Bericht über das Software Asset Management der NASA
Zuerst erschienen auf ITAM Channel by Tom Espensen | January 15, 2023
Die NASA verwendet Tausende von einzigartigen Softwareprodukten von Hunderten von Anbietern, um Wissenschaft, Technologie, Luftfahrt, Erdstudien und Weltraumforschung voranzutreiben. Jede Softwareanwendung und jedes Programm wird mit einer Lizenz geliefert – einem Vertrag zwischen dem Unternehmen, das die Software erstellt oder bereitstellt, und dem Endbenutzer –, der ihre Nutzung regelt.
Die Verwaltung der Softwarelizenzierung ist aufgrund der schieren Menge an Softwareanbietern und Anwendungen trügerisch komplex, aber entscheidend, um den Betrieb der NASA effektiv zu sichern und Lizenzgebühren in zweistelliger Millionenhöhe zu verfolgen. Software Asset Management ist die Geschäftspraxis, die die Prozesse, Richtlinien und Verfahren verwaltet, die den Software-Lebenszyklus von Planung, Erwerb, Nutzung, Verwaltung und Entsorgung unterstützen.
Effektives Software Asset Management trägt dazu bei, die Kosten für die Informationstechnologie (IT und neuerdings auch OT) zu senken und Betriebs-, Cybersicherheits- und finanzielle Risiken im Zusammenhang mit dem Besitz und der Nutzung von Software zu mindern. Das Softwareportfolio der NASA besteht aus gekauften Softwareprogrammen, die unterschiedlichen Lizenztypen unterliegen, sowie aus intern entwickelten Missions- und institutionellen Softwareanwendungen, die nicht von der Agentur lizenziert sind. Gekaufte Software muss in Übereinstimmung mit den Bedingungen ihrer Lizenz verwendet werden, mit möglichen Geldstrafen, wenn bei Lieferantenaudits Verstöße gegen Lizenzvereinbarungen festgestellt werden, oder während des „True-up“-Prozesses (der jährlichen Anbieterbewertung qualifizierter Softwarelizenzen, die innerhalb einer Organisation bereitgestellt werden). Auch intern entwickelte Software muss nachverfolgt werden, um doppelte oder veraltete Anwendungen zu identifizieren.
Im Rahmen dieses Audits haben wir bewertet, ob die NASA ihre Software-Assets effektiv und effizient verwaltet und gleichzeitig die Einhaltung der geltenden Anforderungen und Best Practices für die Sicherheit gewährleistet. Dazu gehörten die Analyse von Dokumentationen, die für die Software-Management-Aktivitäten der NASA relevant sind, die Bewertung des zentralisierten Software-Asset-Management-Programms der NASA und die Besprechung interner Softwareentwicklungsaktivitäten mit den verantwortlichen Beamten.
WAS WIR GEFUNDEN HABEN
Die Software-Asset-Management-Praktiken der NASA setzen die Behörde derzeit betriebsbedingten, finanziellen und Cybersicherheitsrisiken aus, wobei das Management des Software-Lebenszyklus weitgehend dezentralisiert und ad hoc erfolgt. Die Bemühungen, ein unternehmensweites Software-Asset-Management-Programm zu implementieren, wurden sowohl durch Budget- und Personalprobleme als auch durch die Komplexität und den Umfang der Softwarelizenzvereinbarungen der Agentur behindert. Wir haben das Software Asset Management der NASA als „einfach“ eingestuft – die niedrigste der vier Bewertungsoptionen im Software Asset Management Maturity and Optimization Model, das von Microsoft entwickelt und von der International Organization for Standardization/International Electrotechnical Commission übernommen wurde. Folglich ist die NASA wahrscheinlich noch Jahre davon entfernt, zu einem Enterprise-Computing-Modell überzugehen, bei dem IT-Funktionen wie Software Asset Management und Cybersicherheit zentralisiert und konsolidiert werden. In der Zwischenzeit muss die Agentur noch wichtige Best Practices übernehmen oder die Bundesrichtlinien vollständig umsetzen, die für eine angemessene Verwaltung ihres Software Asset Management-Programms erforderlich sind.
Die NASA hat kein zentralisiertes Software-Asset-Management-Tool implementiert, um Lizenzdaten zu ermitteln, zu inventarisieren und zu verfolgen, wie es die Bundespolitik vorschreibt. Dieser Mangel hat dazu geführt, dass die NASA in den letzten 5 Jahren etwa 15 Millionen US-Dollar für ungenutzte Lizenzen ausgegeben hat, ein Betrag, den wir als verschwenderisch empfunden haben und daher in Frage stellen. Wir stellten auch fest, dass intern entwickelte Missions- und institutionelle Softwareanwendungen unter einem Mangel an Zentralisierung und Bestandstransparenz leiden, was die Fähigkeit der Agentur, doppelte oder veraltete Software zu identifizieren, einschränkt. Die Software-Asset-Management-Richtlinie der NASA ist nicht umfassend oder standardisiert, so dass Rollen, Verantwortlichkeiten und Prozesse unklar bleiben. Darüber hinaus sind die Positionen des Software Asset Management Office und des Software Managers der Agentur nicht aufeinander abgestimmt und berichten nicht an den Chief Information Officer, wie es die Bundespolitik vorschreibt. Die Agentur verfügt auch nicht über einheitliche Prozesse für die Rechtsvertretung bei Softwarevertragsverhandlungen und Lieferantenaudits, was die Agentur aufgrund von Strafen für Verstöße gegen Softwarelizenzvereinbarungen erhöhten Kosten aussetzen kann. Darüber hinaus sind die Schulungen für die Nutzung und Verwaltung von Softwarelizenzen in der gesamten Behörde uneinheitlich, da veraltete webbasierte Schulungen dem Personal nach dem Zufallsprinzip zugewiesen werden und es keinen allgemeinen Schulungskurs für die Softwarelizenzierung gibt, der der gesamten Belegschaft zur Verfügung steht.
