Programování

Softwarové audity: Jak high-tech hraje hardball

Když před dvěma lety přišla žádost o softwarový audit od společnosti Adobe, Margaret Smith (ne její skutečné jméno) si myslela, že je to jako obvykle. Jako specialistka na řízení rizik a dodržování předpisů ve společnosti Fortune 500 byla zvyklá na to, aby byla každoročně auditována několikrát.

"Obvykle tyto věci začínají přátelsky," říká. "Dostali jsme žádost o audit a je třeba nějakého vyjednávání." Chtějí provést audit na místě nebo požadovat konkrétní ID zaměstnanců a my řekneme ne. Tentokrát ale vyšli houpat se. Hrozili, že do dvou týdnů přivedou právníky. “

Společnost Smith's, výrobce spotřebního zboží, získala licenci na nejméně 55 různých produktů Adobe v kancelářích po celém světě. Tvůrkyně softwaru nyní obviňovala její firmu z používání mnohem většího množství softwaru, než na jaké měla právo.

Sázky byly vysoké. Společnost Adobe mohla uvalit pokuty nad rámec neuhrazených licenčních poplatků, účtovat její firmě náklady na audit a od určitého data požadovat zpětné platby.

Margaret však nebyla žádným převratem. Pracovala pro obrovskou organizaci, která spravovala více než 4 000 softwarových produktů, a měla docela dobrý přehled o tom, jak jsou kompatibilní.

Ukázalo se, že došlo ke konfliktu mezi jazykem v licenční smlouvě, kterou společnost podepsala, a podpůrnými dokumenty, které společnost Adobe považovala za součást této smlouvy. Nakonec se usadili. Výrobce spotřebního zboží souhlasil s dalšími kontrolami způsobu, jakým nasazoval software, a Adobe tuto záležitost odmítl (a nepřekvapilo, odmítl tento příběh komentovat).

Ale mohlo to být ošklivé. A je symbolem toho, jak agresivní byli hlavní vydavatelé softwaru.

Tento audit byl klíčovým faktorem v rozhodnutí její společnosti implementovat řešení správy softwarových aktiv od společnosti Snow Software, říká Smith. „Byl to dokonalý příklad na podporu mé teorie, že prvním krokem k dosažení souladu je pochopení toho, s čím pracujete.“

Pokud jde o softwarové audity, kód omerta převládá.

Pokud si ji koupíte, přijdou

Nejde o to, zda budou auditovány softwarové licence vašich organizací. Jde jen o to, kdy, jak často a jak bolestivé budou audity. Shakedown je tak jistá věc, že ​​téměř každý zákazník, kterého jsme kontaktovali, nás požádal, abychom nezveřejnili jeho jména z tohoto příběhu, aby se jejich zaměstnavatelé nestali terčem budoucích auditů.

Audity jsou na vzestupu a jsou stále dražší. Podle společnosti Gartner dostává 68 procent podniků každý rok alespoň jednu žádost o audit, což je počet, který se od roku 2009 každoročně stabilně zvyšuje. Nejčastější žádosti přicházejí od obvyklých podezřelých: Microsoft, Oracle, Adobe, IBM a SAP.

Průzkum společnosti Flexera, dodavatele správy softwarových aktiv, uvádí, že 44 procent podniků muselo zaplatit „skutečné“ náklady ve výši 100 000 USD a více a 20 procent zaplatilo více než 1 milion USD - procenta, která se více než zdvojnásobila minulý rok.

Amy Konary z IDC odhaduje, že až 25 procent softwarového rozpočtu organizace bude vynaloženo na řešení samotné složitosti licencí.

„Existují dva aspekty, které je těžké určit,“ říká Konary, viceprezident odpovědný za vedení programů SaaS, Business Models a Mobile Enterprise Applications společnosti IDC. "První je nadměrné nakupování." Kolik dalšího softwaru kupujete, abyste zmírnili riziko nedodržení předpisů? Druhý je underbuying. Necháte se auditovat, zjistíte, že jste použili více softwaru, než jste čekali, a nakonec utratíte více peněz za rozbor. Kvůli složitosti licencování je obtížné přizpůsobit vaše softwarové prostředí. “

Více než čtvrtina veškerého softwaru instalovaného ve velkých amerických a britských podnicích je nádobí, jehož celkové náklady přesahují 7 miliard dolarů, podle průzkumu společnosti 1E, společnosti zabývající se automatizací životního cyklu softwaru. Přidejte k tomu skryté náklady na přerušení podnikání u auditů, které mohou trvat 18 měsíců, a konečná cena může být enormní.

Stručně řečeno, podniky nechávají na stole spoustu peněz - a vydavatelé softwaru jsou rádi, že jich nasbírají co nejvíce.

