1 Deloitte Advisory, S.L., todos los derechos reservados
Gestión de Activos de TI (ITAM) Mitigando el Riesgo
2 Deloitte Advisory, S.L., todos los derechos reservados
Índice
1. Introducción
2. Riesgos
3. Marcos de control
4. Algunas sugerencias
5. Resumen
2
3 Deloitte Advisory, S.L., todos los derechos reservados
Introducción (I)
La Paradoja: existe la idea de que calidad de la información no es
del todo buena……
SI 49%
NO 51%
¿Piensas que el inventario de activos IT se encuentra actualizado y es preciso?
4 Deloitte Advisory, S.L., todos los derechos reservados
Introducción (I)
…. pero, en términos de software, también existe la certeza de estar
bien licenciado
No Sabe 11%
Si, sobre la mayor parte
71%
Si, en todo 9%
No 9%
¿Su empresa se encuentra correctamente licenciada?
5 Deloitte Advisory, S.L., todos los derechos reservados
Introducción (II)
Algunos datos
²Fuente: Gartner/IT Metrics: IT Spending and Staffing Report, 2013
Los gastos en Software y Hardware suponen de media un 39%² del presupuesto
de IT y el presupuesto de IT cada vez tiene mayor peso en la organización (en
EMEA 3,6%² sobre ingresos totales):
6 Deloitte Advisory, S.L., todos los derechos reservados
Introducción (II)
Algunos datos
A la importancia de estos activos respecto al presupuesto, se le une también la
creciente dificultad para su gestión, principalmente debido a:
Multitud de productos software y proveedores
Gestión descentralizada de las compras e instalaciones
Conocimiento parcial del licenciamiento de los productos
Instalaciones no siempre controladas / supervisadas
2 The Software Vendors That Are Auditing Now and What to Do About It , Gartner January 2012
7 Deloitte Advisory, S.L., todos los derechos reservados
Introducción (II)
Algunos datos
¹Fuente: Forrester/The State And Direction Of Software Asset Management: 2012 To 2013
Mayor actividad por parte de los proveedores de software para asegurar el
correcto cumplimiento de sus términos de licenciamiento (en el año 2012
un 68%¹ de las empresas consultadas declararon haber sufrido al menos
una revisión ):
8 Deloitte Advisory, S.L., todos los derechos reservados
1. Introducción
2.Riesgos 3. Marcos de control
4. Algunas sugerencias
5. Resumen
8
9 Deloitte Advisory, S.L., todos los derechos reservados
Riesgos (I)
Una gestión inadecuada de los activos de TI pueden
suponer una serie de riesgos que no solo afectan al
área de TI.
Riesgos ITAM
Gobierno
de TI
Financiero
Cumplimie
nto
Seguridad
10 Deloitte Advisory, S.L., todos los derechos reservados
Ejemplos. Gobierno de TI:
Descontrol sobre las adquisiciones realizadas
Toma de decisiones sin información precisa e íntegra
Activos TI obsoletos o no permitidos
Planes de continuidad o contingencia inadecuadamente
dimensionados
Riesgos (II)
Riesgos ITAM
Gobierno de
TI
Financiero
Cumplimien
to
Seguridad
11 Deloitte Advisory, S.L., todos los derechos reservados
Ejemplos. Riesgo Financiero:
Gastos no alineados con las necesidades reales de la
organización.
Riesgo de infra-utilización de activos: El desconocimiento
puede llevar a pagar sobre-costes y a no sacar rendimiento
de los activos disponibles
Costes no planificados generados por auditorías de licencias
de software
Riesgos (II)
Riesgos ITAM
Gobierno de
TI
Financiero
Cumplimien
to
Seguridad
12 Deloitte Advisory, S.L., todos los derechos reservados
Ejemplos. Riesgo Cumplimiento:
Incumplimientos legales sobre contratos firmados con
los proveedores de Software. Aplicación de clausulas
de penalización.