Die NASA hat es versäumt, Prozesse zu implementieren, die für das Management finanzieller Risiken erforderlich sind, da Softwarekäufe vom Office of the Chief Information Officer (OCIO) nicht ausreichend verfolgt und autorisiert werden, sodass einige Benutzer die OCIO-Autorisierung (und die Überprüfung durch das Software Asset Management-Team) umgehen können, um Software über alternative Mittel wie Kreditkarten zu kaufen. Darüber hinaus sind die derzeitigen Bemühungen der NASA, einen vollständigen und genauen Bericht über die jährlichen Softwareausgaben zu erstellen, ein zeitaufwändiger und meist manueller Aufwand. Angesichts all dieser Unzulänglichkeiten hat die NASA in der Vergangenheit einen großen Zustrom von Software in ihre Netzwerkumgebung erlebt, die nicht ausreichend für die Einhaltung der Lizenzbestimmungen verfolgt wird, was dazu führte, dass in den letzten 5 Jahren mehr als 20 Millionen US-Dollar unnötig für Software-Bußgelder und -Strafen ausgegeben wurden. Wir schätzen, dass die Behörde durch die Implementierung eines unternehmensweiten Software-Asset-Management-Programms etwa 35 Millionen US-Dollar (20 Millionen US-Dollar an Bußgeldern und Überzahlungen und 15 Millionen US-Dollar an ungenutzten Lizenzen) und in Zukunft 4 Millionen US-Dollar einsparen könnte.
Schließlich hat die NASA nicht die unternehmensweiten Prozesse implementiert, die erforderlich sind, um die Cybersicherheitsrisiken im Zusammenhang mit dem Software Asset Management angemessen zu managen. Software, die mit privilegiertem Zugriff heruntergeladen wurde, wird nicht auf Lizenzkonformität und Lebenszyklusmanagement überprüft, und die NASA verfügt nicht über einen konsistenten, behördenweiten Prozess zur Beschränkung des privilegierten Zugriffs oder zur Verwendung von „Least Privilege“-Berechtigungen, die Benutzern nur die für ihre Arbeit erforderlichen Softwareberechtigungen erteilen. Diese Abweichung von Best Practices stellt ein Cybersicherheitsrisiko dar, da die in der Agentur eingesetzte Software sowohl Risiken für die Cybersicherheit als auch für die Einhaltung von Softwarelizenzen birgt.
WAS WIR EMPFOHLEN HABEN
Um die operativen und Cyber-Aspekte des Software Asset Managements zu stärken, empfahlen wir dem Chief Information Officer, (1) unternehmensweite (institutionelle und missionelle) Richtlinien und Verfahren für das Software Asset Management festzulegen; (2) Implementierung eines einzigen Software-Asset-Management-Tools in der gesamten Agentur; (3) die Position des Agentursoftware-Managers so auszurichten, dass sie dem Chief Information Officer der Agentur unterstellt ist; (4) Etablierung einer formellen Rechtsvertretung und Anleitung für Software-Audits von Anbietern; (5) Einrichtung eines „kurzen Kurses“ zur Sensibilisierung für Softwarelizenzen, der sich auf Genehmigungen, Compliance und andere Probleme konzentriert, auf die ein allgemeiner Benutzer stoßen könnte; (6) Implementierung eines zentralen Repositorys für die intern entwickelten Softwareanwendungen der NASA; und (7) ein agenturweites Verfahren zur Beschränkung des privilegierten Zugriffs auf Computerressourcen in Übereinstimmung mit dem Konzept der geringsten Rechte zu entwickeln. Um die finanziellen Aspekte des Software Asset Managements der NASA zu stärken, empfahlen wir dem Chief Financial Officer außerdem, (8) eine „Penalty Spend“-Klassifizierung in SAP zu implementieren, um Lizenzverstöße und True-up-Auszahlungen zu verfolgen, und (9) die Erkenntnisse über die Softwareausgaben zu zentralisieren, um Einkaufskarten einzubeziehen. Wir stellten dem NASA-Management einen Entwurf dieses Berichts zur Verfügung, das den Empfehlungen 1, 2, 4, 5, 6, 7, 8 und 9 zustimmte oder teilweise zustimmte. Wir betrachten die vorgeschlagenen Maßnahmen als reaktionsfähig und daher sind diese Empfehlungen gelöst und werden nach Abschluss und Überprüfung der vorgeschlagenen Korrekturmaßnahmen geschlossen. Die Agentur stimmte auch der Empfehlung 3 teilweise zu, der Hof ist jedoch der Ansicht, dass die vorgeschlagenen Maßnahmen auf diese Empfehlung nicht reagieren. Die Agentur erklärte, dass der Software Asset Manager einen regelmäßigen Rhythmus der Berichterstattung an den Chief Information Officer der Agentur und die Geschäftsleitung einrichten wird, um einen Einblick in die Software-Management-Aktivitäten zu geben. Wir sind nicht der Meinung, dass diese Maßnahmen die Bundesanforderung erfüllen, dass der Softwaremanager direkt an den Chief Information Officer berichten muss. Folglich wird Empfehlung 3 bis zu weiteren Gesprächen mit der Agentur ungelöst bleiben.
