Softwarov² audit v praxi - 2.Φßst

Ing. Marta Linderovß, OPAL s.r.o.
MM Φlßnek 4/6 , Φφslo 10, °φjen 1998, strana 73

V minulΘm Φlßnku jsme se podrobn∞ zab²vali takzvan²m pre-auditem, kter² je p°φpravnou a tudφ₧ nezbytnou fßzφ softwarovΘho auditu (dßle jen SA). Kvalitnφ a d∙kladnΘ provedenφ p°φpravnΘ fßze rozhodne, zda se poda°φ v minimßlnφ ΦasovΘ lh∙t∞ a s nejni₧Üφmi mo₧n²mi nßklady zvlßdnout provedenφ SA. Proto se doporuΦuje p°φpravnΘ fßzi auditu v∞novat zvlßÜtnφ pozornost a vyu₧φt veÜkerΘ informace, kterΘ mohou b²t ve spoleΦnosti k dispozici a kterΘ mohou zφskat jednotlivφ ΦlenovΘ p°φpravnΘho t²mu.

SchΘma vlastnφho softwarovΘho auditu:

  1. Sb∞r dat
  2. Zpracovßnφ dat
  3. Anal²za v²sledk∙
  4. Nßslednß opat°enφ a kontrola

Nynφ p°istoupφme detailn∞ k jednotliv²m bod∙m

Pro sb∞r dat je v souΦasnΘ dob∞ na naÜem trhu n∞kolik programov²ch prost°edk∙. Tyto programy naΦtou z jednotliv²ch PC, ani₧ by jakkoliv zasahovaly do dat, seznam spustiteln²ch soubor∙ a na jejich zßklad∞ nßsledn∞ vytvo°φ statistiku, obsahujφcφ pot°ebnΘ informace o SW, kter² se na zkouman²ch PC nachßzφ, vΦetn∞ informace o u₧ivateli a o hardware. Tyto programy v∞tÜinou umo₧≥ujφ rozliÜovat software, ke kterΘmu vykonßvß autorskß prßva spoleΦnost (tj. vytvo°ili jej zam∞stnanci v rßmci pracovnφho procesu) od software, ke kterΘmu spoleΦnost vlastnφ pouze prßvo u₧itφ. Rozhodnutφ, kter² konkrΘtnφ software se mß pou₧φt pro provedenφ auditu pat°φ do p°φpravnΘ fßze.

Sb∞r dat je Φinnostφ velmi citlivou na nedokonalou p°φpravu auditu a je oblastφ, ve kterΘ se objevuje nejv∞tÜφ mno₧stvφ problΘm∙. (zamΦenΘ kancelß°e, kde se nachßzejφ PC, neznßmΘ heslo pro p°φstup do PC, odmφtnutφ u₧ivatele umo₧nit provedenφ auditu s poukßzßnφm na nedostatek Φasu, zavirovanΘ PC, vadnß disketovß mechanika atd.)

Zpracovßnφ zφskan²ch dat je Φßstφ jednoznaΦn∞ nejnßroΦn∞jÜφ na Φas (pomineme-li fyzickΘ dohledßvßnφ nab²vacφch doklad∙ k software), i zde se kladn∞ projevφ d∙kladnß p°φprava auditu, pokud pom∙₧e p°edvφdat, jak² software se v rßmci auditu bude nejΦast∞ji vyskytovat, v jakΘ verzi a jazykovΘ mutaci, jakΘ je nejobvyklejÜφ hardwarovΘ vybavenφ u₧ivatel∙ a jak² software vytvo°ili zam∞stnanci spoleΦnosti. V²sledkem zpracovßnφ dat jsou statistickΘ p°ehledy °azenΘ dle nejr∙zn∞jÜφch kritΘriφ (dle u₧ivatele, dle PC, dle SW, dle lokality, dle organizaΦnφ jednotky spoleΦnosti atd.) Krom∞ sebran²ch dat pomocφ specißlnφho software se taktΘ₧ zpracovßvajφ data z dotaznφk∙, kte°φ u₧ivatelΘ v rßmci softwarovΘho auditu vypl≥ujφ. SpoleΦnost tak m∙₧e v rßmci softwarovΘho auditu zφskat p°ehled o tom, na kolik zam∞stnanci vyu₧φvajφ nainstalovan² software a hardware, jak² software jim pro jejich Φinnost chybφ, jakΘ Ükolenφ by v oblasti SW uvφtali a dozv∞d∞t se dalÜφ skuteΦnosti, kterΘ velmi pomohou v dalÜφm °φzenφ nßkupu a distribuce software a hardware. Zpracovßnφm dat vznikajφ tzv. pasporty, jsou to identifikaΦnφ listy k jednotliv²m PC, na kter²ch je uveden p°ehled nainstalovanΘho SW a HW a dalÜφ skuteΦnosti, kterΘ spoleΦnost pova₧uje za d∙le₧itΘ (nap°. jmΘno u₧ivatele, inventßrnφ Φφslo PC atd) V prvnφ fßzi je vhodnΘ pasporty vytvo°it pouze v elektronickΘ podob∞ a teprve po realizaci nßsledn²ch opat°enφ (viz nφ₧e) upravit jejich obsah, aby odpovφdal aktußlnφmu stavu a vytisknout je. Takto vytvo°enΘ pasporty jsou d∙le₧it²m nßstrojem pro udr₧enφ si p°ehledu o zm∞nßch, kterΘ se na danΘm PC provßd∞li, kdo a kdy je provßd∞l apod., jsou takΘ podkladem pro nßslednΘ kontroly tak, jak je popsßno dßle.

