One BSA op bezoek, HELP!
03-10-2009 22:56
Wat te doen als uw organisatie een bezoek krijgt van de BSA?
1. Inleiding
Wat de consequenties kunnen zijn als men u betrapt op het bezit van illegale software. Maar wat te doen als ze voor de deur staan? Dit artikel gaat in op de acties die u kunt - en ons inziens moet - nemen indien de BSA of een software leverancier een bezoek heeft aangekondigd.
2. Wat te doen bij een aangekondigde audit?
U krijgt een audit. De Business Software Alliance (BSA), Microsoft, Oracle of een andere (grote) softwareleverancier heeft besloten om bij u na te gaan of u hun software illegaal gebruikt. Wat te doen?
Als eerste: geen paniek. Dit gebeurt bij vele organisatie’s over de hele wereld. Tenminste de helft van deze organisatie’s, die een inval van de BSA of agressief sales personeel van bijvoorbeeld Microsoft over de vloer heeft gehad, weet wel degelijk dat ze problemen hebben met onvolledigheid (non-compliance) van licentie’s! Daarom ons advies: wees pro-actief, wees voorbereid en wees geduldig.
Uw organisatie kan niet voorkomen dat u een audit krijgt. Het beste wat u kunt doen voor een succesvolle ontknoping – zelfs als u weet dat er sprake is van non-compliance – is de situatie recht toe, recht aan aanpakken. Aangenomen dat uw organisatie een bericht heeft ontvangen dat Microsoft of de BSA een audit komt of laat uitvoeren, dan heeft u meestal nog 10 tot 14 dagen de tijd voordat ze op de stoep staan. Gebruik deze tijd voor het volgende:
2.1 Wees pro-actief en voer zelf een audit uit
U kunt zelf reeds relatief eenvoudig een interne audit uitvoeren. Hoe pak je dat aan? Volg de geldstroom. Begin met het identificeren van het personeel in uw organisatie dat verantwoordelijk is voor de aankoopbeslissingen, voor het documenteren van het licentiegebruik en het documenteren van de bewijzen van aankoop. Laat al deze mensen documentatie verzamelen. U moet gebruikstatistieken verifiëren inclusief het aantal gekochte en geïnstalleerde licenties, de versienummers met de expiratiedatum plus de verkregen kortingen. Maak een volledig profiel van alle licenties, alle aankopen en alle “speciale afspraken” die verschillende groepen of afdelingen binnen de organisatie hebben gekregen. Daardoor kunt u ook een inschatting maken van de hoeveelheid geld die u bijvoorbeeld Microsoft schuldig bent voor het zonder licentie gebruiken van hun software.
Al deze informatie is noodzakelijk om bij Microsoft en/of de BSA aan te tonen dat u licentiebeheer serieus neemt. Als deze data eenmaal is samengesteld, beleg een vergadering met het personeel van de betrokken inkoopafdeling en de IT managers, en maak ze de noodzaak duidelijk van gecentraliseerde inkoop procedures. Documenteer al uw inspanning voor deze activiteiten. Dit biedt uw organisatie de mogelijkheid om een inschatting te maken van de mate van compliancy. Daardoor kunt u ook een inschatting maken van de hoeveelheid geld die u bijvoorbeeld Microsoft schuldig bent voor het zonder licentie gebruiken van hun software.
Daarna komt het beoordelen en eventueel bijwerken van het bestaande softwarelicentiebeleid en de procedures. Als u geen beleid geformuleerd heeft, schrijft u er nu een. Neem procedures op waarin expliciet staat welke acties het management zal ondernemen tegen eindgebruikers, IT managers en ontwikkelaars die het beleid overtreden. Zorg daarna voor verspreiding van dit software licentiebeleid en de procedures door de hele organisatie middels e-mail en op papier. Op deze wijze bent u in ieder geval in staat om software leveranciers en de BSA te overtuigen dat wat er ook is mis gegaan in het verleden, uw organisatie snel reageert en beslist het non-compliance issue wil aanpakken. Kies wel een zeer strikt beleid, waarin het voor alle medewerkers van de organisatie verboden is om software zonder licentie, inclusief freeware en shareware, te installeren.
