe metody walki ze zorganizowanymi grupami przestępczymi nie stanowią już odpowiedniej ochrony i nie gwarantują bezpieczeństwa. Autorzy opracowania udzielają odpowiedzi, jak stawić czoła wszechobecnym zagrożeniom, wskazując nowe drogi w bezpieczeństwie informacji.

 

Źródło: deloitte.com/pl/cyber