MANUAL DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE SOFTWARE LA GESTIÓN DE LAS TI UN RETO PARA TODA LA EMPRESA Las tecnologías de la información están cada vez más presentes en todos los aspectos de nuestra vida cotidiana y más aún en el ámbito empresarial. Debido a este papel central de la tecnología en los negocios, la adquisición y la implementación de esta, incluido el software, se produce cada vez más fuera del ámbito del departamento de TI que tradicionalmente centralizaba todo lo relacionado con la compra y la ejecución de equipos, sistemas y software. En la actualidad, el 35 % del gasto de las organizaciones de TI se realiza fuera de los departamentos de TI1 TechInsights Report: The Changing Role of IT and What To Do About It, CA Technologies, 2013: https://www.ca.com/us/register/forms/collateral/techinsights-report-thechanging-role-of-it-and-what-to-do-about-it.aspx. Esto conlleva nuevos retos, no solo para los responsables de informática sino para toda la dirección de la empresa, que es responsable de asegurar el funcionamiento eficiente y legal de sus sistemas. UN ACTIVO DE NEGOCIO CLAVE NUEVOS DESAFÍOS Y RIESGOS El rol del software dentro del desarrollo de las tecnologías de la información ha crecido de forma exponencial hasta formar parte de todos los procesos empresariales de un negocio, sea del tamaño que sea y del sector que sea. Sus ventajas resultan incuestionables en términos de productividad si se usa de forma correcta, en la gestión de clientes, recursos y empleados, en el punto de venta, en la la recopilación y gestión de datos, en la contabilidad y las finanzas, en el marketing, etc. A medida que el software ha ido ganando presencia e importancia los desafíos y los riesgos relacionados con su implementación se han intensificado también. Riesgos relacionados con una gestión ineficiente del software, el uso de software ilegal, o con fallos operativos, ataques cibernéticos y malware. De esta forma, el software se ha convertido en uno de los activos más valiosos y críticos para el funcionamiento de cualquier negocio. Pero, por otro lado, si no se gestiona y protege de forma adecuada, las empresas se pueden ver expuestas a numerosos riesgos operativos y comerciales que pueden tener implicaciones económicas y legales muy importantes. En este sentido, la propia norma global para la mejora de control interno dentro de las organizaciones recomienda que las empresas adopten controles internos relacionados con el uso legal de la tecnología, incluida la conformidad de las licencias de software. La Organización Internacional de Normalización (ISO) ha desarrollado una norma específica para la gestión de activos de software (conocido por sus siglas en inglés SAM) con el fin de ayudar a las empresas a garantizar el cumplimiento de sus acuerdos de licencia, reducir al mínimo la exposición a los riesgos y obtener el máximo beneficio de este activo. LA PYMES Y LA GESTIÓN DE ACTIVOS DE SOFTWARE A menudo, son las pymes las que menos atención prestan a las actividades de gestión de riesgos, como las auditorías de software. Sin embargo, son por lo general mucho más vulnerables que las grandes corporaciones. Aunque la gestión de los activos de software y de los riesgos informáticos puede parecer compleja, hay un paso fundamental que cualquier empresa, del tamaño que sea, puede llevar a cabo. Se trata de conocer qué tiene instalado y se está ejecutando en sus equipos y comprobar si se trata de software original para el que cuenta con las licencias necesarias. La omisión de este paso básico puede conllevar graves consecuencias operativas, de seguridad y legales. En cambio, saber qué activos de software se usan en su organización, dónde están instalados, cómo están siendo utilizados y por quién, es una garantía para mejorar la eficiencia y la productividad de su negocio. CUATRO PASOS PARA IMPLEMENTAR UN PROGRAMA DE GESTIÓN DE SOFTWARE SEGÚN LA NORMA ISO 1 INVENTARIO Recopile y mantenga información fiable que permita evaluar si se dispone de las licencias adecuadas. • Identifique qué software se está ejecutando en su red. • Evalúe si ese software debe estar instalado o no. • Compruebe si todo es software original y cuenta con las licencias adecuadas. 