Als laatste, als de organisatie er geen geloof in heeft de situatie zelf snel aan te kunnen, huur dan externe consultancy in om u te helpen. En koop in ieder geval de geschikte software asset management en metering tooling. Als u het zich niet kunt veroorloven, download dan op zijn minst een van de vele 30 dagen gratis evaluatie software die te vinden is op het web. Microsoft en de BSA hebben overigens vrij toegankelijke asset management en tracking software, die zij ook beschikbaar stellen aan organisaties. Er is dus geen enkele reden om niet zelf een audit te doen.
2.2 Wees gereed en werk mee wanneer de auditors komen.
Zorg dat u uw documenten en records klaar hebt liggen. Als u bovenstaande pro-actieve metingen hebt uitgevoerd, heeft u een redelijk goed idee waar u staat. Boven alles, vernietig geen bewijsmateriaal en zeker geen belastend bewijsmateriaal.Microsoft en de BSA zullen dit zien als bewijs van kwalijke intenties en zij zullen veel strenger optreden. Meewerken zal uiteindelijk gunstiger uitpakken.
Dit betekent niet dat uw organisatie onethisch of ongepast gedrag moet tolereren van de kant van de auditors. Als u denkt dat dit het geval is, aarzel dan niet om uw bezorgdheden en klachten (via uw juristen) bij Microsoft of de BSA kenbaar te maken. Nogmaals, Microsoft wil u behouden als klant, zo zullen auditors en hun sales mensen, indien u redelijk bent, normaal gesproken bereid zijn bepaalde concessies te doen.
2.3 Wees geduldig en doe niets overhaast.
Probeer niet overhaast een eigen audit te doen of zaken met een Microsoft of de BSA te versnellen. In de meeste gevallen werkt dit averechts. Houd uw bewijsmateriaal en documentatie klaar en beschikbaar. Uw organisatie heeft overigens het recht om te weten in welke mate er sprake is van non-compliancy waarvan Microsoft of de BSA u verdenken. Verder moet de audit binnen een redelijke termijn zijn afgerond, afhankelijk van de scope van het onderzoek en de omvang van uw organisatie.
Een bizar voorbeeld van onbehoorlijk leverancier gedrag in een audit heeft gespeeld bij een bekende software ontwikkelaar. In dit geval betrof het een organisatie uit de Fortune 300 met zo’n 17.000 eindgebruikers wereldwijd. Deze organisatie kreeg bericht van een aanstaande audit. Men deed zijn voorbereidende werk en verzamelde pro-actief grote hoeveelheden data en bood volledige medewerking aan de auditor van de betreffende leverancier aan. De betreffende auditor echter, vertelde niet waarom er een audit was, of de leverancier non-compliancy verwachtte, en leverde geen enkele vorm van bewijs of inschatting van de verwachte bij te betalen licentie fees.
Daarentegen vroeg de auditor aan de organisatie om hem te voorzien van gevoelige documentatie en verzocht hij om toegang tot de verschillende inkopers bij alle kantoren van de organisatie. Om alles nog erger te maken, duurde de audit al meer dan een jaar zonder eindpunt in zicht en zonder indicatie aan de software ontwikkelaar dat er sprake was van een software licentie overtreding. Het eindresultaat: de CEO van de getroffen organisatie ging naar de CEO van de betreffende leverancier en klaagde. De CEO van leverancier schrok van de geschetste situatie en de audit werd gestopt.
Dus, blijft geduldig en geef aan dat er bereidheid is tot meewerken, maar zorg ervoor dat ervaren een getrainde medewerker samen met de auditor werkt. Maak die persoon het centrale aanspreekpunt voor de organisatie (samen met de juridische afdeling) en geef de auditors geen onbeperkte volledige toegang tot al uw personeel behalve als het via de geschikte legale wegen geschiedt.
3. Best pratices
Vanuit beleidsperspectief zijn er een aantal zaken die organisatie helpen om een audit te voorkomen.
Centraliseer inkoop
Organisaties worden het best geholpen door het benoemen van een (1) persoon die de supervisie krijgt over alle licentie aankopen. Indien mogelijk centraliseer inkoop.