Nßslednß anal²za v²sledk∙ odpovφ na otßzky, kter²mi jsou nap°φklad: jak lΘpe vyu₧φt mno₧stvφ nakoupenΘho software a hardware (dle v²sledk∙ dotaznφk∙), jak² software se mß odinstalovat a jak² je nezbytnΘ dokoupit (po porovnßnφ statistik pou₧φvanΘho software s nab²vacφmi doklady), jakΘ zabezpeΦit pro zam∞stnance Ükolenφ, u kter²ch zam∞stnanc∙ se nachßzelo na PC nejv∞tÜφ poΦet her a vir∙, kte°φ zam∞stnanci m∞li nainstalovßn software, kter² spoleΦnost nikdy nezakoupila. Analyzuje se takΘ stßvajφcφ metodika upravujφcφ pou₧φvßnφ legßlnφho SW ve spoleΦnosti a zajiÜt∞nφ p°enesenφ odpov∞dnosti za pou₧φvßnφ nelegßlnφho SW v maximßlnφ mo₧nΘ mφ°e na u₧ivatele SW, zp∙sob evidence dokumentace k SW a HW, zp∙sob nßkupu SW a HW atd.

Na zßklad∞ anal²zy potom vznikß nßvrh na nßslednΘ opat°enφ, ve kterΘm jsou stanoveny osoby pov∞°enΘ nßpravou neuspokojivΘho stavu, termφny a zp∙soby tΘto nßpravy (smazßnφ nelegßlnφho software, dokoupenφ chyb∞jφcφch licencφ, p°einstalace star²ch verzφ, dovybavenφ hardwarem, odvirovßnφ, zajiÜt∞nφ Ükolenφ pro zam∞stnance atd.) a taktΘ₧ je stanovena jasnß koncepce v oblasti °φzenφ software a hardware do budoucna. SouΦßstφ tΘto koncepce je:

stanovenφ pravidel, kterß se budou ve spoleΦnosti dodr₧ovat p°i nßkupu a distribuci software a hardware ve spoleΦnosti, aby se udr₧el ₧ßdoucφ stav
vymezenφ koncepΦnφho software
stanovenφ zp∙sobu nßsledn²ch kontrol

Podrobn∞ji k jednotliv²m bod∙m koncepce se vrßtφme v p°φÜtφm Φlßnku, ve kterΘm taktΘ₧ budou vyjmenovßny prßvnφ d∙vody, definujφcφ povinnosti zam∞stnavatele a vedoucφch pracovnφk∙ v souvislosti s °φzenφm software a hardware ve spoleΦnosti, kterΘ, bohu₧el, z∙stßvajφ v dneÜnφ dob∞ mnohdy a₧ na druho°adΘm mφst∞ zßjmu vedenφ spoleΦnosti, aΦkoliv jejich nedodr₧enφ m∙₧e pro spoleΦnost znamenat utrp∞nφ znaΦnΘ Ükody.

 

Zp∞t