Control deActivos de
Septiembre 2008Subdirección Corporativa de Sistemas
Activos deSoftware
1. Control del Activo de Software.a. Gestión Contractualb. Gestión Físicac. Gestión Financiera
AgendaAgenda
Septiembre 2008Subdirección Corporativa de Sistemas
2. Preparándose para la Auditoría Externa3. Tips Contractuales4. Conclusiones
Control de Activos de
Septiembre 2008Subdirección Corporativa de Sistemas
Activos de Software
• Administración del Activo de software es un subconjunto de laadministración del Activos Informáticos. Su valor es alcanzado no solopor evitar costos adicionales, sino buscar inversiones estratégicas desoftware que permitan a las organización lograr ser más efectivas ycompetitivas.
IntroducciónIntroducción
DecisiónReducciónCostos
Septiembre 2008Subdirección Corporativa de Sistemas
Que tenemos?Que
necesitamos?Que vamos
hacer?
DecisiónEstratégica
- Contractuales
-Físicos
-Financieros
- Req. Negocio
-Planes IT
-IT Actual….Cumplimiento
Costos
Eficiencia,Competitividad
• Aspectos Contractuales• Rastrear los contratos de software / certificados / facturas• Formar un catálogo de contratos / certificados / facturas.• Confirmar derechos con el proveedor de software (licencias
cambian de nombre, portales del proveedor, etc.)• Aspectos Físicos.
• Rastrear el inventario físico del software.• Que software está instalado en que máquinas?
Qué tenemos?Qué tenemos?
Septiembre 2008Subdirección Corporativa de Sistemas
• Que software está instalado en que máquinas?• Qué software instalado se está usando?
• Cotejar software instalado físicamente vs el contratado.• Aspectos Financieros.
• Verificar lo pagado o por pagar a los proveedores.• Verificar las condiciones actuales del mercado.
Que tenemos?Que
necesitamos?Que vamos
hacer?
Qué Necesitamos?Qué Necesitamos?• Versiones y Releases.
• Cual es la versión y release actual ofrecido por el proveedor?• Como se compara esa versión y relase con la que tenemos
instalada?• Se necesita comprar un upgrade o está cubierto en el contrato el
poder instalarla?• Prerrequisitos o productos complementarios.
• Muchos productos solo pueden ser instalados si hay otrosproductos instalados. (Ejemplo portales, bases de datos, versionesde sop)
Septiembre 2008Subdirección Corporativa de Sistemas
de sop)• Dirección del Proveedor.
• Descubrir dirección del proveedor para prevenir decisionesequivocadas sobre el producto de software.• El proveedor del producto instalado fue adquirido por otra
compañía.• El software será descontinuado o ya lo está.
Que tenemos?Que
necesitamos?Que vamos
hacer?
Qué Necesitamos?Qué Necesitamos?
• Arquitectura de TI, estándares y dirección del negocio.• Cuales son los planes anuales y estratégicos de TI de la empresa.• Como embona los productos instalados a la luz de estos planes
anuales y estratégicos
• Requerimientos de Acceso.• Con los datos recolectados anteriormente determinar los patrones
Septiembre 2008Subdirección Corporativa de Sistemas
• Con los datos recolectados anteriormente determinar los patronesde uso de tal forma de agrupar a los usuarios por perfiles.
• Estos perfiles se traducirán en los requerimientos de licenciamientode software. (Ej. Office Estándar, Professional).
Que tenemos?Que
necesitamos?Que vamos
hacer?
Qué Vamos hacer?Qué Vamos hacer?
• Redactar la misión, objetivo, políticas asociadas al proceso deadministración de los activos de software.
• Iniciar la negociación de los contratos.• Asegurarse de con todos los datos recolectados eliminar productos
duplicados, poco usados o sin usar.• Documentar las dependencias de los productos.
Septiembre 2008Subdirección Corporativa de Sistemas
• Documentar las dependencias de los productos.• Iniciar los planes de instalaciones / desinstalaciones.• Mantener la documentación en el proceso que permita establecer los
costos de pertenencia reales por el software instalado.
Que tenemos?Que
necesitamos?Que vamos
hacer?
• (Compañía X) toma de manera seria la protección de los derechos depropiedad intelectual.
• (Compañía X) respeta los derechos intelectuales del software y suvalor implícito.
• Como empleado o contratista externo de (Compañía X), eresresponsable de asegurarte que el software que utilizas es legal.
• Si utilizas software pirata, te arriesgas a perder tu empleo o serrequerido en pagar por el software, honorarios jurídicos y cualquiergasto derivado de esta falta.
Qué Vamos hacer?Qué Vamos hacer?
Septiembre 2008Subdirección Corporativa de Sistemas
gasto derivado de esta falta.• Los usuarios no deben elaborar copias o utilizar software a menos que
así lo permita el licenciamiento contratado por (Compañía X). Si unsistema ha sido instalado y configurado por el departamento deSistemas de Información, los usuarios pueden confiar plenamente quetodo el software en dicho sistema cuenta con el licenciamientorequerido y está autorizado. El departamento de Sistemas deInformación removerá todo el software que no esté autorizado.
Políticas /Cumplimientohttp://www.bsa.org/country/Tools%20and%20Resources/For%20Employers.aspx
Preparándosepara la Auditoria
Septiembre 2008Subdirección Corporativa de Sistemas
para la Auditoria Externa
• Gartner reporta que el 60% de las compañías encuestadas han sufridouna auditoría externa durante el 2007.
