Control de Activos de Software Subdirección Corporativa de Sistemas Septiembre 2008 Agenda 1. Control del Activo de Software. a. Gestión Contractual b. Gestión Física c. Gestión Financiera 2. Preparándose para la Auditoría Externa 3. Tips Contractuales 4. Conclusiones Subdirección Corporativa de Sistemas Septiembre 2008 Control de Activos de Software Subdirección Corporativa de Sistemas Septiembre 2008 Introducción • Administración del Activo de software es un subconjunto de la administración del Activos Informáticos. Su valor es alcanzado no solo por evitar costos adicionales, sino buscar inversiones estratégicas de software que permitan a las organización lograr ser más efectivas y competitivas. Que tenemos? Que necesitamos? - Contractuales - Req. Negocio -Físicos -Planes IT -Financieros -IT Actual…. Subdirección Corporativa de Sistemas Decisión Estratégica Que vamos hacer? Reducción Costos Eficiencia, Competitividad Cumplimiento Septiembre 2008 Qué tenemos? • Aspectos Contractuales • Rastrear los contratos de software / certificados / facturas • Formar un catálogo de contratos / certificados / facturas. • Confirmar derechos con el proveedor de software (licencias cambian de nombre, portales del proveedor, etc.) • Aspectos Físicos. • Rastrear el inventario físico del software. • Que software está instalado en que máquinas? • Qué software instalado se está usando? • Cotejar software instalado físicamente vs el contratado. • Aspectos Financieros. • Verificar lo pagado o por pagar a los proveedores. • Verificar las condiciones actuales del mercado. Que tenemos? Subdirección Corporativa de Sistemas Que necesitamos? Que vamos hacer? Septiembre 2008 Qué Necesitamos? • Versiones y Releases. • Cual es la versión y release actual ofrecido por el proveedor? • Como se compara esa versión y relase con la que tenemos instalada? • Se necesita comprar un upgrade o está cubierto en el contrato el poder instalarla? • Prerrequisitos o productos complementarios. • Muchos productos solo pueden ser instalados si hay otros productos instalados. (Ejemplo portales, bases de datos, versiones de sop) • Dirección del Proveedor. • Descubrir dirección del proveedor para prevenir decisiones equivocadas sobre el producto de software. • El proveedor del producto instalado fue adquirido por otra compañía. • El software será descontinuado o ya lo está. Que tenemos? Subdirección Corporativa de Sistemas Que necesitamos? Que vamos hacer? Septiembre 2008 Qué Necesitamos? • Arquitectura de TI, estándares y dirección del negocio. • Cuales son los planes anuales y estratégicos de TI de la empresa. • Como embona los productos instalados a la luz de estos planes anuales y estratégicos • Requerimientos de Acceso. • Con los datos recolectados anteriormente determinar los patrones de uso de tal forma de agrupar a los usuarios por perfiles. • Estos perfiles se traducirán en los requerimientos de licenciamiento de software. (Ej. Office Estándar, Professional). Que tenemos? Subdirección Corporativa de Sistemas Que necesitamos? Que vamos hacer? Septiembre 2008 Qué Vamos hacer? • Redactar la misión, objetivo, políticas asociadas al proceso de administración de los activos de software. • Iniciar la negociación de los contratos. • Asegurarse de con todos los datos recolectados eliminar productos duplicados, poco usados o sin usar. • Documentar las dependencias de los productos. • Iniciar los planes de instalaciones / desinstalaciones. • Mantener la documentación en el proceso que permita establecer los costos de pertenencia reales por el software instalado. Que tenemos? Subdirección Corporativa de Sistemas Que necesitamos? Que vamos hacer? Septiembre 2008 Qué Vamos hacer? • (Compañía X) toma de manera seria la protección de los derechos de propiedad intelectual. • (Compañía X) respeta los derechos intelectuales del software y su valor implícito. • Como empleado o contratista externo de (Compañía X), eres responsable de asegurarte que el software que utilizas es legal. • Si utilizas software pirata, te arriesgas a perder tu empleo o ser requerido en pagar por el software, honorarios jurídicos y cualquier gasto derivado de esta falta. • Los usuarios no deben elaborar copias o utilizar software a menos que así lo permita el licenciamiento contratado por (Compañía X). Si un sistema ha sido instalado y configurado por el departamento de Sistemas de Información, los usuarios pueden confiar plenamente que todo el software en dicho sistema cuenta con el licenciamiento requerido y está autorizado. El departamento de Sistemas de Información removerá todo el software que no esté autorizado. http://www.bsa.org/country/Tools%20and%20Resources/For%20Employers.aspx Subdirección Corporativa de Sistemas Políticas / Cumplimiento Septiembre 2008 Preparándose para la Auditoria Externa Subdirección Corporativa de Sistemas Septiembre 2008 Auditoría Externa de Software • Gartner reporta que el 60% de las compañías encuestadas han sufrido