SAM audit pro Nemocnici Sokolov

Společnost DNS - certifikovaný partner Microsoftu, realizovala pro Nemocnici Sokolov softwarový audit a SAM (Software Asset Management) v souladu s normou ISO/IEC 19770-1. Realizace auditu byla rozdělena do dvou fází - softwarový a procesní audit.

Nemocnice Sokolov je od počátku roku 2011 součástí skupiny NEMOS GROUP, která se specializuje na podnikání v oblasti zdravotní péče v západočeském regionu. NEMOS GROUP si sokolovskou nemocnici pronajala na 20 let od Karlovarského kraje. Jako nováček ve skupině dnes nemocnice prochází velkou obměnou.

Za cíl si vedení nemocnice stanovilo neustálé zvyšování kvality poskytované zdravotní péče a rychlé přizpůsobení se měnícím se legislativním požadavkům a standardům kvality. Nový management nemocnice Sokolov si chtěl také ověřit, zda mohou být součástí pronájmu movitého majetku i počítače obsahující OEM operační systémy a chtěl mít jistotu, že veškerý software využívá legálně.

Řízením rozvojových projektů nemocnice byl pověřen nový finanční ředitel. Mezi první úkoly bylo získat přehled o spravovaných IT prostředcích a majetku a následně společně se správcem připravit podklady pro střednědobou IT strategii v rámci celé skupiny NEMOS GROUP.

Softwarový audit

Nový finanční ředitel skupiny NEMOS GROUP se při přebírání svěřené agendy detailně zajímal o vše, co všechno spadá do jeho osobní odpovědnosti. V rámci správy a zajištění budoucího chodu IT se rozhodl ověřit, jak je třeba postupovat při pronájmu podniku s licencemi na software na pronajatých počítačích.

V této otázce byl z hlediska právních zástupců pronajímatele i nájemce nejednotný výklad. Proto odpověď na položenou otázku: "Zda instalované OEM operační systémy na pronajatých počítačích si lze či nelze pronajmout?" přenechal profesionálům.

S ohledem na nejednoznačný právní výklad celé situace se IT manažer obrátil přímo na společnost Microsoft. Ta mu doporučila provést softwarový audit a SAM (Software Asset Management) v souladu s normou ISO/IEC 19770-1 a pro tento účel využít služeb některého z certifikovaných partnerů. Nemocnice Sokolov si na základě získaných referencí zvolila společnost DNS.

Licenční podmínky OEM verze Windows daly jasnou odpověď

Celý projekt byl rozdělen do dvou fází - na softwarový a procesní audit. Cílem softwarového auditu bylo získat přehled o licencích na produkty společnosti Microsoft, které organizace vlastní. Současně měl auditor ověřit, zda jsou licence efektivně využívány a v organizaci optimálně rozmístěny.

Vytvořený evidenční soupis licencí měl pak vedení organizace posloužit jako podklad pro plánování střednědobé strategie IT a finančního plánování rozvoje.Cílem auditu stávajících interních procesů bylo ověřit správnost jejich nastavení a poté případně optimalizovat existující interní směrnice, politiky či metodiku správy softwarových aktiv.

V rámci softwarového auditu při kontrole nabývacích dokladů auditor zjistil, že Nemocnice Sokolov má veškerý nemovitý a movitý majetek v pronájmu, tzn. kompletní IT vybavení i s používaným softwarem. Auditor, znalý legislativy a licenčních podmínek jednotlivých produktů, označil stávající užívání softwaru jako právní nesoulad. Licenční podmínky k užívání OEM verze operačního systému Windows totiž explicitně stanovují, že tento typ licence není možné používat v rámci pronájmu.

Z důvodu absence zkušeností s licenčními podmínkami u správce sítě, který za Nemocnici SOKOLOV IT vybavení nemocnice přebíral, došlo k pochybení na straně nájemce. Došlo však i k pochybení na straně pronajímatele. Ten licence OS Windows nainstalované v licenčním programu OEM na pronajatých počítačích v nemocnici neuvedl v soupisu věcí, které nelze pronajmout. Z důvodu selhání lidského faktoru tak vznikla situace, kdy Nemocnice Sokolov využívala na pronajatých počítačích OEM verze OS Windows, které neměla správně zakoupené ani licencované.