• Las auditorías de software no son placenteras, normalmente tienen unimpacto significativo en la organización y toman una buena cantidadde tiempo. En el mejor de los casos solo se gasta el tiempo de laspersonas, y en el peor puede traer un quebranto por multas y licenciasadicionales que se necesiten adquirir.
Auditoría Externa de SoftwareAuditoría Externa de Software
Septiembre 2008Subdirección Corporativa de Sistemas
http://www.bsa.org/country/Report%20Piracy.aspx
Auditoría Externa de SoftwareAuditoría Externa de Software
Ejemplo de Demanda Legal
Septiembre 2008Subdirección Corporativa de Sistemas
Auditoría Externa de SoftwareAuditoría Externa de Software
Ejemplo de Orden de Inspección:
Septiembre 2008Subdirección Corporativa de Sistemas
Auditoría Externa de SoftwareAuditoría Externa de Software
Ejemplo de Orden de Inspección:
Septiembre 2008Subdirección Corporativa de Sistemas
Que hacer cuando sucede un evento de Auditoría Externa?
• Contactar al departamento legal y al equipo de respuesta designadopara asegurar que todos estén atentos al desarrollo de losacontecimientos.
• Iniciar la revisión de los contratos relacionados por el administrador deactivos informáticos y el departamento legal.
• Establecer un punto de contacto para todas las discusiones con elproveedor del software o tercer designado para tal fin.
Auditoría Externa de SoftwareAuditoría Externa de Software
Septiembre 2008Subdirección Corporativa de Sistemas
proveedor del software o tercer designado para tal fin.• Desarrollo un equipo de respuesta para establecer procedimientos que
manejen la situación de auditoria externa actual y situaciones futuras.
TipsContractuales
Septiembre 2008Subdirección Corporativa de Sistemas
Contractuales
Relativo a Clausulas Generales del Contrato:
• Incluir en las cláusulas que el licenciamiento abarque lasorganizaciones padre, subsidiarias, afiliadas, socios de negocio,clientes, consultores, contratistas, outsourcers, etc. Igualmente elpermiso de utilizarlas y moverlas libremente en todo el mundo.
• Incluir cláusula que permitan transferir el derecho en caso de fusionescon otra organización o si la organización es adquirida por otracompañía. Esto derechos de transferencia deben de ser válidos para
TipsTips ContractualesContractuales
Septiembre 2008Subdirección Corporativa de Sistemas
compañía. Esto derechos de transferencia deben de ser válidos paracompañías independientes que resulten de la fusión o compra entrecompañías.
• Definir claramente el derecho de uso de la licencia, y como seráncontados en el caso de una auditoría. (Ej. Nombrados, concurrentes,por ventas, etc…)
• Incluir el derecho de tener licencias adicionales sin costo paradesarrollo, entrenamiento, pruebas y Recuperación de Desastres.
Relativo a Clausulas Generales del Contrato:
• Evitar en lo posible que la garantía sea definida vagamente (Ej. elsoftware deberá trabajar sustancialmente de acuerdo a ladocumentación oficial?), incluye en lo posible una cláusula deaceptación por el cliente.
• En el caso de violaciones, por el proveedor del software, a la propiedadintelectual, patentes, derechos de autor, etc. buscar que la protecciónal cliente no tengan límite en su cobertura.
TipsTips ContractualesContractuales
Septiembre 2008Subdirección Corporativa de Sistemas
al cliente no tengan límite en su cobertura.• Cuando se refiera al mantenimiento normalmente los proveedores
buscan que estás clausulas estén basadas en su contrato de estándar,busca incluir:• El derecho de uso a nuevas versiones• El proveedor no puede cancelar el soporte sin que tenga un tiempo
adecuado X para encontrar una solución alterna.• Contar con niveles de servicio para el soporte proporcionado.• Terminar el soporte en el momento que decida el cliente.
Relativo a Auditorías de Software
• Asegurarse que exista un periodo razonable en la notificación de unaauditoría, y contar con el derecho de retrasarla de buena fe pormotivos de negocio.
• Incluir el derecho de aprobar quien realiza la auditoría.• Agregar el derecho de aprobar por adelantado como va ser realizada la
auditoría y que constituye una prueba de cumplimiento.
TipsTips ContractualesContractuales
Septiembre 2008Subdirección Corporativa de Sistemas
• Explicar como se pagará por la auditoría. (En el caso de cumplimientoo no cumplimiento)
• Cuanto tiempo tiene el cliente para revisar el resultado de la auditoría.Ej. Tener 90 días para estar de acuerdo con el resultado de laauditoría.
• Incluir un estatutos que sucede si hay una auditoría y se detectacumplimiento. Ej. Se proporciona entrenamiento gratis o servicios deconsultoría gratis, etc.
Conclusiones
Septiembre 2008Subdirección Corporativa de Sistemas
Conclusiones
• Si vas a iniciar un proyecto de control de activos de software, defineuna meta alcanzable que puedas lograr.
• Adapta y construye sobre políticas y procedimientos existentes y sobreestos desarrolla una nueva estructura.
• Herramientas de descubrimiento de inventario son importantes, perono nos sirven para descubrir datos importantes, como contratos,facturas, certificados, etc.
ConclusionesConclusiones
Septiembre 2008Subdirección Corporativa de Sistemas
facturas, certificados, etc.• Identifica oportunidades inmediatas de mejorar las condiciones
contractuales y su costo (Ej. renovación de contratos, adquisición desoftware, etc.).