Houdt regelmatig audits
Elk kwartaal een audit is optimaal maar vaak niet realistisch voor een overbelaste IT afdeling. Halfjaarlijks is daarom te verkiezen maar mocht ook dat niet haalbaar zijn, voer dan op zijn minst een audit op jaarbasis uit. Dit geeft u een gedetailleerd beeld van de aankoopkosten en het daadwerkelijke gebruik en daarmee uiteindelijk de meeste zekerheid.
Bewaar gedetailleerde bewijzen van aankoop
De enige grote vergissing en fout die organisaties maken is slordigheid. De menselijke natuur zoals die is, vervalt onwillekeurig toch vaak weer in slordige gedragspraktijken. IT asset management is 20% tooling en 80% business. Dit resulteert vaak in niet of slecht documenteren. En als je niet kunt bewijzen dat je het gekocht hebt of dat je de eigenaar bent, heb je grote problemen wat uiteindelijk kan leiden tot het twee keer betalen voor dezelfde software en zelfs boetes als je niet kunt bewijzen dat je onschuldig bent.
Heb (organisatiebreed) beleid gedefinieerd en dwing dit af
Elke organisatie moet een gedetailleerd plan voor software gebruik hebben dat de “do’s & don’ts” beschrijft en expliciet de gebruikers verbiedt software te installeren indien er geen licentie aanwezig is. Ook het downloaden van shareware en freeware moet worden verboden. Dit beleid moet kenbaar worden gemaakt door de hele organisatie zowel op papier als via de mail. Het beleid en de procedures moeten een opsomming bevatten van de sancties voor het overtreden van de regels. En als laatste moet uw organisatie dit beleid expliciet afdwingen, anders is dit beleid zonder enige betekenis.
4. Hoe verder
Een bezoek van de BSA of een software leverancier wordt niet altijd vooraf aangekondigd en dan staan ze op een ochtend bij u op de stoep. Dan is het dus te laat. Voorkomen is altijd nog beter dan genezen. Een goed ingericht en gedragen Software Asset Management zorgt ervoor dat de software in uw organisatie legaal is, u geen risico loopt op een boete en uw imago wat betreft dit onderwerp is beschermd. Bovendien kunt u met goed ingericht Software Asset Management nog geld verdienen ook.
1. Inleiding
Wat de consequenties kunnen zijn als men u betrapt op het bezit van illegale software. Maar wat te doen als ze voor de deur staan? Dit artikel gaat in op de acties die u kunt - en ons inziens moet - nemen indien de BSA of een software leverancier een bezoek heeft aangekondigd.
2. Wat te doen bij een aangekondigde audit?
U krijgt een audit. De Business Software Alliance (BSA), Microsoft, Oracle of een andere (grote) softwareleverancier heeft besloten om bij u na te gaan of u hun software illegaal gebruikt. Wat te doen?
Als eerste: geen paniek. Dit gebeurt bij vele organisatie’s over de hele wereld. Tenminste de helft van deze organisatie’s, die een inval van de BSA of agressief sales personeel van bijvoorbeeld Microsoft over de vloer heeft gehad, weet wel degelijk dat ze problemen hebben met onvolledigheid (non-compliance) van licentie’s! Daarom ons advies: wees pro-actief, wees voorbereid en wees geduldig.
Uw organisatie kan niet voorkomen dat u een audit krijgt. Het beste wat u kunt doen voor een succesvolle ontknoping – zelfs als u weet dat er sprake is van non-compliance – is de situatie recht toe, recht aan aanpakken. Aangenomen dat uw organisatie een bericht heeft ontvangen dat Microsoft of de BSA een audit komt of laat uitvoeren, dan heeft u meestal nog 10 tot 14 dagen de tijd voordat ze op de stoep staan. Gebruik deze tijd voor het volgende:
2.1 Wees pro-actief en voer zelf een audit uit
U kunt zelf reeds relatief eenvoudig een interne audit uitvoeren. Hoe pak je dat aan? Volg de geldstroom. Begin met het identificeren van het personeel in uw organisatie dat verantwoordelijk is voor de aankoopbeslissingen, voor het documenteren van het licentiegebruik en het documenteren van de bewijzen van aankoop. Laat al deze mensen documentatie verzamelen. U moet gebruikstatistieken verifiëren inclusief het aantal gekochte en geïnstalleerde licenties, de versienummers met de expiratiedatum plus de verkregen kortingen. Maak een volledig profiel van alle licenties, alle aankopen en alle “speciale afspraken” die verschillende groepen of afdelingen binnen de organisatie hebben gekregen. Daardoor kunt u ook een inschatting maken van de hoeveelheid geld die u bijvoorbeeld Microsoft schuldig bent voor het zonder licentie gebruiken van hun software.
