control de activos de software 2008 09 30 - isaca.org · para la auditoria subdirección...

Control deActivos de

Septiembre 2008Subdirección Corporativa de Sistemas

Activos deSoftware

1. Control del Activo de Software.a. Gestión Contractualb. Gestión Físicac. Gestión Financiera

AgendaAgenda


2. Preparándose para la Auditoría Externa3. Tips Contractuales4. Conclusiones

Control de Activos de


Activos de Software

• Administración del Activo de software es un subconjunto de laadministración del Activos Informáticos. Su valor es alcanzado no solopor evitar costos adicionales, sino buscar inversiones estratégicas desoftware que permitan a las organización lograr ser más efectivas ycompetitivas.

IntroducciónIntroducción

DecisiónReducciónCostos


Que tenemos?Que

necesitamos?Que vamos

hacer?

DecisiónEstratégica

- Contractuales

-Físicos

-Financieros

- Req. Negocio

-Planes IT

-IT Actual….Cumplimiento

Costos

Eficiencia,Competitividad

• Aspectos Contractuales• Rastrear los contratos de software / certificados / facturas• Formar un catálogo de contratos / certificados / facturas.• Confirmar derechos con el proveedor de software (licencias

cambian de nombre, portales del proveedor, etc.)• Aspectos Físicos.

• Rastrear el inventario físico del software.• Que software está instalado en que máquinas?

Qué tenemos?Qué tenemos?


• Que software está instalado en que máquinas?• Qué software instalado se está usando?

• Cotejar software instalado físicamente vs el contratado.• Aspectos Financieros.

• Verificar lo pagado o por pagar a los proveedores.• Verificar las condiciones actuales del mercado.

Que tenemos?Que


hacer?

Qué Necesitamos?Qué Necesitamos?• Versiones y Releases.

• Cual es la versión y release actual ofrecido por el proveedor?• Como se compara esa versión y relase con la que tenemos

instalada?• Se necesita comprar un upgrade o está cubierto en el contrato el

poder instalarla?• Prerrequisitos o productos complementarios.

• Muchos productos solo pueden ser instalados si hay otrosproductos instalados. (Ejemplo portales, bases de datos, versionesde sop)


de sop)• Dirección del Proveedor.

• Descubrir dirección del proveedor para prevenir decisionesequivocadas sobre el producto de software.• El proveedor del producto instalado fue adquirido por otra

compañía.• El software será descontinuado o ya lo está.

Que tenemos?Que


hacer?

Qué Necesitamos?Qué Necesitamos?

• Arquitectura de TI, estándares y dirección del negocio.• Cuales son los planes anuales y estratégicos de TI de la empresa.• Como embona los productos instalados a la luz de estos planes

anuales y estratégicos

• Requerimientos de Acceso.• Con los datos recolectados anteriormente determinar los patrones


• Con los datos recolectados anteriormente determinar los patronesde uso de tal forma de agrupar a los usuarios por perfiles.

• Estos perfiles se traducirán en los requerimientos de licenciamientode software. (Ej. Office Estándar, Professional).

Que tenemos?Que


hacer?

Qué Vamos hacer?Qué Vamos hacer?

• Redactar la misión, objetivo, políticas asociadas al proceso deadministración de los activos de software.

• Iniciar la negociación de los contratos.• Asegurarse de con todos los datos recolectados eliminar productos

duplicados, poco usados o sin usar.• Documentar las dependencias de los productos.


• Documentar las dependencias de los productos.• Iniciar los planes de instalaciones / desinstalaciones.• Mantener la documentación en el proceso que permita establecer los

costos de pertenencia reales por el software instalado.

Que tenemos?Que


hacer?

• (Compañía X) toma de manera seria la protección de los derechos depropiedad intelectual.

• (Compañía X) respeta los derechos intelectuales del software y suvalor implícito.

• Como empleado o contratista externo de (Compañía X), eresresponsable de asegurarte que el software que utilizas es legal.

• Si utilizas software pirata, te arriesgas a perder tu empleo o serrequerido en pagar por el software, honorarios jurídicos y cualquiergasto derivado de esta falta.

Qué Vamos hacer?Qué Vamos hacer?


gasto derivado de esta falta.• Los usuarios no deben elaborar copias o utilizar software a menos que

así lo permita el licenciamiento contratado por (Compañía X). Si unsistema ha sido instalado y configurado por el departamento deSistemas de Información, los usuarios pueden confiar plenamente quetodo el software en dicho sistema cuenta con el licenciamientorequerido y está autorizado. El departamento de Sistemas deInformación removerá todo el software que no esté autorizado.

