Программное обеспечение демонстрирует особенно неприятную проблему для большинства организаций. С одной стороны, корпоративные приложения очень важными, так как обеспечивают выполнение любых операций, начиная с фронт-офиса и заканчивая бэк-офисом. С другой стороны, программное обеспечение является одним из самых сложных корпоративных активов в управлении, что приводит к крупным финансовым расходам, неэффективности, а также рискам кибербезопасности.
Вызовы, которые стоят перед Software Asset Management (SAM)
Большинство организаций тратят примерно 25% своих ИТ-бюджетов на программное обеспечение. Но в отличие от физических активов, таких как столы, стулья или машины, программное обеспечение является чрезвычайно трудным активом для мониторинга и инвентаризации. Рассмотрим все настольные компьютеры, ноутбуки, мобильные устройства, серверы и облака на которых установлено программное обеспечение. Помимо материально-технической сложности в мониторинге всех этих устройств и программного обеспечения, которое они содержат, проблема становится экспоненциально более сложной, если учесть, что происходит с этим программным обеспечением, когда машины приобретены и списаны, сотрудники обновляют ПО самостоятельно и устанавливают дополнительные приложения, работники нанимаются и увольняются, происходят слияния и поглощения.
Кроме того, организации должны не только следить за физическим местоположением программного обеспечения, но они должны также отслеживать, как используется это программное обеспечение – и насколько такое использование совместимо с лицензионным соглашением. Например, каждая лицензия в контракте подразумевает наличие сложных правил, относящихся к ее использованию, которые должны быть отслеживаемы, управляемы и понятны для соблюдения лицензионного соответствия. Если использование выходит за рамки данных правил, организация будет рассматриваться как нарушитель, что, следовательно, приведет к применению не предусмотренных в бюджете "корректировочных" штрафных санкций, которые часто обходятся в десятки миллионов долларов (в год). Обратное также верно: если эти лицензии используются не полностью, то компания приобрела в качестве "ненужного довеска'', неиспользуемое или недоиспользуемое программное обеспечение, которое лежит мертвым грузом.
Стоимость неуправляемого ПО
Согласно одному из последних отчётов IDС, сложность лицензирования программного обеспечения стоит компаниям в размере порядка 25% от их годового бюджета на лицензирование программного обеспечения. Для решения этой проблемы, ведущие организации внедрили комплексные программы по оптимизации лицензирования программного обеспечения, состоящие из людей, процессов и технологии автоматизации - что в значительной степени сокращает неэффективное, лишнее и выходящее за рамки бюджета программное обеспечение, появляющееся в связи с отсутствием управления в области ПО.
Согласно Gartner решение по
Оптимизации лицензирования программного обеспечения должно включать в себя шесть важных элементов:
- Изучение платформы
- Инвентаризация платформы и программного обеспечения
- Нормализация инвентаризации
- Совмещение внешней информации
- Оптимизация лицензирования
- Обмен информацией
Реализация программы по
Оптимизации лицензирования программного обеспечения, как правило, проводится с помощью управления ИТ-активами (ITAM) или командой SAM в составе ИТ-операционной группы.
Риски кибербезопасности от неуправляемого программного обеспечения
Неуправляемое программное обеспечение также создает огромный риск для кибербезопасности организаций. Стандарты безопасности и требования были разработаны мириадами организаций, в том числе SANS Institute, который создал приоритетный список контроля безопасности первой необходимости, чтобы помочь снизить риски организаций перед реальными угрозами.
Первый из приоритетных вопросов контроля безопасности, выявленных SANS, фокусируется на способности организаций активно управлять (сканирование, отслеживание и правильность) всех аппаратных устройств в сети. Второй фокусируется на инвентаризации одобренного и неразрешенного программного обеспечения. Организации должны активно управлять (сканирование, отслеживание и правильность) всем программным обеспечением в сети, чтобы устанавливалось и использовалось только санкционированное программное обеспечение, а несанкционированное и неуправляемое программное обеспечение можно обнаружить и предотвратить его установку или использование. Важная роль, которую Software Asset Management играет в кибербезопасности также была подчеркнута в Business Software Alliance (BSA) / отчет IDC, который показал, что, чем больше нелицензированного программного обеспечения, развернутого в сети организации, тем больше риск использования вредоносных программ. В отчете делается вывод, что снижение использования нелицензионного программного обеспечения позволит снизить риск кибербезопасности.
