Yazılım Lisans Yönetimi Bülteni - Sayı 3

Yazılım lisans yönetimi konusunda öne çıkan konular ve güncel gelişmelerle ilgili bilgi paylaşmak amacıyla sizler için bir bülten hazırladık. Düzenli olarak yayınlanan bültenimizin üçüncü sayısında aşağıdaki konuları ele almaktayız:

  • Güvenlik Önlemleri ve Yazılım Varlık Yönetiminin Entegrasyonu ile Riskleri Minimize Etmek
  • SAP Multi-logon Kullanımlarının Lisanslamaya Olan Etkileri

 

Güvenlik Önlemleri ve Yazılım Varlık Yönetiminin Entegrasyonu ile Riskleri Minimize Etmek

Şirketler büyüdükçe yazılım varlıklarının yönetimi karmaşıklaşmakta ve buna paralel olarak yazılım harcamaları artmaktadır. Araştırmalar 2016 itibariyle şirketlerin bilgi teknolojileri bütçelerinin yaklaşık olarak 25%’ini yazılım satın almaya harcadığını göstermektedir; ancak halen CIO seviyesinde bu konuya gerekli önemin gösterilmediği gözlemlenmektedir. Yazılım varlık yönetimi (SAM) yazılım harcamalarının efektif olarak kontrol edilmesine, toplu alımlarda indirimlerin yönetilmesine, lisans kontratlarına uyumsuzluğun engellenmesine ve yazılım yüklemelerinin daha efektif olarak gerçekleştirilmesine yardımcı olur. Tüm bunların yanında, daha az dikkate alınmasına rağmen, SAM süreçlerinin şirkete kattığı en önemli değerlerden biri risk seviyesini azaltarak şirketi yazılım yönetimi açısından güvenli bir zemine oturtmaktır. SAM süreçleri ve dikkatle hazırlanmış güvenlik önlemleri bir arada uygulandığında, zararlı uygulamaların şirket bünyesinde barınması zorlaşmaktadır.

 

Genel olarak IT’den daha uzak olan şirket çalışanları güvenlik risklerini göz ardı ederek, işlerini kolaylaştıracak tüm yazılımları kullanma eğiliminde olurlar. Bu da şirketlerin IT birimlerinin izni olmadan yazılım yüklemelerine ve dolayısıyla güvenlik açıklarına neden olmaktadır. Genel olarak IT’den daha uzak olan şirket çalışanları güvenlik risklerini göz ardı ederek,

 

işlerini kolaylaştıracak tüm yazılımları kullanma eğiliminde olurlar. Bu da şirketlerin IT birimlerinin izni olmadan yazılım yüklemelerine ve dolayısıyla güvenlik açıklarına neden olmaktadır. SAM uygulamalarının ve önleyici güvenlik önlemlerinin en temeli onaylı yazılım rehberi oluşturulmasıdır ve çalışanların yalnızca bu rehberden kendilerine uygun yazılımları seçip kullanabilmesidir. Rehbere dahil edilecek uygulamaların belirlenmesi aşamasında bir güvenlik danışmanının sürece dahil edilmesi önerilir. İkinci adım olarak resmi bir yazılım yükleme talep süreci devreye sokulmalıdır. Bu sistem IT birimlerinin kendi envanterlerini kolaylıkla kontrol altında tutmalarını sağlar ve yeni yüklemeler ve lisans alımları sırasında karar verme sürecini kolaylaştırır. Güvenlik uzmanları ya da danışmanları bu süreç sırasında yüklenecek yazılımların savunmasız bir yönünün olup olmadığını, ürünün ilgili tedarikçi tarafından desteklenip desteklenmediğini ve şirketin güvenlik standartları kapsamında yüklenmesinin uygun olup olmadığını göz önünde bulundurarak gerekli adımları atmalıdır. Bir güvenlik uzmanını ya da danışmanını yazılım satın alımdan sorumlu ekibe dahil etmek güvenlik seviyesini en yüksek seviyede tutmanın üçüncü adımıdır.