una auditoría externa durante el 2007. • Las auditorías de software no son placenteras, normalmente tienen un impacto significativo en la organización y toman una buena cantidad de tiempo. En el mejor de los casos solo se gasta el tiempo de las personas, y en el peor puede traer un quebranto por multas y licencias adicionales que se necesiten adquirir. http://www.bsa.org/country/Report%20Piracy.aspx Subdirección Corporativa de Sistemas Septiembre 2008 Auditoría Externa de Software Ejemplo de Demanda Legal Subdirección Corporativa de Sistemas Septiembre 2008 Auditoría Externa de Software Ejemplo de Orden de Inspección: Subdirección Corporativa de Sistemas Septiembre 2008 Auditoría Externa de Software Ejemplo de Orden de Inspección: Subdirección Corporativa de Sistemas Septiembre 2008 Auditoría Externa de Software Que hacer cuando sucede un evento de Auditoría Externa? • Contactar al departamento legal y al equipo de respuesta designado para asegurar que todos estén atentos al desarrollo de los acontecimientos. • Iniciar la revisión de los contratos relacionados por el administrador de activos informáticos y el departamento legal. • Establecer un punto de contacto para todas las discusiones con el proveedor del software o tercer designado para tal fin. • Desarrollo un equipo de respuesta para establecer procedimientos que manejen la situación de auditoria externa actual y situaciones futuras. Subdirección Corporativa de Sistemas Septiembre 2008 Tips Contractuales Subdirección Corporativa de Sistemas Septiembre 2008 Tips Contractuales Relativo a Clausulas Generales del Contrato: • Incluir en las cláusulas que el licenciamiento abarque las organizaciones padre, subsidiarias, afiliadas, socios de negocio, clientes, consultores, contratistas, outsourcers, etc. Igualmente el permiso de utilizarlas y moverlas libremente en todo el mundo. • Incluir cláusula que permitan transferir el derecho en caso de fusiones con otra organización o si la organización es adquirida por otra compañía. Esto derechos de transferencia deben de ser válidos para compañías independientes que resulten de la fusión o compra entre compañías. • Definir claramente el derecho de uso de la licencia, y como serán contados en el caso de una auditoría. (Ej. Nombrados, concurrentes, por ventas, etc…) • Incluir el derecho de tener licencias adicionales sin costo para desarrollo, entrenamiento, pruebas y Recuperación de Desastres. Subdirección Corporativa de Sistemas Septiembre 2008 Tips Contractuales Relativo a Clausulas Generales del Contrato: • Evitar en lo posible que la garantía sea definida vagamente (Ej. el software deberá trabajar sustancialmente de acuerdo a la documentación oficial?), incluye en lo posible una cláusula de aceptación por el cliente. • En el caso de violaciones, por el proveedor del software, a la propiedad intelectual, patentes, derechos de autor, etc. buscar que la protección al cliente no tengan límite en su cobertura. • Cuando se refiera al mantenimiento normalmente los proveedores buscan que estás clausulas estén basadas en su contrato de estándar, busca incluir: • El derecho de uso a nuevas versiones • El proveedor no puede cancelar el soporte sin que tenga un tiempo adecuado X para encontrar una solución alterna. • Contar con niveles de servicio para el soporte proporcionado. • Terminar el soporte en el momento que decida el cliente. Subdirección Corporativa de Sistemas Septiembre 2008 Tips Contractuales Relativo a Auditorías de Software • Asegurarse que exista un periodo razonable en la notificación de una auditoría, y contar con el derecho de retrasarla de buena fe por motivos de negocio. • Incluir el derecho de aprobar quien realiza la auditoría. • Agregar el derecho de aprobar por adelantado como va ser realizada la auditoría y que constituye una prueba de cumplimiento. • Explicar como se pagará por la auditoría. (En el caso de cumplimiento o no cumplimiento) • Cuanto tiempo tiene el cliente para revisar el resultado de la auditoría. Ej. Tener 90 días para estar de acuerdo con el resultado de la auditoría. • Incluir un estatutos que sucede si hay una auditoría y se detecta cumplimiento. Ej. Se proporciona entrenamiento gratis o servicios de consultoría gratis, etc. Subdirección Corporativa de Sistemas Septiembre 2008 Conclusiones Subdirección Corporativa de Sistemas Septiembre 2008 Conclusiones • Si vas a iniciar un proyecto de control de activos de software, define una meta alcanzable que puedas lograr. • Adapta y construye sobre políticas y procedimientos existentes y sobre estos desarrolla una nueva estructura. • Herramientas de descubrimiento de inventario son importantes, pero no nos sirven para descubrir datos importantes, como contratos, facturas, certificados, etc. • Identifica oportunidades inmediatas de mejorar las condiciones contractuales y su costo (Ej. renovación de contratos, adquisición de software, etc.). Subdirección Corporativa de Sistemas Septiembre 2008