Gestión de Activos de TI (ITAM)
Índice
1.
Introducción
2.
Riesgos
3.
Marcos de control
4.
Algunas sugerencias
5.
Resumen
Introducción (I)
La Paradoja:
existe la idea de que calidad de la información no es
del todo buena……
SI
49%
NO
51%
¿Piensas que el inventario de activos IT se
encuentra actualizado y es preciso?
Introducción (I)
….
pero, en términos de software, también existe la certeza de estar
bien licenciado
No Sabe 11% Si, sobre la mayor parte 71% Si, en todo 9% No 9%¿Su empresa se encuentra
correctamente licenciada?
Introducción (II)
Algunos datos
²Fuente: Gartner/IT Metrics: IT Spending and Staffing Report, 2013
Los gastos en Software y Hardware suponen de media un 39%² del presupuesto
de IT y el presupuesto de IT cada vez tiene mayor peso en la organización (en EMEA 3,6%² sobre ingresos totales):
Introducción (II)
Algunos datos
A la importancia de estos activos respecto al presupuesto, se le une también la creciente dificultad para su gestión, principalmente debido a:
Multitud de productos software y proveedores
Gestión descentralizada de las compras e instalaciones
Conocimiento parcial del licenciamiento de los productos
Introducción (II)
Algunos datos
¹Fuente: Forrester/The State And Direction Of Software Asset Management: 2012 To 2013
Mayor actividad por parte de los proveedores de software para asegurar el correcto cumplimiento de sus términos de licenciamiento (en el año 2012 un 68%¹ de las empresas consultadas declararon haber sufrido al menos una revisión ):
1.
Introducción
2.
Riesgos
3.
Marcos de control
4.
Algunas sugerencias
Riesgos (I)
Una gestión inadecuada de los activos de TI pueden
suponer una serie de riesgos que no solo afectan al
área de TI.
Riesgos
ITAM
Gobierno de TI Financiero Cumplimie nto Seguridad
Ejemplos. Gobierno de TI:
Descontrol sobre las adquisiciones realizadas
Toma de decisiones sin información precisa e íntegra
Activos TI obsoletos o no permitidos
Planes de continuidad o contingencia inadecuadamente
dimensionados
Riesgos (II)
Riesgos ITAM Gobierno de TI Financiero Cumplimien to Seguridad
Ejemplos. Riesgo Financiero:
Gastos no alineados con las necesidades reales de la
organización.
Riesgo de infra-utilización de activos: El desconocimiento
puede llevar a pagar sobre-costes y a no sacar rendimiento
de los activos disponibles
Costes no planificados generados por auditorías de licencias
de software
Riesgos (II)
Riesgos ITAM Gobierno de TI Financiero Cumplimien to Seguridad
Ejemplos. Riesgo Cumplimiento:
Incumplimientos legales sobre contratos firmados con
los proveedores de Software. Aplicación de clausulas
de penalización.
Contratos con terceros no dimensionados
adecuadamente
Riesgo reputacional: Una disputa legal puede dañar la
imagen de la empresa
Riesgos (II)
Riesgos ITAM Gobierno de TI Financiero Cumplimien to Seguridad
Ejemplos. Riesgo Seguridad:
Instalación “descontrolada” de software
Dificultad para mantener actualizados parches de
seguridad por desconocimiento del SW desplegado
Pérdida / extravío de activos de IT no inventariados
Riesgos (II)
Riesgos ITAM Gobierno de TI Financiero Cumplimien to Seguridad1.
Introducción
2.
Riesgos
3.
Marcos de control
4.
Algunas sugerencias
Marcos de Referencia: COBIT5®
El proceso BAI09, Prácticas de gestión:
Identificar y
registrar los
activos
actuales
• Mantener un registro actualizado y exacto de
todos los activos de TI necesarios para la
prestación de servicios y garantizar su
alineación con la gestión de la configuración
y la administración financiera.
Gestionar
Activos
Críticos
• Identificar los activos que son críticos en la
provisión de capacidad de servicio y dar los
pasos para maximizar su fiabilidad y
disponibilidad para apoyar las necesidades
del negocio.
Gestionar el
ciclo de vida
de los activos
• Gestionar los activos desde su adquisición
hasta su eliminación para asegurar que se
utilizan tan eficaz y eficientemente como sea
posible y son contabilizados y protegidos
Marcos de Referencia: COBIT5®
Optimizar el
coste de los
activos
• Revisar periódicamente la base global de
activos para identificar maneras de optimizar
los costes y mantener el alineamiento con
las necesidades del negocio.
