Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


10.06.2019

Inteligentne zarządzanie...

W dniach 11, 12 i 13 czerwca – odpowiednio – w Gdańsku, w Warszawie i w Katowicach,...
27.05.2019

Rozwiązania na platformie GCP

Citrix SD-WAN i Citrix ADC
27.05.2019

Chmura hybrydowa

Dell Technologies Cloud
27.05.2019

Uproszczona komunikacja

Cisco Webex
24.05.2019

Konferencja IT Manager of...

W dniach 12–14 czerwca w Sopocie odbędzie się konferencja IT Manager of Tomorrow 2019. To...
24.05.2019

Ochrona sieci

Fortinet FortiOS 6.2
24.05.2019

Mniejsza złożoność

Rittal VX25 Ri4Power
24.05.2019

All-in-one NAS

QNAP TDS-16489U R2
24.05.2019

Układy SoC

AMD Ryzen Embedded R1000

Podstawowe zasady zarządzania licencjami

Data publikacji: 21-01-2019 Autor: Tomasz Cygan

Zarządzanie licencjami na oprogramowanie jest ważnym elementem bezpieczeństwa informatycznego, a problemy związane z tym zagadnieniem mogą prowadzić do zaburzenia, a nawet wstrzymania procesów biznesowych.

 

Zarządzanie licencjami znajduje również przełożenie na wymagania ochrony danych osobowych wynikające z rodo, choćby w zakresie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania (art. 32 ust. 1 lit. b rodo), a także zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (art. 32 ust. 1 lit. c rodo). W związku z powyższym warto podjąć próbę zdefiniowania podstawowych zasad dotyczących zarządzania licencjami na oprogramowanie. Jednak przed przystąpieniem do spisywania zasad i zatwierdzania procedur należy zidentyfikować sprzęt oraz posiadane licencje.

> INWENTARYZACJA ZASOBÓW

Jak zauważył Peter Drucker, uważany za jednego z najwybitniejszych myślicieli i teoretyków zarządzania XX wieku – jeśli nie możesz czegoś zmierzyć, nie możesz tym zarządzać. Podstawowym elementem każdego procesu jest inwentaryzacja posiadanych zasobów. W przypadku licencji na oprogramowanie działanie to może przyjąć postać ograniczoną wyłącznie do zliczenia i pogrupowania posiadanych licencji. Natomiast warto rozważyć pełniejsze podejście do inwentaryzacji tego typu zasobów – takie działania można wówczas połączyć z pełnym rozliczeniem każdego użytkownika z posiadanego sprzętu, nadanych uprawnień oraz używanego oprogramowania specjalistycznego i biurowego. Podejście to powinno uwzględniać także rzeczywiste potrzeby użytkownika oraz jego zakres obowiązków. Warto przy tym pamiętać o udzieleniu pozwolenia dotyczącego samodzielnego instalowania lub aktualizacji posiadanego oprogramowania lub zakazie podejmowania tego typu działań (systemy aktualizuje osoba odpowiedzialna za to) czy też konieczności każdorazowego uzyskania zgody.

Inwentaryzacja powinna obejmować również usługi udostępniane organizacji zdalnie, np. w przypadku korzystania z usług w modelu Soft­ware as a Service. Z jednej strony może to utrudniać zarządzanie takim oprogramowaniem (np. w zakresie zarządzania uprawnieniami), z drugiej jednak może okazać się konieczne zawarcie z dostawcą takich usług umów powierzenia przetwarzania danych. Oczywiście w sytuacji gdy dostawca jako podmiot przetwarzający przetwarza dane osobowe w imieniu administratora.

> OCENA REALNYCH POTRZEB

Zarządzając licencjami, warto uwzględniać rzeczywiste potrzeby organizacji i użytkowników, przede wszystkim po to, aby uniknąć zakupu licencji, z których nikt nie korzysta (kwestie ekonomiczne). Należy też zwrócić uwagę na rodzaj posiadanych czy nabywanych licencji. Dotyczy to zwłaszcza licencji stanowiskowych oraz możliwości ich elastycznego przekazywania pomiędzy użytkownikami w zależności od aktualnych potrzeb.

Posiadanie licencji nadmiarowych może być uzasadnione w przypadku, gdy rodzaj prowadzonej działalności, a także np. wyniki analizy ryzyka uzasadniają posiadanie dodatkowych licencji, których uzyskanie w krótkim czasie jest co najmniej utrudnione. Jednocześ­nie biorąc pod uwagę różne potrzeby i dostępne formaty oprogramowania, trzeba pamiętać o kompatybilności.

> RÓŻNE PLATFORMY I SYSTEMY

Włączenie wielu typów urządzeń do systemu informatycznego firmy może skutkować pojawieniem się różnego rodzaju zagrożeń. W pierwszej kolejności wskazać należy sytuację, gdy na sprzęcie używanym w ramach modelu BYOD zainstalowane jest nielegalne oprogramowanie. W takiej sytuacji zasadnicze znaczenie ma regulacja wynikająca z art. 117 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jedn. DzU z 2006 r. nr 90, poz. 631). Zgodnie z jego treścią: „kto bez uprawnienia albo wbrew jego warunkom w celu rozpowszechnienia utrwala lub zwielokrotnia cudzy utwór w wersji oryginalnej lub w postaci opracowania, artystyczne wykonanie, fonogram, wideogram lub nadanie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Natomiast jeżeli sprawca uczynił sobie z popełniania przestępstwa stałe źródło dochodu albo działalność przestępną organizuje lub nią kieruje, podlega karze pozbawienia wolności do lat 3”.

 

Oznacza to, że do powstania odpowiedzialności karnej użytkownika prowadzi już samo utrwalenie (np. pobranie) oprogramowania bez uprawnienia lub wbrew warunkom jego licencji. Jednocześnie należy zauważyć, że w sytuacji gdy pracodawca narzuca lub godzi się na wykorzystanie sprzętu zawierającego nielegalne oprogramowanie, może on narazić się na odpowiedzialność za organizowanie działalności polegającej na utrwalaniu cudzego utworu w wersji oryginalnej. Oczywiście, wiele zależy od okoliczności faktycznych danej sprawy. Do podobnych wniosków prowadzi sytuacja, w której na sprzęcie firmowym zainstalowane jest oprogramowanie przeznaczone do użytku domowego. Wówczas będzie ono wykorzystywane niezgodnie z warunkami licencji, co może prowadzić do odpowiedzialności na podstawie wskazanych powyżej przepisów prawa.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12. 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"