Audity jsou prodejní nástroje

Technicky je softwarový audit způsob, jak prokázat, že jste nainstalovali pouze software, za který jste zaplatili, nebo vydavatel, který prokáže, že jste nainstalovali nebo používali příliš mnoho. Proces auditu však často končí podpisem šeku zákazníkem - buď platbou za software, který byl přeinstalován nebo nesprávně nainstalován, nebo uzavřením nové dohody o dlouhodobějším závazku

„Na konci auditu dojde k prodeji,“ říká Peter Turpin, viceprezident společnosti Snow Software. „Audit je způsob, jak vybírat peníze za software, který si zákazník nainstaloval. Proto za to musíte zaplatit. “

Ale hlavní vydavatelé také používají hrozbu auditu jako způsob uzavření nových obchodů, říká Craig Guarente, spoluzakladatel společnosti Palisade Compliance, která pomáhá podnikům se správou licenčních problémů Oracle.

Po více než 15 let byl Guarente globálním viceprezidentem pro smlouvy a obchodní praktiky pro Oracle. Říká, že po mnoho let měl prodejní tým společnosti Oracle mantru inspirovanou „Glengarry Glen Ross“ nazvanou „ABC: audit-bargain-close“.

"Provedete audit u někoho, najdete nějaké problémy, vložíte do jejich srdcí trochu strachu a hodíte tam velké číslo," říká. "Pak uzavřete obchod s něčím jiným, co chtějí, abyste koupili." Až na tyto dny tomu říkám „cloud pro výhodné vyjednávání“ - uzavřete cloudovou dohodu a najednou zmizí všechny vaše problémy s auditem. “

Zejména Oracle byl povolán pro agresivní postupy licencování softwaru. Průzkum z října 2014 provedený v rámci kampaně Oracle Clear Licensing mezi zákazníky společnosti Oracle dospěl k závěru, že vztahy se zákazníky společnosti Oracle „jsou nepřátelské a naplněné hluboce zakořeněnou nedůvěrou“.

V říjnu 2015 podala cukrovinková společnost Mars Inc. žalobu na společnost Oracle a obvinila společnost z vymáhání licencí „mimo rozsah“ na základě „falešných předpokladů“. Oblek byl stažen loni v prosinci; podmínky vypořádání nebyly oznámeny.

V rozhovoru s britským technologickým zpravodajským serverem V3 loni v únoru odsoudil globální CIO společnosti Specsavers Phil Pavitt „metodologii Oracle“ pro softwarové licence.

(Oracle odmítl žádosti o komentář.)

Oracle rozhodně není sám, kdo používá audity jako vyjednávací nástroj. Zákazníci kontaktovaní pro tento příběh potvrdili podobný tlak vyvíjený jinými vydavateli.

Z dlouhodobého hlediska však tento agresivní přístup vyvolává pouze nepřátelství, říká Konary IDC. Pokud obchodní zástupce používá audity jako způsob, jak podpořit prodej, obvykle to znamená, že máte špatného obchodního zástupce, říká. Tlak na čtvrtletní kvóty je přesto může přimět k větší agresivitě.

„Manažeři prodeje nemají rádi softwarové audity, protože mohou zničit jejich vztahy se zákazníky,“ říká. „Mnozí však mají také prodejní kvóty a určitou částku dolaru, kterou je třeba zasáhnout. Je tu trochu vychýlení. “

Mraky na obzoru

Jak více podniků přechází k softwaru jako službě, mělo by to teoreticky zjednodušit způsob licencování a správy softwaru. Z krátkodobého hlediska je ale opak pravdou; provoz v hybridním cloudu a on-premise prostředí vše komplikuje. Například je pro IT až příliš snadné roztočit podle potřeby nové služby v cloudu, aniž by zvážily důsledky licencování, říká Ed Rossi, viceprezident produktového managementu společnosti Flexera.

„Když představíte cloud, představíte také hodně složitosti,“ říká. „Protože to klienti využívají, staví se do pozice, že používají více softwaru, než na kolik mají nárok. Myslím, že z tohoto důvodu zaznamenáváme postupný nárůst auditů.“

Pouhý přesun do cloudu někdy spustí audit, říká Konary.

„Pokud si vezmete on-premise software a přesunete jej do cloudového prostředí ve vašem vlastním datovém centru, je velmi pravděpodobné, že budete mít problémy s licencemi,“ říká Konary. „Je to tak dynamické prostředí, je mnohem obtížnější sledovat, co vlastně používáte, a držet se svých licenčních požadavků.“

Dodává, že používání veřejných cloudových služeb představuje menší výzvu pro licencování. Pokud uživatelé nesdílejí hesla, je poměrně jednoduché měřit, kdo co používá.