Políticas /Cumplimientohttp://www.bsa.org/country/Tools%20and%20Resources/For%20Employers.aspx

Preparándosepara la Auditoria


para la Auditoria Externa

• Gartner reporta que el 60% de las compañías encuestadas han sufridouna auditoría externa durante el 2007.

• Las auditorías de software no son placenteras, normalmente tienen unimpacto significativo en la organización y toman una buena cantidadde tiempo. En el mejor de los casos solo se gasta el tiempo de laspersonas, y en el peor puede traer un quebranto por multas y licenciasadicionales que se necesiten adquirir.

Auditoría Externa de SoftwareAuditoría Externa de Software


http://www.bsa.org/country/Report%20Piracy.aspx


Ejemplo de Demanda Legal



Ejemplo de Orden de Inspección:


Que hacer cuando sucede un evento de Auditoría Externa?

• Contactar al departamento legal y al equipo de respuesta designadopara asegurar que todos estén atentos al desarrollo de losacontecimientos.

• Iniciar la revisión de los contratos relacionados por el administrador deactivos informáticos y el departamento legal.

• Establecer un punto de contacto para todas las discusiones con elproveedor del software o tercer designado para tal fin.



proveedor del software o tercer designado para tal fin.• Desarrollo un equipo de respuesta para establecer procedimientos que

manejen la situación de auditoria externa actual y situaciones futuras.

TipsContractuales


Contractuales

Relativo a Clausulas Generales del Contrato:

• Incluir en las cláusulas que el licenciamiento abarque lasorganizaciones padre, subsidiarias, afiliadas, socios de negocio,clientes, consultores, contratistas, outsourcers, etc. Igualmente elpermiso de utilizarlas y moverlas libremente en todo el mundo.

• Incluir cláusula que permitan transferir el derecho en caso de fusionescon otra organización o si la organización es adquirida por otracompañía. Esto derechos de transferencia deben de ser válidos para

TipsTips ContractualesContractuales


compañía. Esto derechos de transferencia deben de ser válidos paracompañías independientes que resulten de la fusión o compra entrecompañías.

• Definir claramente el derecho de uso de la licencia, y como seráncontados en el caso de una auditoría. (Ej. Nombrados, concurrentes,por ventas, etc…)

• Incluir el derecho de tener licencias adicionales sin costo paradesarrollo, entrenamiento, pruebas y Recuperación de Desastres.

Relativo a Clausulas Generales del Contrato:

• Evitar en lo posible que la garantía sea definida vagamente (Ej. elsoftware deberá trabajar sustancialmente de acuerdo a ladocumentación oficial?), incluye en lo posible una cláusula deaceptación por el cliente.

• En el caso de violaciones, por el proveedor del software, a la propiedadintelectual, patentes, derechos de autor, etc. buscar que la protecciónal cliente no tengan límite en su cobertura.



al cliente no tengan límite en su cobertura.• Cuando se refiera al mantenimiento normalmente los proveedores

buscan que estás clausulas estén basadas en su contrato de estándar,busca incluir:• El derecho de uso a nuevas versiones• El proveedor no puede cancelar el soporte sin que tenga un tiempo

adecuado X para encontrar una solución alterna.• Contar con niveles de servicio para el soporte proporcionado.• Terminar el soporte en el momento que decida el cliente.

Relativo a Auditorías de Software

• Asegurarse que exista un periodo razonable en la notificación de unaauditoría, y contar con el derecho de retrasarla de buena fe pormotivos de negocio.

• Incluir el derecho de aprobar quien realiza la auditoría.• Agregar el derecho de aprobar por adelantado como va ser realizada la

auditoría y que constituye una prueba de cumplimiento.



• Explicar como se pagará por la auditoría. (En el caso de cumplimientoo no cumplimiento)

• Cuanto tiempo tiene el cliente para revisar el resultado de la auditoría.Ej. Tener 90 días para estar de acuerdo con el resultado de laauditoría.

• Incluir un estatutos que sucede si hay una auditoría y se detectacumplimiento. Ej. Se proporciona entrenamiento gratis o servicios deconsultoría gratis, etc.

Conclusiones


Conclusiones

• Si vas a iniciar un proyecto de control de activos de software, defineuna meta alcanzable que puedas lograr.

• Adapta y construye sobre políticas y procedimientos existentes y sobreestos desarrolla una nueva estructura.

• Herramientas de descubrimiento de inventario son importantes, perono nos sirven para descubrir datos importantes, como contratos,facturas, certificados, etc.

ConclusionesConclusiones


facturas, certificados, etc.• Identifica oportunidades inmediatas de mejorar las condiciones

contractuales y su costo (Ej. renovación de contratos, adquisición desoftware, etc.).

control de activos de software 2008 09 30 - isaca.org · para la auditoria subdirección...

Documents