Gestión de Activos de TI (ITAM) Mitigando el Riesgo 1 Deloitte Advisory, S.L., todos los derechos reservados
Índice 1. Introducción 2. Riesgos 3. Marcos de control 4. Algunas sugerencias 5. Resumen 2 Deloitte Advisory, S.L., todos los derechos reservados 2
Introducción (I) La Paradoja: existe la idea de que calidad de la información no es del todo buena Piensas que el inventario de activos IT se encuentra actualizado y es preciso? NO 51% SI 49% 3 Deloitte Advisory, S.L., todos los derechos reservados
Introducción (I). pero, en términos de software, también existe la certeza de estar bien licenciado Su empresa se encuentra correctamente licenciada? Si, sobre la mayor parte 71% No Sabe 11% No 9% Si, en todo 9% 4 Deloitte Advisory, S.L., todos los derechos reservados
Introducción (II) Algunos datos Los gastos en Software y Hardware suponen de media un 39%² del presupuesto de IT y el presupuesto de IT cada vez tiene mayor peso en la organización (en EMEA 3,6%² sobre ingresos totales): ²Fuente: Gartner/IT Metrics: IT Spending and Staffing Report, 2013 5 Deloitte Advisory, S.L., todos los derechos reservados
Introducción (II) Algunos datos A la importancia de estos activos respecto al presupuesto, se le une también la creciente dificultad para su gestión, principalmente debido a: Multitud de productos software y proveedores Gestión descentralizada de las compras e instalaciones Conocimiento parcial del licenciamiento de los productos Instalaciones no siempre controladas / supervisadas 2 The Software Vendors That Are Auditing Now and What to Do About It, Gartner January 2012 6 Deloitte Advisory, S.L., todos los derechos reservados
Introducción (II) Algunos datos Mayor actividad por parte de los proveedores de software para asegurar el correcto cumplimiento de sus términos de licenciamiento (en el año 2012 un 68%¹ de las empresas consultadas declararon haber sufrido al menos una revisión ): ¹Fuente: Forrester/The State And Direction Of Software Asset Management: 2012 To 2013 7 Deloitte Advisory, S.L., todos los derechos reservados
1. Introducción 2.Riesgos 3. Marcos de control 4. Algunas sugerencias 5. Resumen 8 Deloitte Advisory, S.L., todos los derechos reservados 8
Riesgos (I) Una gestión inadecuada de los activos de TI pueden suponer una serie de riesgos que no solo afectan al área de TI. Gobierno de TI Seguridad Riesgos ITAM Financiero Cumplimie nto 9 Deloitte Advisory, S.L., todos los derechos reservados
Riesgos ITAM Riesgos (II) Gobierno de TI Ejemplos. Gobierno de TI: Cumplimien to Seguridad Financiero Descontrol sobre las adquisiciones realizadas Toma de decisiones sin información precisa e íntegra Activos TI obsoletos o no permitidos Planes de continuidad o contingencia inadecuadamente dimensionados 10 Deloitte Advisory, S.L., todos los derechos reservados
Riesgos ITAM Riesgos (II) Gobierno de TI Ejemplos. Riesgo Financiero: Cumplimien to Seguridad Financiero Gastos no alineados con las necesidades reales de la organización. Riesgo de infra-utilización de activos: El desconocimiento puede llevar a pagar sobre-costes y a no sacar rendimiento de los activos disponibles Costes no planificados generados por auditorías de licencias de software 11 Deloitte Advisory, S.L., todos los derechos reservados
Riesgos ITAM Riesgos (II) Gobierno de TI Ejemplos. Riesgo Cumplimiento: Cumplimien to Seguridad Financiero Incumplimientos legales sobre contratos firmados con los proveedores de Software. Aplicación de clausulas de penalización. Contratos con terceros no dimensionados adecuadamente Riesgo reputacional: Una disputa legal puede dañar la imagen de la empresa 12 Deloitte Advisory, S.L., todos los derechos reservados
Riesgos ITAM Riesgos (II) Gobierno de TI Ejemplos. Riesgo Seguridad: Cumplimien to Seguridad Financiero Instalación descontrolada de software Dificultad para mantener actualizados parches de seguridad por desconocimiento del SW desplegado Pérdida / extravío de activos de IT no inventariados 13 Deloitte Advisory, S.L., todos los derechos reservados
1. Introducción 2. Riesgos 3.Marcos de control 4. Algunas sugerencias 5. Resumen 14 Deloitte Advisory, S.L., todos los derechos reservados 1
Marcos de Referencia en la industria: COBIT5 15 Deloitte Advisory, S.L., todos los derechos reservados
Marcos de Referencia: COBIT5 El proceso BAI09, Prácticas de gestión: Identificar y registrar los activos actuales Mantener un registro actualizado y exacto de todos los activos de TI necesarios para la prestación de servicios y garantizar su alineación con la gestión de la configuración y la administración financiera. Gestionar Activos Críticos Gestionar el ciclo de vida de los activos Identificar los activos que son críticos en la provisión de capacidad de servicio y dar los pasos para maximizar su fiabilidad y disponibilidad para apoyar las necesidades del negocio. Gestionar los activos desde su adquisición hasta su eliminación para asegurar que se utilizan tan eficaz y eficientemente como sea posible y son contabilizados y protegidos físicamente. 16 Deloitte Advisory, S.L., todos los derechos reservados
Marcos de Referencia: COBIT5 El proceso BAI09, Prácticas de gestión: Optimizar el coste de los activos Revisar periódicamente la base global de activos para identificar maneras de optimizar los costes y mantener el alineamiento con las necesidades del negocio. Administrar Licencias Administrar las licencias de software de forma que se mantenga el número óptimo de licencias para soportar los requerimientos de negocio y el número de licencias en propiedad sea suficiente para cubrir el software instalado y en uso. 17 Deloitte Advisory, S.L., todos los derechos reservados
