Lorenzo Cusaro di SoftwareONE e Gabriele Faggioli del MIP-Politecnico di Milano, a seguito degli incontri di approfondimento sul tema del licensing promossi con i CIO, fanno il punto sull’incremento degli audit software e su cosa suggerire alle aziende

Audit

A cura di Lorenzo Cusaro, SAM Project Manager di SoftwareONE e Gabriele Faggioli, legale e Adjunct Professor, MIP-Politecnico di Milano

È un dato di fatto: il numero di audit software a cui sono sottoposte le aziende è aumentato in modo consistente nel corso degli anni, tanto che tra gli analisti più quotati è invalsa la convinzione che tutti i clienti ne verranno prima o poi coinvolti. Inizialmente gli audit sulle licenze furono promossi semplicemente per verificare la compliance dei vendor stessi (nei confronti, ad esempio, del Sarbanes-Oxley Act), mentre ora sono diventati parte integrante del “normale business” dei software vendor.

Dal punto di vista delle aziende, il costo del licensing ha oggi un impatto significativo sul business. Se negli anni ‘80 e ‘90 il prezzo e il costo nell’acquisto software coincidevano, nel tempo si sono sempre più allontanati in modo consistente. Dall’emergere dei primi contratti di tipo “volume licensing” negli anni 2000, sino alla sempre maggiore diffusione degli audit, dal 2010, il costo è lievitato e comprende ora anche gli oneri derivanti dalle possibili sanzioni e quelli necessari a ripristinare lo stato di compliance, oltre a quelli legati alle risorse che dovranno essere impiegate per settimane durante le verifiche, con la necessità di coinvolgere più figure all’interno e all’esterno dell’azienda.

Panico da audit? Ecco i rischi

“Come prima cosa, citando la ‘Guida galattica per gli autostoppisti’, direi ‘niente panico!’ ma aggiungerei anche al tempo stesso ‘non siamo troppo rilassati!’ ”, commenta Lorenzo Cusaro, SAM Project Manager di SoftwareONE. “Le verifiche sulle licenze sono ormai diventate parte integrante del normale business dei vendor, pertanto molte delle aziende clienti si sono già viste coinvolte, loro malgrado, in attività di questo genere. Sul web è inoltre disponibile una vera e propria letteratura inerente gli audit delle licenze (guide, forum, ecc.) che permette alle aziende di evitare il salto nel buio in caso di primo audit. Nonostante questo i maggiori rischi che si presentano in caso di audit restano comunque legati alle “sorprese”, nello specifico, a quelle situazioni che si sviluppano all’interno delle infrastrutture IT delle aziende ma che, per diverse ragioni, rimangono confinate in aree ‘grigie’ di parziale conoscenza da parte dello stesso personale IT”.

La maggior parte dei CIO ha rilevato di possedere una conoscenza di massima della propria situazione di compliance delle licenze: ad esempio potrebbe essere nota la carenza di alcune licenze per un determinato prodotto, tuttavia tra le migliaia di cavilli che le metriche di licenza implicano potrebbe essercene uno che funge da moltiplicatore del numero di licenze necessarie. Tra le situazioni ignote ma ad alto rischio è possibile citare, inoltre, le installazioni di prodotti fatte “in emergenza” con la politica del “poi compro la licenza” che però vengono dimenticate una volta passata l’emergenza, le installazioni fatte direttamente dagli utenti in possesso di una licenza per uso privato (ad esempio PhotoShop) o licenze acquistate anni addietro e correttamente mantenute nel corso del tempo, ma utilizzate ora su infrastrutture completamente diverse (dove si applicano regole di licensing diverse), aspetto che è sempre più sostanziale se si considerano le migrazioni verso nuovi ambienti virtualizzati e cloud; in aggiunta, a complicare il quadro di utilizzo, potrebbero esserci anche modifiche alle metriche di licenza operate dal vendor nel corso degli anni. Tornando al concetto di “niente panico” potremmo parlare anche del cosiddetto “panic buy”, ovvero l’acquisto immediato, appena si riceve la lettera di audit, delle licenze che si ritiene manchino: il rischio in questi casi, come avvenuto a molte aziende, è quello di acquistare licenze per il prodotto che si crede manchi scoprendo poi a fine audit che la carenza di licenze era per un prodotto differente (ad esempio una versione diversa), dovendo così effettuare nuovamente l’acquisto.

Che cosa possono fare le aziende?

Scegliere le soluzioni software più adeguate per le esigenze di business aziendali non è affatto un compito facile. La fase contrattuale e legale nell’acquisto delle licenze rappresenta il momento più importante per l’azienda, che deve affrontare scelte che influenzeranno profondamente il suo sviluppo e la capacità di innovazione futura.

“Il licensing software è estremamente complesso da interpretare e da gestire”, spiega Gabriele Faggioli legale e Adjunct Professor, MIP-Politecnico di Milano, “Anche se sempre più consapevoli del ruolo che il licensing riveste, molte delle aziende che incontro oggi non è ancora del tutto compliant dal punto di vista software. Dagli incontri organizzati insieme a SoftwareONE e numerosi CIO è emersa una grande attenzione al tema da parte delle aziende, non più intimorite dalla posizione del vendor e pronte ad affidarsi a consulenti esperti per affrontare in modo proattivo il problema”.

Da non sottovalutare sono anche le competenze tecnologiche e di mercato che bisogna possedere per gestire in modo ottimale le proprie licenze, allineando la criticità nella gestione degli asset con i processi e l’infrastruttura IT in modo da soddisfare le esigenze specifiche attuali e future dell’organizzazione.

“Avvalersi di professionisti con competenze a 360 gradi sul mondo del software può aiutare le aziende a minimizzare l’impatto degli audit sull’operatività aziendale”, conclude Cusaro. “È infatti dimostrabile come la gestione del ciclo di vita delle licenze all’interno di processi di Software Asset Management, permetta alle società di poter affrontare gli audit senza panico ma soprattutto di ottimizzare al meglio la propria infrastruttura, riducendo i costi e guardando con fiducia all’innovazione futura della propria azienda”.