Gestión de Activos de TI (ITAM)

(1)

Gestión de Activos de TI (ITAM)

(2)

Índice

1. Introducción

2. Riesgos

3. Marcos de control

4. Algunas sugerencias

5. Resumen

(3)

Introducción (I)



La Paradoja:

existe la idea de que calidad de la información no es

del todo buena……

SI

49%

NO

51%

¿Piensas que el inventario de activos IT se

encuentra actualizado y es preciso?

(4)

Introducción (I)



….

pero, en términos de software, también existe la certeza de estar

bien licenciado

No Sabe 11% Si, sobre la mayor parte 71% Si, en todo 9% No 9%

¿Su empresa se encuentra

correctamente licenciada?

(5)

Introducción (II)



Algunos datos

²Fuente: Gartner/IT Metrics: IT Spending and Staffing Report, 2013

 Los gastos en Software y Hardware suponen de media un 39%² del presupuesto

de IT y el presupuesto de IT cada vez tiene mayor peso en la organización (en EMEA 3,6%² sobre ingresos totales):

(6)

Introducción (II)



Algunos datos

 A la importancia de estos activos respecto al presupuesto, se le une también la creciente dificultad para su gestión, principalmente debido a:

 Multitud de productos software y proveedores

 Gestión descentralizada de las compras e instalaciones

 Conocimiento parcial del licenciamiento de los productos

(7)

Introducción (II)



Algunos datos

¹Fuente: Forrester/The State And Direction Of Software Asset Management: 2012 To 2013

 Mayor actividad por parte de los proveedores de software para asegurar el correcto cumplimiento de sus términos de licenciamiento (en el año 2012 un 68%¹ de las empresas consultadas declararon haber sufrido al menos una revisión ):

(8)

1. Introducción

2.

Riesgos

3. Marcos de control

4. Algunas sugerencias

(9)

Riesgos (I)



Una gestión inadecuada de los activos de TI pueden

suponer una serie de riesgos que no solo afectan al

área de TI.

Riesgos

ITAM

Gobierno de TI Financiero Cumplimie nto Seguridad

(10)



Ejemplos. Gobierno de TI:



Descontrol sobre las adquisiciones realizadas



Toma de decisiones sin información precisa e íntegra



Activos TI obsoletos o no permitidos



Planes de continuidad o contingencia inadecuadamente

dimensionados

Riesgos (II)

Riesgos ITAM Gobierno de TI Financiero Cumplimien to Seguridad

(11)



Ejemplos. Riesgo Financiero:



Gastos no alineados con las necesidades reales de la

organización.



Riesgo de infra-utilización de activos: El desconocimiento

puede llevar a pagar sobre-costes y a no sacar rendimiento

de los activos disponibles



Costes no planificados generados por auditorías de licencias

de software

Riesgos (II)

(12)



Ejemplos. Riesgo Cumplimiento:



Incumplimientos legales sobre contratos firmados con

los proveedores de Software. Aplicación de clausulas

de penalización.



Contratos con terceros no dimensionados

adecuadamente



Riesgo reputacional: Una disputa legal puede dañar la

imagen de la empresa

Riesgos (II)

(13)



Ejemplos. Riesgo Seguridad:



Instalación “descontrolada” de software



Dificultad para mantener actualizados parches de

seguridad por desconocimiento del SW desplegado



Pérdida / extravío de activos de IT no inventariados

Riesgos (II)

(14)

1. Introducción

2. Riesgos

3.

Marcos de control

4. Algunas sugerencias

(15)

(16)

Marcos de Referencia: COBIT5®

El proceso BAI09, Prácticas de gestión:

Identificar y

registrar los

activos

actuales

• Mantener un registro actualizado y exacto de

todos los activos de TI necesarios para la

prestación de servicios y garantizar su

alineación con la gestión de la configuración

y la administración financiera.

Gestionar

Activos

Críticos

• Identificar los activos que son críticos en la

provisión de capacidad de servicio y dar los

pasos para maximizar su fiabilidad y

disponibilidad para apoyar las necesidades

del negocio.

Gestionar el

ciclo de vida

de los activos

• Gestionar los activos desde su adquisición

hasta su eliminación para asegurar que se

utilizan tan eficaz y eficientemente como sea

posible y son contabilizados y protegidos

(17)

Marcos de Referencia: COBIT5®

Optimizar el

coste de los

activos

• Revisar periódicamente la base global de

activos para identificar maneras de optimizar

los costes y mantener el alineamiento con

las necesidades del negocio.

Administrar

Licencias

• Administrar las licencias de software de

forma que se mantenga el número óptimo de

licencias para soportar los requerimientos de

negocio y el número de licencias en

propiedad sea suficiente para cubrir el

software instalado y en uso.