3 Y PROCEDIMIENTOS INTERNOS ESTABLECER POLÍTICAS El proceso para la gestión del software implantado en una empresa se puede dividir en cuatro simples pasos. 2 DE LA EMPRESA ALINEAR CON LAS NECESIDADES Ajuste sus necesidades presentes y futuras con el software y con el modelo de licencias adecuado. • Analice nuevas alternativas de asignación de licencias que puedan resultar rentables, como las suscripciones en la nube; • Identifique posibles ahorros de costes. Ejemplo: reutilizar licencias (si el proveedor lo permite); • Mejore el uso de las cláusulas de mantenimiento incluidas en sus contratos de licencia de software 4 EN LA ORGANIZACIÓN INTEGRACIÓN DE SAM Implante procedimientos claros para la adquisición, instalación y uso de software legal. Asegurase de que SAM esté integrado es toda su organización y que da soporte a toda su actividad • Adquiriera software de manera controlada con registros que lo respalden.; • Implemente el software de una manera controlada para facilitar también el mantenimiento continuo del mismo; • Desinstale el software que no utilice • Implante una rutina de actualizaciones del software cuando sea necesario. • Integre SAM en todas las actividades relevantes en su empresa, no simplemente en las que están directamente relacionadas con las TI; • Mejore los procesos de gestión de datos integrados en el paso anterior. • Garantice que los empleados comprenden el uso adecuado del software y el impacto legal, financiero y reputacional que sus acciones pueden ocasionar en la organización. SOFTWARE SIN LICENCIA El termino software sin licencia, de modo general, hace referencia a cualquier producto de software que se haya instalado en un equipo sin disponer del adecuado contrato de licencia/uso con el propietario de los derechos de autor. Pueden darse tres casos en los que una empresa cometa una infracción contra los derechos de autor del propietario del software: ¿CÓMO PUEDE LLEGAR SOFTWARE SIN LICENCIA A LOS ORDENADORES DE SU EMPRESA? El software sin licencia puede tener diversas procedencias. Desde las instalaciones por parte de los empleados sin el conocimiento de la dirección o el departamento de TI, las descargas directas por Internet, o las descargas ocultas a partir de cuadros emergentes que aparecen al visitar ciertos sitios web, la compra o descarga de programas informáticos piratas, o simplemente una mala gestión de las licencias de software. La proliferación de dispositivos móviles y del trabajo fuera de la oficina han incrementado las posibilidades de que los empleados introduzcan, consciente o inconscientemente, software ilegan en los sistemas de las empresas. Muchas empresas subcontratan la gestión informática a proveedores externos a los que también adquieren software. Es importante comprobar las credenciales de dichos proveedores. 1. Por utilizar software en más ordenadores de los que permite el contrato de licencia. Por ejemplo si una licencia permite el uso del software en 10 equipos, su uso en 20 equipos supone que las diez instalaciones adicionales se consideran software sin licencia. · Comparex · Comsoft Direct · Crayon Software Experts 2. Por no tener la licencia apropiada para el uso que se le da al software. En ese caso hablamos de software que está siendo utilizado para fines no permitidos en el contrato de licencia. Por ejemplo, el software con licencia para uso académico que se utiliza con fines comerciales. · EO Soluciones RELACIÓN DE EMPRESAS QUE PRESTAN EN ESPAÑA SERVICIOS DE SOFTWARE ASSET MANAGEMENT · Global Licensing Consulting · Insight Technology Solutions · KPMG · Nextel · PwC España 3. Por utilizar software ilegal. Se trata de software que ha sido copiado sin autorización o licencia del fabricante y distribuido por medio de CDs o a través de sitios de descarga en Internet. · Seidor · Softcare Asset Management · SoftwareOne