Al deze informatie is noodzakelijk om bij Microsoft en/of de BSA aan te tonen dat u licentiebeheer serieus neemt. Als deze data eenmaal is samengesteld, beleg een vergadering met het personeel van de betrokken inkoopafdeling en de IT managers, en maak ze de noodzaak duidelijk van gecentraliseerde inkoop procedures. Documenteer al uw inspanning voor deze activiteiten. Dit biedt uw organisatie de mogelijkheid om een inschatting te maken van de mate van compliancy. Daardoor kunt u ook een inschatting maken van de hoeveelheid geld die u bijvoorbeeld Microsoft schuldig bent voor het zonder licentie gebruiken van hun software.
Daarna komt het beoordelen en eventueel bijwerken van het bestaande softwarelicentiebeleid en de procedures. Als u geen beleid geformuleerd heeft, schrijft u er nu een. Neem procedures op waarin expliciet staat welke acties het management zal ondernemen tegen eindgebruikers, IT managers en ontwikkelaars die het beleid overtreden. Zorg daarna voor verspreiding van dit software licentiebeleid en de procedures door de hele organisatie middels e-mail en op papier. Op deze wijze bent u in ieder geval in staat om software leveranciers en de BSA te overtuigen dat wat er ook is mis gegaan in het verleden, uw organisatie snel reageert en beslist het non-compliance issue wil aanpakken. Kies wel een zeer strikt beleid, waarin het voor alle medewerkers van de organisatie verboden is om software zonder licentie, inclusief freeware en shareware, te installeren.
Als laatste, als de organisatie er geen geloof in heeft de situatie zelf snel aan te kunnen, huur dan externe consultancy in om u te helpen. En koop in ieder geval de geschikte software asset management en metering tooling. Als u het zich niet kunt veroorloven, download dan op zijn minst een van de vele 30 dagen gratis evaluatie software die te vinden is op het web. Microsoft en de BSA hebben overigens vrij toegankelijke asset management en tracking software, die zij ook beschikbaar stellen aan organisaties. Er is dus geen enkele reden om niet zelf een audit te doen.
2.2 Wees gereed en werk mee wanneer de auditors komen.
Zorg dat u uw documenten en records klaar hebt liggen. Als u bovenstaande pro-actieve metingen hebt uitgevoerd, heeft u een redelijk goed idee waar u staat. Boven alles, vernietig geen bewijsmateriaal en zeker geen belastend bewijsmateriaal.Microsoft en de BSA zullen dit zien als bewijs van kwalijke intenties en zij zullen veel strenger optreden. Meewerken zal uiteindelijk gunstiger uitpakken.
Dit betekent niet dat uw organisatie onethisch of ongepast gedrag moet tolereren van de kant van de auditors. Als u denkt dat dit het geval is, aarzel dan niet om uw bezorgdheden en klachten (via uw juristen) bij Microsoft of de BSA kenbaar te maken. Nogmaals, Microsoft wil u behouden als klant, zo zullen auditors en hun sales mensen, indien u redelijk bent, normaal gesproken bereid zijn bepaalde concessies te doen.
2.3 Wees geduldig en doe niets overhaast.
Probeer niet overhaast een eigen audit te doen of zaken met een Microsoft of de BSA te versnellen. In de meeste gevallen werkt dit averechts. Houd uw bewijsmateriaal en documentatie klaar en beschikbaar. Uw organisatie heeft overigens het recht om te weten in welke mate er sprake is van non-compliancy waarvan Microsoft of de BSA u verdenken. Verder moet de audit binnen een redelijke termijn zijn afgerond, afhankelijk van de scope van het onderzoek en de omvang van uw organisatie.
