Audyt IT, audyt oprogramowania i audyt sprzętu komputerowego można przeprowadzić w programie Ewida Audit. Z rozwiązania mogą korzystać zarówno wewnętrzne działy IT, jak i firmy wykonujące audyty u swoich klientów.

W tym artykule pokazujemy dwa poziomy pracy. Najpierw porządkujemy część organizacyjną i założenia audytu, a następnie przechodzimy do praktycznego wykonania całej procedury w aplikacji. Ponieważ Ewida Audit jest desktopowym programem dla systemu Windows, cały proces opiera się na pracy z lokalną konsolą, plikami skanowania i danymi audytowymi zapisanymi w środowisku użytkownika.

Ten materiał dotyczy wyłącznie pracy w Ewida Audit. Skupiamy się więc na procedurze audytowej, skanowaniu komputerów, weryfikacji legalności oprogramowania, przypisywaniu licencji i przygotowaniu raportów końcowych, bez odwoływania się do innych produktów i innych modeli pracy.

Przygotowanie do audytu

Audyt IT warto zacząć od zebrania tak zwanych atrybutów legalności. Mogą to być między innymi faktury zakupu, certyfikaty licencyjne, nośniki instalacyjne, etykiety COA, dokumenty producenta oraz inne elementy wymagane przez konkretny model licencjonowania.

Zakres wymaganych dokumentów nie zawsze jest taki sam. Zależy od producenta, typu licencji oraz sposobu zakupu. Dlatego już na początku trzeba ustalić, jakie dowody posiadania oprogramowania będą uznawane za wystarczające w ramach danego audytu.

Dobrze przygotowany etap wstępny oszczędza czas później. Bez uporządkowania dokumentów i ustalenia zasad oceny legalności nawet poprawnie wykonane skanowanie komputerów nie da jeszcze wiarygodnego wyniku końcowego.

Audyt sprzętu komputerowego

Pierwsze skanowanie komputerów w firmie najlepiej oprzeć na fizycznym podejściu do każdego stanowiska. W praktyce oznacza to wykonanie skanu komputera oraz równoczesną weryfikację etykiet licencyjnych, plomb i innych oznaczeń, które mogą mieć znaczenie podczas oceny zgodności środowiska.

W Ewida Audit skanowanie można wykonać trzema metodami:

  • zdalnie za pomocą Agentów,
  • zdalnie przez DCOM, bez instalowania Agentów,
  • lokalnie za pomocą Codenica PC Audit Scanner.

Dobór metody zależy od scenariusza. W audytach wewnętrznych często można korzystać z komunikacji zdalnej. W audytach formalnych, zwłaszcza wykonywanych u klienta zewnętrznego, częściej sprawdza się lokalne skanowanie komputera przy bezpośredniej obecności audytora.

Inwentaryzacja licencji

Inwentaryzacja licencji polega na poprawnym wprowadzeniu licencji do programu wraz z informacjami o zakupie i dokumentach potwierdzających ich posiadanie. To bardzo ważny etap, ponieważ samo wykrycie aplikacji na komputerze nie jest równoznaczne z potwierdzeniem prawa do jej używania.

Ewida Audit nie domniema posiadania licencji na podstawie wykrytego oprogramowania ani odczytanych kluczy. Takie uproszczenie mogłoby prowadzić do błędnych wniosków, dlatego każda licencja powinna być oparta na rzeczywiście posiadanych dokumentach i atrybutach legalności.

W praktyce oznacza to, że wynik audytu powinien łączyć dwa porządki: dane techniczne z komputerów oraz dane formalne wynikające z dokumentacji zakupu i zasad licencjonowania.

Ewidencja pracowników i przypisanie odpowiedzialności

Ewidencja pracowników jest procedurą uzupełniającą, ale bardzo przydatną. Dzięki niej łatwiej ustalić, kto korzysta z danego komputera, jakie oprogramowanie przypisane jest do stanowiska oraz kto odpowiada za określony zestaw urządzeń lub licencji.

Użytkowników można dodać ręcznie albo zaimportować z pliku CSV, z Active Directory lub z bazy danych Ewida Standard. Takie powiązanie porządkuje wynik audytu i pozwala lepiej przygotować raporty końcowe.