Administrar
Licencias
• Administrar las licencias de software de
forma que se mantenga el número óptimo de
licencias para soportar los requerimientos de
negocio y el número de licencias en
propiedad sea suficiente para cubrir el
software instalado y en uso.
Marcos de Referencia
Estructura ITAM/SAM
ISO 19770 COBIT5 ITIL SAMEJEMPLO:
Marco de
Referencia ITAM
de DELOITTE
1.
Introducción
2.
Riesgos
3.
Marcos de control
4.
Algunas
sugerencias
5.
Resumen
SAM
Estrategia Procesos Personas Información TecnologíaUn ejemplo: SAM. Cuestiones
o elementos a valorar
¿Existe alguna política definida para la gestión de activos de software?
¿Pueden apoyar los activos nuevas oportunidades estratégicas? ¿Están reflejados con exactitud los activos de software en los libros financieros?
¿Se gestiona de forma uniforme el software y los contratos en toda la compañía? SAM Estrategia Procesos Personas Información Tecnología
Un ejemplo: SAM. Cuestiones
o elementos a valorar
¿Se ha definido e implantado un conjunto formal de procesos SAM? ¿Se llevan a cabo actividades corporativas de conciliación de
licencias para todo el software de terceros instalado?
¿Se llevan a cabo revisiones periódicas de usuarios para identificar usuarios bloqueados o dados de baja, orientadas a optimizar los contratos?
¿Se gestiona adecuadamente el retiro de software?
¿Existe un canal claramente establecido de comunicación con los proveedores? SAM Estrategia Procesos Personas Información Tecnología
Un ejemplo: SAM. Cuestiones
o elementos a valorar
¿Se han definido responsabilidades a nivel corporativo para coordinar la gestión del software de terceros?
¿Se dispone de personal con conocimiento técnico y de métodos de licenciamiento para cada producto desplegado?
¿se involucra este personal en revisiones periódicas para asegurar que se cumplen con los términos y condiciones de uso y despliegue de software de terceros?
¿Participa este personal de forma activa en los procesos de negociación de contratos de software?
SAM Estrategia Procesos Personas Información Tecnología
Un ejemplo: SAM. Cuestiones
o elementos a valorar
¿Se dispone de inventarios completos y actualizados de todo el software de terceros instalado en la compañía?
¿Se dispone de información consolidada de todas las licencias de software de terceros adquiridas por la compañía?
¿Se analizan las ventajas / desventajas que determinados cambios en la infraestructura TI o aplicaciones pueden suponer para el
modelo de licenciamiento?
¿Se conoce quien debe ser el propietario de licencias incluidas en contratos de servicios con terceros?
¿Es posible identificar software obsoleto o en desuso que permita reducir los costes asociados a su mantenimiento?
SAM Estrategia Procesos Personas Información Tecnología
Un ejemplo: SAM. Cuestiones
o elementos a valorar
¿Se dispone de alguna herramienta de inventariado de software instalado en la compañía?
¿Soportan las herramientas la tipología de software más significativa?
¿Permiten las herramientas inventariar los títulos de licencias?
SAM Estrategia Procesos Personas Información Tecnología
1.
Introducción
2.
Riesgos
3.
Marcos de control
4.
Algunas sugerencias
Resumen
Algunas actividades ITAM requieren la involucración de recursos con un
excelente conocimiento y experiencia sobre los activos considerados
No es suficiente con una solución tecnológica, se deben contemplar
procesos, personas, etc.
Existen marcos de control que permiten guiarnos a la hora de
considerar los controles más apropiados
Los riesgos asociados a ITAM tienen suficiente relevancia como para
prestarles una especial atención
Si desea información adicional, por favor, visite www.deloitte.es
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, (private company limited by guarantee, de acuerdo con la legislación del Reino Unido) y a su red de firmas miembro, cada una de las cuales es una entidad independiente. En www.deloitte.com/about se ofrece una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.
Deloitte presta servicios de auditoría, asesoramiento fiscal y legal, consultoría y asesoramiento en transacciones corporativas a entidades que operan en un elevado número de sectores de actividad. La firma aporta su experiencia y alto nivel profesional ayudando a sus clientes a alcanzar sus objetivos empresariales en cualquier lugar del mundo. Para ello cuenta con el apoyo de una red global de firmas miembro presentes en más de 140 países y con aproximadamente 170.000 profesionales que han asumido el compromiso de ser modelo de excelencia.
Esta publicación es para distribución interna y uso exclusivo del personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y las empresas asociadas de éstas. Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte Global Services Holdings Limited, la Verein Deloitte Touche Tohmatsu, así como sus firmas miembro y las empresas asociadas de las firmas mencionadas, no se harán responsables de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación.
© 2013 Deloitte Advisory, S.L.