Een bizar voorbeeld van onbehoorlijk leverancier gedrag in een audit heeft gespeeld bij een bekende software ontwikkelaar. In dit geval betrof het een organisatie uit de Fortune 300 met zo’n 17.000 eindgebruikers wereldwijd. Deze organisatie kreeg bericht van een aanstaande audit. Men deed zijn voorbereidende werk en verzamelde pro-actief grote hoeveelheden data en bood volledige medewerking aan de auditor van de betreffende leverancier aan. De betreffende auditor echter, vertelde niet waarom er een audit was, of de leverancier non-compliancy verwachtte, en leverde geen enkele vorm van bewijs of inschatting van de verwachte bij te betalen licentie fees.
Daarentegen vroeg de auditor aan de organisatie om hem te voorzien van gevoelige documentatie en verzocht hij om toegang tot de verschillende inkopers bij alle kantoren van de organisatie. Om alles nog erger te maken, duurde de audit al meer dan een jaar zonder eindpunt in zicht en zonder indicatie aan de software ontwikkelaar dat er sprake was van een software licentie overtreding. Het eindresultaat: de CEO van de getroffen organisatie ging naar de CEO van de betreffende leverancier en klaagde. De CEO van leverancier schrok van de geschetste situatie en de audit werd gestopt.
Dus, blijft geduldig en geef aan dat er bereidheid is tot meewerken, maar zorg ervoor dat ervaren een getrainde medewerker samen met de auditor werkt. Maak die persoon het centrale aanspreekpunt voor de organisatie (samen met de juridische afdeling) en geef de auditors geen onbeperkte volledige toegang tot al uw personeel behalve als het via de geschikte legale wegen geschiedt.
3. Best pratices
Vanuit beleidsperspectief zijn er een aantal zaken die organisatie helpen om een audit te voorkomen.
Centraliseer inkoop
Organisaties worden het best geholpen door het benoemen van een (1) persoon die de supervisie krijgt over alle licentie aankopen. Indien mogelijk centraliseer inkoop.
Houdt regelmatig audits
Elk kwartaal een audit is optimaal maar vaak niet realistisch voor een overbelaste IT afdeling. Halfjaarlijks is daarom te verkiezen maar mocht ook dat niet haalbaar zijn, voer dan op zijn minst een audit op jaarbasis uit. Dit geeft u een gedetailleerd beeld van de aankoopkosten en het daadwerkelijke gebruik en daarmee uiteindelijk de meeste zekerheid.
Bewaar gedetailleerde bewijzen van aankoop
De enige grote vergissing en fout die organisaties maken is slordigheid. De menselijke natuur zoals die is, vervalt onwillekeurig toch vaak weer in slordige gedragspraktijken. IT asset management is 20% tooling en 80% business. Dit resulteert vaak in niet of slecht documenteren. En als je niet kunt bewijzen dat je het gekocht hebt of dat je de eigenaar bent, heb je grote problemen wat uiteindelijk kan leiden tot het twee keer betalen voor dezelfde software en zelfs boetes als je niet kunt bewijzen dat je onschuldig bent.
Heb (organisatiebreed) beleid gedefinieerd en dwing dit af
Elke organisatie moet een gedetailleerd plan voor software gebruik hebben dat de “do’s & don’ts” beschrijft en expliciet de gebruikers verbiedt software te installeren indien er geen licentie aanwezig is. Ook het downloaden van shareware en freeware moet worden verboden. Dit beleid moet kenbaar worden gemaakt door de hele organisatie zowel op papier als via de mail. Het beleid en de procedures moeten een opsomming bevatten van de sancties voor het overtreden van de regels. En als laatste moet uw organisatie dit beleid expliciet afdwingen, anders is dit beleid zonder enige betekenis.
4. Hoe verder
Een bezoek van de BSA of een software leverancier wordt niet altijd vooraf aangekondigd en dan staan ze op een ochtend bij u op de stoep. Dan is het dus te laat. Voorkomen is altijd nog beter dan genezen. Een goed ingericht en gedragen Software Asset Management zorgt ervoor dat de software in uw organisatie legaal is, u geen risico loopt op een boete en uw imago wat betreft dit onderwerp is beschermd. Bovendien kunt u met goed ingericht Software Asset Management nog geld verdienen ook.
Er werd nog geen reactie geplaatst.