DNS ve spolupráci s Microsoftem nabídla efektivní řešení licencování

Firma DNS ve spolupráci se společností Microsoft předložila dvě varianty řešení vzniklé situace. Tou první byl odkup pronajatých počítačů, včetně OEM licencí na operační systém Windows, což licenční podmínky umožňují. To bylo využito u menší části novějších počítačů. Druhou a efektivnější variantou byl nákup nových počítačů s OEM licencemi operačního systému Windows 8 do vlastnictví společnosti Nemocnice SOKOLOV. DNS ve spolupráci s Microsoftem firmě rovněž doporučila využití speciálního, zvýhodněného licenčního programu Get Genuine Windows Agreement.

Ten je vhodný pro organizace, které zjistí, že nevědomky využívaly operační systém Windows bez odpovídajícího licenčního pokrytí. V rámci softwarového auditu v NEMOS SOKOLOV proběhla kontrola nejen operačních systémů, ale také u všech dostupných produktů. Na základě kontroly DNS doporučila řešit optimalizaci licenčního pokrytí všech produktů včetně licencí na serverové produkty a také přístup k nim.

Ta bude realizována formou multilicenčního programu s možností kombinace nákupu přístupových licencí k nově zakoupeným serverům s operačním systémem Windows Server a nákupu desktopových licencí na operační systém Windows. Vše proběhne v rámci již zmíněného programu Get Genuine Windows Agreement.

Nasazení správných procesů v budoucnu zabrání neúmyslnému či neoprávněnému užití licencí

V rámci druhé fáze projektu proběhla kontrola stávajících procesů pomocí metodologie SOM (SAM Optimization Model). Ta ukázala, že procesy v nemocnici fungují na bázi tzv. zvykového práva, nikoliv však formou sepsaných metodik, politik či podrobnějších směrnic. Nemocnice se tak nyní nachází na základní úrovni většiny procesů, kdy je chráněna na nejnižší možné úrovni. Ta pouze identifikuje míru rizik, ale efektivně jim nezabraňuje ani je neminimalizuje.

Tento stav byl způsoben relativní nezkušeností správců IT v této oblasti. Proto proběhla série školení, při nichž byly postaveny základy pro nové metodiky, politiky a směrnice. Ty budou v dalším období postupně zaváděny do praxe tak, aby nejpozději začátkem roku 2014 byla nemocnice plně chráněna alespoň na standardní procesní úrovni.

Přínosy

Díky realizovanému projektu se Nemocnici Sokolov podařilo vytvořit přesnou evidenci softwaru a dále pracovat s relevantními poklady pro finanční a strategické plánování. Úspěšně byla vyřešena otázka správného licencování veškerého software. Organizace také získala přístup k optimálnímu multilicenčnímu programu na produkty společnosti Microsoft, který jí v rámci postupné modernizace IT vybavení nemocnice zajistí výhodnější ceny pro všechny další produkty Microsoftu, které bude chtít v pronajaté nemocnici využít.

Navíc díky procesnímu auditu bude organizace více chráněna před protiprávním jednáním, přenese odpovědnost na jednotlivé správce a uživatele a bude mnohem efektivněji řídit IT. Tím docílí omezení nákladů pouze na ty, které jsou potřebné pro požadované nabývání a provozování IT majetku.

Hlavními přínosy celého projektu pro Nemocnici Sokolov jsou:

ověření stávajícího procesu evidence softwarových aktiv, včetně kompletace a doplnění všech nabývacích dokladů k software a návrhy pro zlepšení
vyjasnění právního vztahu k pronajímanému softwaru a eliminace právních rizik související s nesprávným nasazením softwaru
identifikace úrovně stávajících procesů a doporučení pro kontinuální zlepšování
zvýšení kvalifikace interních zaměstnanců zodpovědných za oblast SAM
přesná evidence softwarových aktiv od společnosti Microsoft
definice klíčových produktů z pohledu správy licencí
detailní podklady pro plánování a řízení IT investic
optimalizace využití multilicenčních programů
zvýšení ochrany organizace