Действительно, уязвимости используемого программного обеспечения открывают путь для проникновения кибер-преступников. Киберпреступники обычно используют уязвимости в программном обеспечении, как шлюзы для использования корпоративных сетей. 60% атак в последние годы были произведены инструментами, продаваемыми в метро, что позволяет каждому стать злоумышленником. Более 65% основных угроз используют уязвимости для заражения машины и осуществления вредоносных действий. Средняя стоимость киберпреступлений составляет более $ 12,7 млн на организацию в США, а средние финансовые потери выросли более чем на 34% за 2014 год по сравнению с 2013 – крупные нарушения могут обходиться в сотни миллионов долларов, не говоря уже об ущербе бренду и репутации, который они наносят.
Согласно последнему отчету компании Secunia (недавно приобретенного Flexera Software), в течение 2014 года, 15,435 уязвимостей были обнаружены в 3870 программных продуктах, а увеличение уязвимости на 55% будет продолжаться в тенденции на 5 лет. Для 83% всех уязвимостей могли были устранены в день их обнаружения, это доказывает тот факт, что вы можете исправить большинство уязвимостей, если вы знаете, что исправлять.
По этой причине
Управление уязвимостями ПО стало важным компонентом общей системы безопасности любой организации. Управление уязвимостями ПО состоит из двух основных компонентов, начиная с анализа и оценки уязвимостей. Это включает в себя исследование и инструменты для выявления и проверки уязвимостей программного обеспечения, обнаружение корпоративных аппаратных и программных средств, для того чтобы директор по информационной безопасности мог узнать, существуют ли уязвимости в корпоративной сети (аналогичные исследования и инвентаризации также необходимы для эффективного SAM, как было отмечено выше), инструменты и рабочий процесс оценки и ранжирования этих рисков, а также непрерывное предоставление отчетности для обеспечения понимания и прозрачности процесса.
Кроме того,
Управление уязвимостями ПО включает в себя управление патчами безопасности для исправления обнаруженных уязвимостей, инструменты для проверки этих исправлений, прежде чем передать их в систему развертывания, и создание отчетов для проверки действительно ли был установлен патч.
Где SAM и кибербезопасность пересекаются
Как было отмечено выше, SAM и кибербезопасность принципиально требуют от организаций иметь в своем распоряжении возможность эффективно, всесторонне и постоянно обнаруживать и инвентаризировать их аппаратные и программные ресурсы. В своём последнем отчёте IDC также проводит связь между кибербезопасностью и управлением ИТ активами, этот отчёт показал, что обеспечение чистоты данных об ИТ-активах для правильной оценки уязвимостей существующего программного и аппаратного обеспечения может значительно повысить эффективность управления кибербезопасностью, а также производительность приложений. IDC рекомендует, фокусировать будущую ITAM деятельность в первую очередь на требованиях ИТ-безопасности.
Оптимизация лицензирования ПО, обнаружение и инвентаризация программного и аппаратного обеспечения в настоящее время осуществляется в основном за счет ITAM или SAM команд в составе ИТ-операционной группы. Кроме того, эффективные принципы Кибербезопасности и основы Управление уязвимостями ПО также требуют эффективного, всестороннего и непрерывного обнаружения и инвентаризации программных и аппаратных активов. Сегодня эти задачи выполняются одновременно службой безопасности и ИТ-операционной командой в организации, что является излишней двойной работой.
Задача состоит в том, чтобы организации признали, что разрозненные SAM команда и служба безопасности, по сути, осуществляют дублирующую деятельность под эгидой различных стратегических инициатив -
Оптимизация лицензирования ПО и Управление уязвимостями ПО. Это не только расточительно и неэффективно, но это также может привести к пробелам в охвате и рискам, когда один отдел не осведомлен о деятельности другого, или не выполняет ту же деятельность с теми же процессами или такой же тщательностью. SAM и кибербезопасность уже пересеклись - предприятиям необходимо отреагировать на эту реальность адаптацией своих процессов, а именно слиянием дублирующих друг друга процессов SAM и кибербезопасности, для того чтобы быстро снизить расточительные траты на программное обеспечение одновременно устраняя узкие места в кибербезопасности.
Источник:
ISBuzz , перевод: Алена Шпигарева