Contratos con terceros no dimensionados
adecuadamente
Riesgo reputacional: Una disputa legal puede dañar la
imagen de la empresa
Riesgos (II)
Riesgos ITAM
Gobierno de
TI
Financiero
Cumplimien
to
Seguridad
13 Deloitte Advisory, S.L., todos los derechos reservados
Ejemplos. Riesgo Seguridad:
Instalación “descontrolada” de software
Dificultad para mantener actualizados parches de
seguridad por desconocimiento del SW desplegado
Pérdida / extravío de activos de IT no inventariados
Riesgos (II)
Riesgos ITAM
Gobierno de
TI
Financiero
Cumplimien
to
Seguridad
14 Deloitte Advisory, S.L., todos los derechos reservados
1. Introducción
2. Riesgos
3.Marcos de control 4. Algunas sugerencias
5. Resumen
1
4
15 Deloitte Advisory, S.L., todos los derechos reservados
Marcos de Referencia en la industria: COBIT5®
16 Deloitte Advisory, S.L., todos los derechos reservados
Marcos de Referencia: COBIT5®
El proceso BAI09, Prácticas de gestión:
Identificar y registrar los
activos actuales
• Mantener un registro actualizado y exacto de todos los activos de TI necesarios para la prestación de servicios y garantizar su alineación con la gestión de la configuración y la administración financiera.
Gestionar Activos Críticos
• Identificar los activos que son críticos en la provisión de capacidad de servicio y dar los pasos para maximizar su fiabilidad y disponibilidad para apoyar las necesidades del negocio.
Gestionar el ciclo de vida
de los activos
• Gestionar los activos desde su adquisición hasta su eliminación para asegurar que se utilizan tan eficaz y eficientemente como sea posible y son contabilizados y protegidos físicamente.
17 Deloitte Advisory, S.L., todos los derechos reservados
Marcos de Referencia: COBIT5®
Optimizar el coste de los
activos
• Revisar periódicamente la base global de activos para identificar maneras de optimizar los costes y mantener el alineamiento con las necesidades del negocio.
Administrar Licencias
• Administrar las licencias de software de forma que se mantenga el número óptimo de licencias para soportar los requerimientos de negocio y el número de licencias en propiedad sea suficiente para cubrir el software instalado y en uso.
El proceso BAI09, Prácticas de gestión:
18 Deloitte Advisory, S.L., todos los derechos reservados
Marcos de Referencia: ISO/IEC 19770-1:2012
19 Deloitte Advisory, S.L., todos los derechos reservados
Marcos de Referencia
Estructura ITAM/SAM
ISO 19770
COBIT5
ITIL SAM
EJEMPLO:
Marco de
Referencia ITAM
de DELOITTE
20 Deloitte Advisory, S.L., todos los derechos reservados
1. Introducción
2. Riesgos
3. Marcos de control
4.Algunas
sugerencias 5. Resumen
2
0
21 Deloitte Advisory, S.L., todos los derechos reservados
SAM
Estrategia
Procesos
Personas Información
Tecnología
Un ejemplo: SAM. Elementos a considerar
22 Deloitte Advisory, S.L., todos los derechos reservados
Un ejemplo: SAM. Cuestiones o elementos a valorar
¿Existe alguna política definida para la gestión de activos de software?
¿Pueden apoyar los activos nuevas oportunidades estratégicas?
¿Están reflejados con exactitud los activos de software en los libros financieros?
¿Se gestiona de forma uniforme el software y los contratos en toda la compañía?
SAM
Estrategia
Procesos
Personas Información
Tecnología
23 Deloitte Advisory, S.L., todos los derechos reservados
Un ejemplo: SAM. Cuestiones o elementos a valorar
¿Se ha definido e implantado un conjunto formal de procesos SAM?
¿Se llevan a cabo actividades corporativas de conciliación de licencias para todo el software de terceros instalado?
¿Se llevan a cabo revisiones periódicas de usuarios para identificar usuarios bloqueados o dados de baja, orientadas a optimizar los contratos?
¿Se gestiona adecuadamente el retiro de software?