(18)

(19)

Marcos de Referencia

Estructura ITAM/SAM

ISO 19770 COBIT5 ITIL SAM

EJEMPLO:

Marco de

Referencia ITAM

de DELOITTE

(20)

1. Introducción

2. Riesgos

3. Marcos de control

4.

Algunas

sugerencias

5. Resumen

(21)

SAM

Estrategia Procesos Personas Información Tecnología

(22)

Un ejemplo: SAM. Cuestiones

o elementos a valorar

¿Existe alguna política definida para la gestión de activos de software?

¿Pueden apoyar los activos nuevas oportunidades estratégicas? ¿Están reflejados con exactitud los activos de software en los libros financieros?

¿Se gestiona de forma uniforme el software y los contratos en toda la compañía? SAM Estrategia Procesos Personas Información Tecnología

(23)

Un ejemplo: SAM. Cuestiones

o elementos a valorar

¿Se ha definido e implantado un conjunto formal de procesos SAM? ¿Se llevan a cabo actividades corporativas de conciliación de

licencias para todo el software de terceros instalado?

¿Se llevan a cabo revisiones periódicas de usuarios para identificar usuarios bloqueados o dados de baja, orientadas a optimizar los contratos?

¿Se gestiona adecuadamente el retiro de software?

¿Existe un canal claramente establecido de comunicación con los proveedores? SAM Estrategia Procesos Personas Información Tecnología

(24)

Un ejemplo: SAM. Cuestiones

o elementos a valorar

¿Se han definido responsabilidades a nivel corporativo para coordinar la gestión del software de terceros?

¿Se dispone de personal con conocimiento técnico y de métodos de licenciamiento para cada producto desplegado?

¿se involucra este personal en revisiones periódicas para asegurar que se cumplen con los términos y condiciones de uso y despliegue de software de terceros?

¿Participa este personal de forma activa en los procesos de negociación de contratos de software?

SAM Estrategia Procesos Personas Información Tecnología

(25)

Un ejemplo: SAM. Cuestiones

o elementos a valorar

¿Se dispone de inventarios completos y actualizados de todo el software de terceros instalado en la compañía?

¿Se dispone de información consolidada de todas las licencias de software de terceros adquiridas por la compañía?

¿Se analizan las ventajas / desventajas que determinados cambios en la infraestructura TI o aplicaciones pueden suponer para el

modelo de licenciamiento?

¿Se conoce quien debe ser el propietario de licencias incluidas en contratos de servicios con terceros?

¿Es posible identificar software obsoleto o en desuso que permita reducir los costes asociados a su mantenimiento?

(26)

Un ejemplo: SAM. Cuestiones

o elementos a valorar

¿Se dispone de alguna herramienta de inventariado de software instalado en la compañía?

¿Soportan las herramientas la tipología de software más significativa?

¿Permiten las herramientas inventariar los títulos de licencias?

(27)

1. Introducción

2. Riesgos

3. Marcos de control

4. Algunas sugerencias

(28)

Resumen

Algunas actividades ITAM requieren la involucración de recursos con un

excelente conocimiento y experiencia sobre los activos considerados

No es suficiente con una solución tecnológica, se deben contemplar

procesos, personas, etc.

Existen marcos de control que permiten guiarnos a la hora de

considerar los controles más apropiados

Los riesgos asociados a ITAM tienen suficiente relevancia como para

prestarles una especial atención

(29)

Si desea información adicional, por favor, visite www.deloitte.es

Deloitte se refiere a Deloitte Touche Tohmatsu Limited, (private company limited by guarantee, de acuerdo con la legislación del Reino Unido) y a su red de firmas miembro, cada una de las cuales es una entidad independiente. En www.deloitte.com/about se ofrece una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.

Deloitte presta servicios de auditoría, asesoramiento fiscal y legal, consultoría y asesoramiento en transacciones corporativas a entidades que operan en un elevado número de sectores de actividad. La firma aporta su experiencia y alto nivel profesional ayudando a sus clientes a alcanzar sus objetivos empresariales en cualquier lugar del mundo. Para ello cuenta con el apoyo de una red global de firmas miembro presentes en más de 140 países y con aproximadamente 170.000 profesionales que han asumido el compromiso de ser modelo de excelencia.

Esta publicación es para distribución interna y uso exclusivo del personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y las empresas asociadas de éstas. Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte Global Services Holdings Limited, la Verein Deloitte Touche Tohmatsu, así como sus firmas miembro y las empresas asociadas de las firmas mencionadas, no se harán responsables de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación.