Wyzwania i ryzyka związane z zarządzaniem oprogramowaniem licencjonowanym w oparciu o użytkowników

W pierwszej części artykułu omówione zostały miary licencyjne sklasyfikowane ze względu na sposób liczenia użytkowników (użytkownik imienny oraz użytkownik jednoczesny). W tej części chcielibyśmy przyjrzeć się temu, jak mierzyć licencje według nałożonych ograniczeń lub ich przeznaczenia. Zaproponowana klasyfikacja jest autorską metodologią stworzoną na potrzeby publikacji.

Ogólny zarys klasyfikacji ze względu na nałożone ograniczenia lub przeznaczenie licencji przedstawia się następująco:

a) miary licencyjne ograniczone geograficznie,

b) miary licencyjne ograniczające funkcjonalność programu,

c) miary licencyjne uwzględniające relacje użytkownika z firmą,

d) miary licencyjne uwzględniające częstotliwość użytkowania programu.

Miary licencyjne ograniczone geograficznie

Pierwszym z typów licencji sklasyfikowanych ze względu na nałożone ograniczenia są miary licencyjne ograniczone przez miejsce używania programu. Można wyróżnić tutaj trzy najpopularniejsze typy miar licencyjnych (np. Micro Focus, OpenText):

a) Global User,

b) Area User,

c) Site User.

W przypadku pierwszej z omawianych miar, Global User (użytkownik globalny), użytkownik z taką licencją ma dostęp do oprogramowania z dowolnego miejsca na świecie. 

W przypadku miary Area User (użytkownik z określonego terenu / miejscowy) dostęp do programu ograniczony jest do określonego obszaru, zdefiniowanego przez producenta oprogramowania, (może to być np. rejon geograficzny EMEA (Europa, Bliski Wschód i Afryka) czy też JAPAC (Japonia, Azja, wybrzeża Pacyfiku oraz Australia), ale też może być np. ograniczony do miasta, na terenie, którego znajduje się serwer z oprogramowaniem) (np. OpenText).

Ostatnią z omawianych w tej części miar licencyjnych jest Site User (użytkownik lokalny) – oprogramowanie może być wtedy używane tylko w określonym miejscu np. w określonym pokoju w budynku, pod danym adresem fizycznym (np. konkretna ulica i nr domu), lub w określonej grupie adresów itp.  

Oprócz licencji Area i Site User możemy się spotkać również z licencjami Area i Site (bez specyfikacji użytkownika). W tym pierwszym przypadku, Area License może np. umożliwiać instalację oprogramowania na dowolnej ilości komputerów (w konsekwencji – używanie go przez dowolną liczbę użytkowników), ale w obszarze ograniczonym określoną odległością od miejsca pierwszej instalacji (np. w promieniu 40 kilometrów – Radiation Software, lub 75 kilometrów – Bitvise). Druga z licencji, Site, może np. umożliwiać używanie oprogramowania przez nieograniczoną liczbę użytkowników, ale w obrębie danego budynku czy też grupy sąsiednich budynków (w języku polskim odpowiednikiem takiej licencji jest licencja wielostanowiskowa).

Wyzwania i ryzyka licencyjne:

• Monitorowanie wykorzystania licencji. Proces ten często nie jest wspierany przez mechanizmy kontrolne wbudowane w program (tak jest na przykład w przypadku produktów Micro Focus / HPE). Jeśli licencjobiorca nie wdroży autorskiego systemu kontroli poziomu wykorzystania licencyjnego, w przypadku licencji ograniczonych obszarem (np. Site User / Area User) to stworzy ryzyko licencyjne. Na przykład, kiedy mamy pracowników, którzy często podróżują, lub pracują na danym oprogramowaniu również  z domu – dostęp do programu przez takiego użytkownika po przekroczeniu dozwolonej strefy (np. site lub area) może spowodować konieczność przydzielenia mu licencji innego typu.
• Określenie obszaru używania licencji. Możemy mieć tutaj do czynienia z ograniczeniami odległości (możliwe instalacje na obszarze w promieniu np. 40 km), ale warto zwrócić uwagę na szczegółowe zapisy licencyjne konkretnego producenta. W przypadku np. HPE/Micro Focusa obszar używania programu musi być określony w dodatkowym dokumencie w momencie zakupu. Jeżeli tak się nie stało, za miejsce używania, w przypadku licencji Area User, uznaje się obszar, w którym złożono oryginalne zamówienie. Natomiast, w przypadku Site User jest to miejsce, gdzie produkt został wysłany zgodnie z fakturą (dlatego niedopuszczalne jest podawanie w celach licencyjnych wielu adresów lub też adresów w różnych krajach).
• Dodatkowe koszty licencyjne. W przypadku zmiany siedziby firmy (i powiązanej z tym relokacji pracowników), jeśli wiąże się ona ze zmianą obszaru (w przypadku licencji Area User) lub miejsca używania programu (w przypadku licencji Site User), trzeba pamiętać, o dodatkowej opłacie związana z relokacją licencji. Inaczej taka sytuacja może mieć istotne znaczenie z punktu widzenia długofalowej strategii rozwoju firmy oraz natury prowadzonego biznesu.

Miary licencyjne ograniczające funkcjonalność programu

W tym przypadku możemy mieć do czynienia z następującymi miarami licencyjnymi (np. Microsoft, SalesForce):

a) Full User,

b) Limited User,

c) Guest User.

Pierwsza z wyżej wymienionych miar (Full User – pełny użytkownik) zapewnia użytkownikowi końcowemu dostęp do wszystkich funkcji oprogramowania, podczas gdy miara Limited User (użytkownik z ograniczeniami) zapewnia dostęp do konkretnych, opisanych przez producenta elementów programu lub też użytkownik może wykonywać tylko ściśle określone działania (np. ma tylko dostęp do danych, ale nie może ich dodawać, czy modyfikować). W przypadku miary licencyjnej Guest User (gość), jest ona używana przez niektórych dostawców oprogramowania (np. Micro Focus / HPE), jako odpowiednik Limited User (używanego przez Microsoft). Zupełnie odmienna koncepcja nazewnicza została przyjęta przez SalesForce, gdzie nazwa typu użytkownika precyzyjnie określa elementy programu z którymi może on wchodzić w interakcje (np. Salesforce Platform User, Force.com – One App User, Chatter Free User, Chatter External User).

Wyzwania i ryzyka licencyjne:

• Określenie zapotrzebowania na poszczególne licencje. Nieprawidłowości w tym obszarze mogą doprowadzić do przyznania użytkownikowi niepotrzebnych uprawnień, czego efektem może być obniżenie poziomu bezpieczeństwa informatycznego firmy, poniesienie nieuzasadnionych kosztów, jak i niewykorzystanie części licencji, (co może również generować koszty wsparcia lub utrzymania dla takich licencji). Przy prawidłowym określeniu zapotrzebowania na poszczególne typy użytkowników firma może wiele zaoszczędzić przy zakupie licencji (np. dla produktów Microsoft, w przypadku niektórych programów różnica w cenie licencji Limited i Full User sięga 80%.
• Zmiana typu licencji. W przypadku niektórych producentów (np. Microsoft Dynamics Nav), zmiana typu licencji z węższej na szerszą może wiązać się z poniesieniem pełnych kosztów szerszej licencji, jak również kosztów wsparcia lub utrzymania dla obu licencji.

Miary licencyjne uwzględniające relacje użytkownika z firmą

W tym przypadku możemy wyróżnić dwa typy miar licencyjnych (np. Micro Focus, IBM) :

a) Internal User,

b) External User.

External User (użytkownik zewnętrzny) jest to użytkownik spoza przedsiębiorstwa, mający dostęp do oprogramowania w celu realizacji np. pracy zleconej, pozyskania informacji itp., podczas gdy Internal User (użytkownik wewnętrzny) jest to użytkownik, który jest pracownikiem organizacji posiadającej dane oprogramowanie.

Wyzwania i ryzyka licencyjne:

• Dodatkowe wymagania przy definiowaniu użytkowników. Chociaż rozgraniczenie na użytkowników wewnętrznych i zewnętrznych umożliwia na ogół lepsze dostosowanie posiadanych licencji do bieżących potrzeb firmy i optymalizację kosztów (np. w przypadku Micro Focus Vibe przydzielanie licencji External User nie pociąga za sobą żadnych dodatkowych kosztów licencyjnych), to w przypadku użytkowników zewnętrznych szczegółowe warunki licencyjne mogą jednakże określać dodatkowe wymagania dla takich użytkowników (np. w przypadku Novell Vibe w wersji 3.4 takimi warunkami są: email jako nazwa konta, brak synchronizacji z usługami katalogowymi, brak uproszczonego logowania do systemu Niespełnienie któregoś z tych warunków może skutkować koniecznością przydzielenia wszystkim zewnętrznym użytkownikom zwykłych licencji.
• Różne definicje użytkowników. W przypadku IBM Content Foundation (w wersji 5.5.2), użytkownikiem wewnętrznym (zdefiniowanym jako Employee User / użytkownik będący pracownikiem) wymagającym przydzielenia licencji opartych na UVU (User Value Unit - jednostka wartości użytkownika) jest nie tylko każdy pracownik zatrudniony w przedsiębiorstwie (bez względu na to czy ma dostęp do programu), ale również każdy użytkownik, który działa w imieniu lub działa na płatne zlecenie przedsiębiorstwa i ma dostęp do programu. Użytkownikami zewnętrznymi (Eligible Participants / uprawnieni uczestnicy), są z kolei użytkownicy programu niebędący pracownikami, ale uczestniczący w dowolnym programie świadczenia usług zarządzanych lub śledzonych przez program, i wymagają licencji opartych na RVU (Resource Value Unit – jednostka wartości zasobów).
•  Ograniczenia świadczenia usług. Stosowanie dostępu dla użytkowników zewnętrznych wymaga szczególnej ostrożności, gdyż częstym zapisem licencyjnym jest ograniczenie świadczenia usług z wykorzystaniem licencjonowanego oprogramowania na rzecz jedynie organizacji licencjobiorcy, a nie podmiotów zewnętrznych. Może to prowadzić do niezgodności licencyjnej, gdy np. użytkownik zewnętrzny będzie świadczył usługi innym podmiotom z wykorzystaniem danego oprogramowania. Taki zapis znajduje się na przykład w licencji dla programu Micro Focus Vibe (4.0.2).

Miary licencyjne uwzględniające częstotliwość użytkowania programu

W tym przypadku wyróżniliśmy jeden typ użytkownika – Infrequent User / użytkownik sporadyczny. W przypadku zasad licencjonowania oprogramowania IBM, jest on określony, jako autoryzowany użytkownik, który uzyskuje dostęp do programu nie częściej niż sto dwadzieścia razy w okresie kolejnych dwunastu miesięcy. Pojedynczy dostęp jest wtedy definiowany, jako jedna lub wiele interakcji z programem w okresie kolejnych piętnastu minut. Przekroczenie podanych warunków przez danego użytkownika powoduje konieczność zakupu dla niego pełnej licencji. W przypadku innych dostawców oprogramowania (np. Qlik), użytkownik sporadyczny określony jest mianem Login Access Pass. W tym przypadku dozwolony dostęp wynosi 60 minut w ciągu kolejnych 28 dni, a odnawialna licencja jest przyznawana przy logowaniu. Przekroczenie podanych warunków powoduje jedynie zużycie kolejnej licencji, aż do wyczerpania dostępnej puli. Wykorzystane licencje mogą być ponownie użyte po upływie 28 dni.

Wyzwania i ryzyka licencyjne:

• Monitorowanie użycia.Korzystanie z licencji dla użytkowników sporadycznych może przynieść firmie znaczące oszczędności dzięki niższym kosztom takiej licencji. W przypadku np. IBM, dziesięciu użytkowników sporadycznych odpowiada jednemu użytkownikowi autoryzowanemu. Niestety, producenci oprogramowania na ogół nie oferują wbudowanych mechanizmów monitorowania wykorzystania takich licencji, a stworzenie autorskiego rozwiązania monitorującego poziom ich użycia należy do zadań licencjobiorcy. Brak takiego rozwiązania, jego nieprawidłowe działanie lub też brak możliwości wykazania użycia, stwarza ryzyko liczenia wymogu licencyjnego jak dla zwykłego użytkownika.

Omawiane powyżej, jak i w pierwszej części artykułu, wymagania licencyjne bynajmniej nie wyczerpują tematu ryzyka i wyzwań związanych z zarządzaniem oprogramowaniem licencjonowanym w oparciu o użytkowników. Rozważając nawet jeden produkt u jednego producenta, możemy mieć do czynienia z różnymi miarami licencyjnymi w zależności od wersji rozwojowej programu (np. ArcSight – licencjonowanie na liczbę rdzeni procesora, później na ilość GB przetwarzanych w jednostce czasu, a następnie według średniej ilości zdarzeń w jednostce czasu). Pociąga to za sobą konieczność bieżącego monitorowania takich zmian, co stanowi dodatkowe wyzwanie i stwarza dodatkowe ryzyko licencyjne.  Oprócz sklasyfikowanych w niniejszym artykule typów licencji, możemy spotkać również inne rodzaje lub miary licencyjne w oparciu o użytkownika, np. użytkowników wirtualnych (virtual users), którzy są wykorzystywani przede wszystkim w oprogramowaniu testującym. Warto przy tym wspomnieć, że omówione typy licencji mogą być też ze sobą łączone, tworząc różne kombinacje np. Site Concurrent User. W takim przypadku wymagania licencyjne mogą stanowić dowolną kombinację wymagań dla poszczególnych typów licencji.

W większości systemów użytkownik jest identyfikowany przez oprogramowanie za pomocą konta użytkownika zabezpieczonego np. hasłem, kluczem sprzętowym, danymi biometrycznymi. Konta mogą być tworzone na potrzeby konkretnego programu, jednak znacznie wygodniejszą metodą jest synchronizacja z usługami katalogowymi, takimi jak np. Active Directory (Microsoft), czy też eDirectory (Micro Focus), lub też IBM Security Directory Server (IBM). Wiąże się to jednak z kolejnymi zagrożeniami licencyjnymi, wynikającymi chociażby z pozostawiania nieaktualnych użytkowników w systemie, problemami synchronizacji poszczególnych instancji w środowiskach rozproszonych, zmianą metodologii tworzenia nazw użytkowników w firmie (i w rezultacie istnienia zduplikowanych kont użytkowników), lub też zaniechaniem (na pewnym etapie prac) synchronizacji pomiędzy środowiskami produkcyjnymi, developerskimi i testowymi. Każdy z tych przypadków może prowadzić do nadużyć licencyjnych, jak również narażać firmę na osłabienie poziomu cyberbezpieczeństwa, (co może skutkować np. kradzieżą lub ujawnieniem danych).

Mnogość stosowanych miar licencyjnych dotyczących użytkowników, ich częste aktualizacje i modyfikacje przez producentów oprogramowania, jak również brak jednolitej terminologii służącej określaniu użytkowników i ich uprawnień, znacznie utrudniają proces zarządzania licencjami i w rezultacie narażają użytkownika końcowego na ryzyko wystąpienia niezgodności licencyjnych. Dodatkowo, producenci oprogramowania nie zawsze wspierają użytkowników końcowych w monitorowaniu poziomu wykorzystania licencyjnego oprogramowania. Dlatego warto wiedzieć, że na rynku są dostępne rozwiązania adresujące powyższe wyzwania, jak np. specjalistyczne oprogramowanie służące do monitorowania poziomu wykorzystania licencyjnego, które – przy wsparciu ekspertów w obszarze Software Asset Management – może w efekcie pozwolić nawet na zupełne wyeliminowanie ryzyka wystąpienia niezgodności licencyjnych.

Zarządzanie oprogramowaniem (ang. Software Asset Management) jest istotnym elementem obszaru IT każdej firmy, nie tylko ze względu na optymalizację kosztów, ale także poprawienie bezpieczeństwa systemów i aplikacji. SAM to połączenie technologii, kompetencji, procesów i wiarygodnych danych.