Yazılım yükleme talep sürecini şirkete entegre etmek firmaya izinsiz yazılım girme riskini minimuma indirmekle beraber bu riski tam olarak ortadan kaldırmaz. Tüm bu önlemlere rağmen, bir yolunu bularak firmanın IT ortamına girmiş olan sakıncalı yazılımların tespiti için denetim yapılmalıdır. Bu kapsamda güvenlik araçları kullanılmalıdır ve bu araçlar IT yönetimini güvenlik açığı oluşturabilecek durumlara karşı uyarmalıdır. Güvenlik araçlarına ilave olarak SAM araçları bu gibi durumları yazılım varlık yönetimi açısından ele alır ve tüm IT ortamını tarayarak saptadığı yazılımları güvenli yazılım rehberi ile ve kara listeye alınmış yazılımlar ile karşılaştırır. SAM aracı tarama yaptıkça ve yeni sonuçlar aldıkça, kara liste genişleyecektir ve SAM süreci daha efektif bir hal alacaktır.

Yazılım firmaları ürünlerinin işlevlerini ve güvenliğini yüksek seviyede tutmak amacıyla çeşitli güncellemeler ve yeni versiyonlar yayınlarlar ve kullanıcılara son sürümü yüklemelerini önerirler. Eski versiyonlu ya da güncellemesi eksik yapılmış yazılım kullanmak riski arttırır ve güvenlik açığı verme ihtimali artar. SAM araçlarının şirketlere sağladığı diğer avantajlar ise yeni sürüm ve onarım ihtiyacını belirlemeleri, gerekli hallerde IT birimlerini bu konuda uyarmaları ve yeni sürümlerin ücretsiz olarak indirilip indirilemeyeceğini saptamalarıdır. SAM danışmanı ya da IT yöneticileri bu bilgiler ışığında sürüm yüklemeleri ve lisans alımları konusunda sağlıklı kararlar verebilirler.

Az kullanılan, gerekli olmayan ya da hiç kullanılmayan yazılımlar şirketlerin masraflarını arttırır ve güvenlik açıklarına neden olabilirler. Örneğin bir çalışan spesifik bir proje için yüklediği bir yazılımı tekrar kullanmayacak olmasına rağmen makinesinde yüklü tutabilir. IT bu konuda bilgi sahibi değilse ürünün eski versiyonu yıllar boyu çalışanın makinesinde yüklü kalacaktır ve risk oluşturacaktır. Bu ürünün kaldırılması ya da lisansın başka bir kişi için kullanılması durumunda şirketin lisans masrafları azalacaktır. Özellikle geçmişe dönük iz kayıtları düzgün bir şekilde tutuluyor ise, SAM süreçlerinin aracılığıyla kullanılmayan yazılımlar kaldırılabilir ya da başka alanlarda değerlendirilebilirler. Ayrıca SAM süreçleri yazılım firmaları tarafından artık desteklenmeyen ürünlerin yönetimine de yardımcı olur. Yazılım firmaları bir ürünü desteklemeyi bıraktığında, güvenlik açıkları oluşur ve bunun efektif bir şekilde yönetiminin yapılması gereklidir. SAM süreci şirkete entegre edildikten sonra ürünlerin ömrünün sonuna gelinip gelinmediği yazılım firmaları ile iletişimde kalınarak takip edilir ve yeni yükleme planları SAM danışmanları ile oluşturulabilir.

Son olarak şirket çalışanları işten ayrıldığında veya pozisyon değiştirdiğinde, bu kişilerin erişim yetkileri kısıtlanmalı ya da kaldırılmalıdır. Bu süreç efektif olarak yönetilemezse şirket gereksiz lisans masrafıyla ve güvenlik açığı riskiyle karşı karşıya kalacaktır. Identity and Access Management (IAM) benzeri sistemler şirkete entegre edilirse, çalışanlar yalnızca iş tanımlarının gerektirdiği yazılımları kullanma hakkına sahip olurlar. Bu gibi güvenlik uygulamaları dinamik insan kaynakları sistemleriyle paralel çalışabildiği takdirde şirket içinde son derece verimli bir güvenlik ve SAM süreci işletilmiş olur.

SAM ve güvenlik süreçlerinin entegre edilmesine ilişkin makalenin devamına link üzerinden erişebilirsiniz.