¿Existe un canal claramente establecido de comunicación con los proveedores?
SAM
Estrategia
Procesos
Personas Información
Tecnología
24 Deloitte Advisory, S.L., todos los derechos reservados
Un ejemplo: SAM. Cuestiones o elementos a valorar
¿Se han definido responsabilidades a nivel corporativo para coordinar la gestión del software de terceros?
¿Se dispone de personal con conocimiento técnico y de métodos de licenciamiento para cada producto desplegado?
¿se involucra este personal en revisiones periódicas para asegurar que se cumplen con los términos y condiciones de uso y despliegue de software de terceros?
¿Participa este personal de forma activa en los procesos de negociación de contratos de software?
SAM
Estrategia
Procesos
Personas Información
Tecnología
25 Deloitte Advisory, S.L., todos los derechos reservados
Un ejemplo: SAM. Cuestiones o elementos a valorar
¿Se dispone de inventarios completos y actualizados de todo el software de terceros instalado en la compañía?
¿Se dispone de información consolidada de todas las licencias de software de terceros adquiridas por la compañía?
¿Se analizan las ventajas / desventajas que determinados cambios en la infraestructura TI o aplicaciones pueden suponer para el modelo de licenciamiento?
¿Se conoce quien debe ser el propietario de licencias incluidas en contratos de servicios con terceros?
¿Es posible identificar software obsoleto o en desuso que permita reducir los costes asociados a su mantenimiento?
SAM
Estrategia
Procesos
Personas Información
Tecnología
26 Deloitte Advisory, S.L., todos los derechos reservados
Un ejemplo: SAM. Cuestiones o elementos a valorar
¿Se dispone de alguna herramienta de inventariado de software instalado en la compañía?
¿Soportan las herramientas la tipología de software más significativa?
¿Permiten las herramientas inventariar los títulos de licencias?
SAM
Estrategia
Procesos
Personas Información
Tecnología
27 Deloitte Advisory, S.L., todos los derechos reservados
1. Introducción
2. Riesgos
3. Marcos de control
4. Algunas sugerencias
5.Resumen
2
7
28 Deloitte Advisory, S.L., todos los derechos reservados
Resumen
Algunas actividades ITAM requieren la involucración de recursos con un excelente conocimiento y experiencia sobre los activos considerados
No es suficiente con una solución tecnológica, se deben contemplar procesos, personas, etc.
Existen marcos de control que permiten guiarnos a la hora de considerar los controles más apropiados
Los riesgos asociados a ITAM tienen suficiente relevancia como para prestarles una especial atención
29 Deloitte Advisory, S.L., todos los derechos reservados
Si desea información adicional, por favor, visite www.deloitte.es
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, (private company limited by guarantee, de acuerdo con la legislación del Reino Unido) y a su red de firmas
miembro, cada una de las cuales es una entidad independiente. En www.deloitte.com/about se ofrece una descripción detallada de la estructura legal de Deloitte
Touche Tohmatsu Limited y sus firmas miembro.
Deloitte presta servicios de auditoría, asesoramiento fiscal y legal, consultoría y asesoramiento en transacciones corporativas a entidades que operan en un
elevado número de sectores de actividad. La firma aporta su experiencia y alto nivel profesional ayudando a sus clientes a alcanzar sus objetivos empresariales en
cualquier lugar del mundo. Para ello cuenta con el apoyo de una red global de firmas miembro presentes en más de 140 países y con aproximadamente 170.000
profesionales que han asumido el compromiso de ser modelo de excelencia.
Esta publicación es para distribución interna y uso exclusivo del personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y las empresas asociadas de
éstas. Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte Global Services Holdings Limited, la Verein Deloitte Touche Tohmatsu, así como
sus firmas miembro y las empresas asociadas de las firmas mencionadas, no se harán responsables de las pérdidas sufridas por cualquier persona que actúe
basándose en esta publicación. © 2013 Deloitte Advisory, S.L.
29
Muchas gracias
Oscar Martín Moraleda