Jak działa audyt w Ewida Audit

W programie tworzy się Hosty odpowiadające skanowanym komputerom. Dla każdego hosta aplikacja zapisuje osobno dane źródłowe, a następnie wykonuje proces ich rozpoznania. W praktyce oznacza to zamianę danych technicznych pochodzących między innymi z WMI, rejestru systemowego i skanowanych plików na uporządkowane obiekty, takie jak zestawy komputerowe, urządzenia i oprogramowanie.

Po załadowaniu wyników skanowania można przejść do przypisywania licencji do wykrytego oprogramowania. W niektórych scenariuszach część tego procesu może być wspierana przez mechanizmy automatyczne, ale przy pierwszym audycie bezpieczniej jest wykonywać najważniejsze decyzje ręcznie. Daje to większą kontrolę nad wynikiem i zmniejsza ryzyko pomyłek interpretacyjnych.

Raporty poaudytowe

Ewida Audit udostępnia zestawienia i raporty, które można wykorzystać przy przygotowaniu raportu końcowego. Mogą to być raporty podsumowujące liczbę wykrytych aplikacji, zestawienia oprogramowania, licencji, urządzeń i komputerów, a także raporty bardziej szczegółowe.

W praktyce raport końcowy zwykle składa się z części opisowej oraz z dołączonych wydruków lub zestawień. Duże znaczenie ma też mechanizm własnych zestawień, który pozwala przygotować raport bardziej dopasowany do konkretnego klienta, celu audytu albo sposobu prezentacji wyników.

Zakończenie części teoretycznej

Zakończenie audytu polega na przygotowaniu raportu końcowego oraz wniosków wynikających z całej procedury. Raport może obejmować opis stanu bieżącego, wskazanie braków licencyjnych, propozycję działań naprawczych i zalecenia organizacyjne na przyszłość.

W wielu firmach równie ważne jak sam wynik jest ustalenie dalszej procedury zarządzania środowiskiem IT. Audyt nie powinien kończyć się wyłącznie na wskazaniu niezgodności. Dobrze, gdy prowadzi także do uporządkowania sposobu zakupu oprogramowania, dokumentowania licencji i planowania kolejnych kontroli.

Jeżeli po audycie firma chce prowadzić dalszą, bardziej rozbudowaną ewidencję infrastruktury, dokumentów, kosztów i wyposażenia w osobnym systemie desktopowym Windows, może wykorzystać do tego Ewida Standard.

Założenia części praktycznej

Audyt IT może być przeprowadzony przez pracownika firmy w ramach audytu wewnętrznego albo przez zewnętrzną firmę audytorską. W tej części przyjmujemy praktyczny scenariusz pracy zewnętrznego audytora, który wykonuje audyt w siedzibie klienta.

Zakładamy, że ustalono już warunki współpracy, klient przygotowuje dokumenty dotyczące licencji i zakupu oprogramowania, a także przekazuje podstawowe informacje o strukturze pracowników i sposobie używania komputerów. Te dane są potrzebne na starcie, ale ich zgodność i kompletność i tak musi zostać zweryfikowana podczas właściwego audytu.

W takim modelu można realizować audyt podstawowy albo rozszerzony. Wariant rozszerzony obejmuje dodatkowo bardziej szczegółowe uporządkowanie danych o sprzęcie, dokumentach, gwarancjach i kosztach, tak aby wynik audytu był przydatny także po zakończeniu samej kontroli.

Przygotowanie do audytu praktycznego

Pracę rozpoczynamy na własnym komputerze, na którym instalujemy Ewida Audit i przygotowujemy środowisko do obsługi całej procedury. Program oferuje trzy mechanizmy skanowania: Agenci, DCOM i Codenica PC Audit Scanner.

W przypadku zewnętrznych audytów najbezpieczniej i najczytelniej jest korzystać z Codenica PC Audit Scanner. Instalowanie Agentów na komputerach klienta zwykle nie jest dobrym podejściem, ponieważ może naruszać polityki bezpieczeństwa, wywoływać niepotrzebne pytania formalne albo po prostu nie zostać zaakceptowane przez klienta.

W praktyce skaner uruchamiany z nośnika USB albo ze skryptu sieciowego lepiej odpowiada charakterowi formalnego audytu, w którym audytor powinien odwiedzić stanowisko, zweryfikować oznaczenia licencyjne i samodzielnie wykonać kontrolę.