Dalším důvodem, proč je větší závislost na cloudu doprovázeno nárůstem auditů: Společnosti, které vydělaly miliardy na on-premise softwaru, se z nich snaží vyždímat co nejvíce výnosů, jak je to možné, říká Robin Purohit, prezident skupiny organizace Enterprise Solutions BMC.

„Vidíme audity velkých podnikových společností na vzestupu,“ říká Purohit. „Jedná se o ty, které jsou nejzranitelnější při přechodu na software jako službu. Jejich růst licencí je ohrožen, takže se snaží udržet příjmy od zákazníků, které mají, když budují své cloudové a SAAS portfolio.“

Jejich nástroje, jejich pravidla

Mnoho prodejců vám nabídne pomoc při řešení problémů s dodržováním licencí. Nedělejte to, radí Palisade's Guarente.

"To se může proměnit v to, čemu říkám" tajný audit "," říká. " "Prodejce nabízí 'pomoc' zákazníkovi zjistit jeho problémy s dodržováním předpisů, ale je to skutečně maskovaný audit."

Říká, že jeden klient utrácel ročně téměř 40 000 dolarů za smlouvy o údržbě a podpoře Oracle a požádal je, aby mu pomohli přijít na to, jak snížit jeho výdaje. Šťastně souhlasili. O několik měsíců později dostal účet za dodržování předpisů za více než 1 milion dolarů. Tehdy byli přivedeni Palisády.

Prodejci často vyžadují, aby zákazníci ke sledování jejich používání používali konkrétní nástroje, ale ne vždy je dobře informují, poznamenává právník Rob Scott, ředitel společnosti Scott & Scott, LLP, firmy specializující se na řešení softwaru auditní spory.

"Jeden z největších hororových příběhů, který vidíme, obklopuje IBM a její virtualizační pravidla," říká Scott. "Podle IBM můžete nasadit jejich virtuální serverový software, pouze pokud nasadíte také jejich vlastní vyhledávací nástroj, o kterém se většina zákazníků dozví až při první auditu."

Poté přichází IBM a říká, že tyto virtuální servery mají licenci pro dílčí kapacitu, ale protože jste nenasadili náš nástroj pro zjišťování, dlužíte nám plnou kapacitu, dodává Scott.

„Viděl jsem, že tento problém představuje stovky milionů dolarů skutečných poplatků pouze pro naši klientskou základnu,“ říká Scott. „Zní to esotericky, ale děje se to po celém světě.“

Když byl kontaktován, mluvčí IBM potvrdil, že společnost vyžaduje, aby klienti používali bezplatný monitorovací nástroj ke sledování „subkapacitních licencí“. V e-mailu napsala:

Naše softwarové smlouvy jasně vyjadřují požadavky na využívání výhod subkapacitních licencí; toto je součástí všech těchto smluv již více než deset let. Kromě toho aktivně oslovujeme naše klienty, abychom zajistili, že jsou obeznámeni s příležitostmi a protokoly licencování subkapacit.

Police kde?

Audit může také odhalit, že platíte za software, který nepoužíváte. Nečekejte však, že vám to vydavatelé softwaru řeknou.

„Neslyším příliš mnoho o prodejcích, kteří přicházejí k zákazníkům a říkají:‚ Hej, utratili jste s námi příliš mnoho peněz ‘,“ přiznává Konary. Na druhou stranu dodává, že většina prodejců nebude zahájit audit, dokud si nebude dostatečně jistá, že zákazník bude muset provést nápravu.

Konary říká, že podniky by mohly kupovat nesprávné typy licencí pro své uživatele - například licenci vývojáře, když by to udělala levnější samoobslužná licence.

„Můžeš mít mnohem dražší úrovně, než potřebuješ. Máte možnost to downgradovat? Mnoho z tohoto objevu nádobí musí být iniciováno zákazníkem.“

Zatímco implementace softwarových nástrojů pro správu aktiv může pomoci, podniky budou také muset upravit své procesy kolem dodržování předpisů a vyškolit lidi, jak se vypořádat se složitostí, dodává.

Ve většině případů chtějí vydavatelé softwaru zůstat partnery v dobrém stavu se svými podnikovými zákazníky. Ale také chtějí vydělat co nejvíce peněz. A to může napnout partnerství do bodu zlomu.

„Je opravdu důležité si uvědomit, že vydavatelé mají právo na výplatu za software, který jejich zákazníci konzumují,“ říká Snow's Turpin. „Vaše nejlepší obrana je dobrý přestupek. Vybavte se správnými nástroji pro správu, takže pokud nebudete dodržovat předpisy, budete o tom vědět a můžete dělat něco podle svých vlastních podmínek. “

$config[zx-auto] not found$config[zx-overlay] not found