Marcos de Referencia: ISO/IEC 19770-1:2012 18 Deloitte Advisory, S.L., todos los derechos reservados
Marcos de Referencia COBIT5 ITIL SAM ISO 19770 Estructura ITAM/SAM EJEMPLO: Marco de Referencia ITAM de DELOITTE 19 Deloitte Advisory, S.L., todos los derechos reservados
1. Introducción 2. Riesgos 3. Marcos de control 4.Algunas sugerencias 5. Resumen 20 Deloitte Advisory, S.L., todos los derechos reservados 2
Un ejemplo: SAM. Elementos a considerar Estrategia Tecnología SAM Procesos Información Personas 21 Deloitte Advisory, S.L., todos los derechos reservados
Un ejemplo: SAM. Cuestiones o elementos a valorar SAM Estrategia Tecnología Procesos Información Personas Existe alguna política definida para la gestión de activos de software? Pueden apoyar los activos nuevas oportunidades estratégicas? Están reflejados con exactitud los activos de software en los libros financieros? Se gestiona de forma uniforme el software y los contratos en toda la compañía? 22 Deloitte Advisory, S.L., todos los derechos reservados
Un ejemplo: SAM. Cuestiones o elementos a valorar SAM Estrategia Tecnología Procesos Información Personas Se ha definido e implantado un conjunto formal de procesos SAM? Se llevan a cabo actividades corporativas de conciliación de licencias para todo el software de terceros instalado? Se llevan a cabo revisiones periódicas de usuarios para identificar usuarios bloqueados o dados de baja, orientadas a optimizar los contratos? Se gestiona adecuadamente el retiro de software? Existe un canal claramente establecido de comunicación con los proveedores? 23 Deloitte Advisory, S.L., todos los derechos reservados
Un ejemplo: SAM. Cuestiones o elementos a valorar SAM Estrategia Tecnología Procesos Información Personas Se han definido responsabilidades a nivel corporativo para coordinar la gestión del software de terceros? Se dispone de personal con conocimiento técnico y de métodos de licenciamiento para cada producto desplegado? se involucra este personal en revisiones periódicas para asegurar que se cumplen con los términos y condiciones de uso y despliegue de software de terceros? Participa este personal de forma activa en los procesos de negociación de contratos de software? 24 Deloitte Advisory, S.L., todos los derechos reservados
Un ejemplo: SAM. Cuestiones o elementos a valorar SAM Estrategia Tecnología Procesos Información Personas Se dispone de inventarios completos y actualizados de todo el software de terceros instalado en la compañía? Se dispone de información consolidada de todas las licencias de software de terceros adquiridas por la compañía? Se analizan las ventajas / desventajas que determinados cambios en la infraestructura TI o aplicaciones pueden suponer para el modelo de licenciamiento? Se conoce quien debe ser el propietario de licencias incluidas en contratos de servicios con terceros? Es posible identificar software obsoleto o en desuso que permita reducir los costes asociados a su mantenimiento? 25 Deloitte Advisory, S.L., todos los derechos reservados
Un ejemplo: SAM. Cuestiones o elementos a valorar SAM Estrategia Tecnología Procesos Información Personas Se dispone de alguna herramienta de inventariado de software instalado en la compañía? Soportan las herramientas la tipología de software más significativa? Permiten las herramientas inventariar los títulos de licencias? 26 Deloitte Advisory, S.L., todos los derechos reservados
1. Introducción 2. Riesgos 3. Marcos de control 4. Algunas sugerencias 5.Resumen 27 Deloitte Advisory, S.L., todos los derechos reservados 2
Resumen Los riesgos asociados a ITAM tienen suficiente relevancia como para prestarles una especial atención Existen marcos de control que permiten guiarnos a la hora de considerar los controles más apropiados No es suficiente con una solución tecnológica, se deben contemplar procesos, personas, etc. Algunas actividades ITAM requieren la involucración de recursos con un excelente conocimiento y experiencia sobre los activos considerados 28 Deloitte Advisory, S.L., todos los derechos reservados
Muchas gracias Oscar Martín Moraleda omartinmoraleda@deloitte.es Si desea información adicional, por favor, visite www.deloitte.es Deloitte se refiere a Deloitte Touche Tohmatsu Limited, (private company limited by guarantee, de acuerdo con la legislación del Reino Unido) y a su red de firmas miembro, cada una de las cuales es una entidad independiente. En www.deloitte.com/about se ofrece una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro. Deloitte presta servicios de auditoría, asesoramiento fiscal y legal, consultoría y asesoramiento en transacciones corporativas a entidades que operan en un elevado número de sectores de actividad. La firma aporta su experiencia y alto nivel profesional ayudando a sus clientes a alcanzar sus objetivos empresariales en cualquier lugar del mundo. Para ello cuenta con el apoyo de una red global de firmas miembro presentes en más de 140 países y con aproximadamente 170.000 profesionales que han asumido el compromiso de ser modelo de excelencia. Esta publicación es para distribución interna y uso exclusivo del personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y las empresas asociadas de éstas. Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte Global Services Holdings Limited, la Verein Deloitte Touche Tohmatsu, así como sus firmas miembro y las empresas asociadas de las firmas mencionadas, no se harán responsables de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación. 2013 Deloitte Advisory, S.L. 29 Deloitte 29 Advisory, S.L., todos los derechos reservados