Gdy metoda pracy jest już ustalona, można utworzyć nowy audyt w programie. Wybieramy opcję Menu → Audyt → Nowy, uruchamiamy kreator i wprowadzamy dane firmy, które mają pojawiać się w raportach. Następnie dodajemy domyślny host wymagany do utworzenia przestrzeni audytu, pomijamy instalację Agentów oraz zdalne skanowanie i kończymy pracę kreatora.

Na tym etapie istotne jest przede wszystkim przygotowanie uporządkowanego środowiska, do którego później będą trafiały wyniki skanowania, dane o użytkownikach, licencjach i relacjach między obiektami.

Codenica PC Audit Scanner

Audyt sprzętu komputerowego wykonujemy za pomocą Codenica PC Audit Scanner, czyli lekkiego skanera dołączonego do Ewida Audit. Program nie wymaga instalacji i może być uruchamiany z nośnika USB, co jest szczególnie wygodne w pracy terenowej.

Skaner obsługuje parametry startowe, dzięki czemu można uruchamiać go również z własnych skryptów. Do najważniejszych należą:

  • autostart — automatyczne rozpoczęcie skanowania,
  • autoclose — automatyczne zamknięcie po zakończeniu,
  • hide — uruchomienie bez interfejsu,
  • silent — brak okna informującego o zakończeniu,
  • skipstartupdrive — pominięcie dysku startowego,
  • targetdir — wskazanie katalogu zapisu,
  • targetfile — wskazanie nazwy pliku skanu.

Jeżeli używany jest parametr hide, automatycznie aktywowane są także parametry autostart, autoclose i silent.

Konfiguracja i przygotowanie skanera

Przed rozpoczęciem pracy warto sprawdzić ustawienia skanowania dostępne w konfiguracji programu w gałęzi Audyt. Po pierwszej instalacji ustawienia są przygotowane w sposób domyślny, ale dobrze jest przynajmniej przejrzeć ich zakres i upewnić się, że odpowiadają planowanej procedurze.

Możliwości konfiguracji są szerokie, jednak w wielu wdrożeniach ustawienia domyślne w zupełności wystarczają na początek. Gdy zasady skanowania są już ustalone, można wygenerować Codenica PC Audit Scanner i zapisać go na nośniku USB przygotowanym do pracy u klienta.

Skanowanie komputerów i opracowanie wyników

Mając przygotowany nośnik USB ze skanerem, można przejść do skanowania komputerów u klienta. Warto równolegle prowadzić własne notatki i zapisywać co najmniej nazwę hosta, dane użytkownika oraz informacje o etykietach COA, plombach i innych elementach wymagających dodatkowej weryfikacji.

Na komputerze uruchamiamy plik PCScanner.exe, rozpoczynamy skanowanie i po jego zakończeniu zapisujemy wynik. Po powrocie importujemy pliki skanowania do Ewida Audit za pomocą opcji Menu → Audyt → Załaduj pliki skanowań. Program utworzy hosty reprezentujące audytowane komputery i rozpocznie proces rozpoznawania danych.

Następnie dodajemy użytkowników i przypisujemy ich do odpowiednich hostów. Kolejny krok to wprowadzenie licencji posiadanych przez klienta. Szczególną uwagę warto zwrócić na pola Nazwa, Wersja i Ilość stanowisk, ponieważ to one mają kluczowe znaczenie przy późniejszym dopasowaniu licencji do wykrytego oprogramowania.

Po dodaniu licencji łączymy je z hostami. Można to zrobić pojedynczo albo hurtowo, w zależności od charakteru licencji i skali audytu. W dalszej kolejności porządkujemy wykryte oprogramowanie, wyłączając z analizy te pozycje, które nie mają znaczenia dla oceny zgodności, na przykład wybrane darmowe narzędzia lub biblioteki.

Jeżeli audyt ma wariant rozszerzony, na tym etapie można także uporządkować dane o sprzęcie, gwarancjach, dokumentach i dodatkowych informacjach organizacyjnych. Dzięki temu wynik pracy nie kończy się na jednorazowym raporcie, ale staje się użytecznym materiałem do dalszego zarządzania środowiskiem IT.