Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección...
Transcript of Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección...
![Page 1: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/1.jpg)
Control deActivos de
Septiembre 2008Subdirección Corporativa de Sistemas
Activos deSoftware
![Page 2: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/2.jpg)
1. Control del Activo de Software.a. Gestión Contractualb. Gestión Físicac. Gestión Financiera
AgendaAgenda
Septiembre 2008Subdirección Corporativa de Sistemas
2. Preparándose para la Auditoría Externa3. Tips Contractuales4. Conclusiones
![Page 3: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/3.jpg)
Control de Activos de
Septiembre 2008Subdirección Corporativa de Sistemas
Activos de Software
![Page 4: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/4.jpg)
• Administración del Activo de software es un subconjunto de laadministración del Activos Informáticos. Su valor es alcanzado no solopor evitar costos adicionales, sino buscar inversiones estratégicas desoftware que permitan a las organización lograr ser más efectivas ycompetitivas.
IntroducciónIntroducción
DecisiónReducciónCostos
Septiembre 2008Subdirección Corporativa de Sistemas
Que tenemos?Que
necesitamos?Que vamos
hacer?
DecisiónEstratégica
- Contractuales
-Físicos
-Financieros
- Req. Negocio
-Planes IT
-IT Actual….Cumplimiento
Costos
Eficiencia,Competitividad
![Page 5: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/5.jpg)
• Aspectos Contractuales• Rastrear los contratos de software / certificados / facturas• Formar un catálogo de contratos / certificados / facturas.• Confirmar derechos con el proveedor de software (licencias
cambian de nombre, portales del proveedor, etc.)• Aspectos Físicos.
• Rastrear el inventario físico del software.• Que software está instalado en que máquinas?
Qué tenemos?Qué tenemos?
Septiembre 2008Subdirección Corporativa de Sistemas
• Que software está instalado en que máquinas?• Qué software instalado se está usando?
• Cotejar software instalado físicamente vs el contratado.• Aspectos Financieros.
• Verificar lo pagado o por pagar a los proveedores.• Verificar las condiciones actuales del mercado.
Que tenemos?Que
necesitamos?Que vamos
hacer?
![Page 6: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/6.jpg)
Qué Necesitamos?Qué Necesitamos?• Versiones y Releases.
• Cual es la versión y release actual ofrecido por el proveedor?• Como se compara esa versión y relase con la que tenemos
instalada?• Se necesita comprar un upgrade o está cubierto en el contrato el
poder instalarla?• Prerrequisitos o productos complementarios.
• Muchos productos solo pueden ser instalados si hay otrosproductos instalados. (Ejemplo portales, bases de datos, versionesde sop)
Septiembre 2008Subdirección Corporativa de Sistemas
de sop)• Dirección del Proveedor.
• Descubrir dirección del proveedor para prevenir decisionesequivocadas sobre el producto de software.• El proveedor del producto instalado fue adquirido por otra
compañía.• El software será descontinuado o ya lo está.
Que tenemos?Que
necesitamos?Que vamos
hacer?
![Page 7: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/7.jpg)
Qué Necesitamos?Qué Necesitamos?
• Arquitectura de TI, estándares y dirección del negocio.• Cuales son los planes anuales y estratégicos de TI de la empresa.• Como embona los productos instalados a la luz de estos planes
anuales y estratégicos
• Requerimientos de Acceso.• Con los datos recolectados anteriormente determinar los patrones
Septiembre 2008Subdirección Corporativa de Sistemas
• Con los datos recolectados anteriormente determinar los patronesde uso de tal forma de agrupar a los usuarios por perfiles.
• Estos perfiles se traducirán en los requerimientos de licenciamientode software. (Ej. Office Estándar, Professional).
Que tenemos?Que
necesitamos?Que vamos
hacer?
![Page 8: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/8.jpg)
Qué Vamos hacer?Qué Vamos hacer?
• Redactar la misión, objetivo, políticas asociadas al proceso deadministración de los activos de software.
• Iniciar la negociación de los contratos.• Asegurarse de con todos los datos recolectados eliminar productos
duplicados, poco usados o sin usar.• Documentar las dependencias de los productos.
Septiembre 2008Subdirección Corporativa de Sistemas
• Documentar las dependencias de los productos.• Iniciar los planes de instalaciones / desinstalaciones.• Mantener la documentación en el proceso que permita establecer los
costos de pertenencia reales por el software instalado.
Que tenemos?Que
necesitamos?Que vamos
hacer?
![Page 9: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/9.jpg)
• (Compañía X) toma de manera seria la protección de los derechos depropiedad intelectual.
• (Compañía X) respeta los derechos intelectuales del software y suvalor implícito.
• Como empleado o contratista externo de (Compañía X), eresresponsable de asegurarte que el software que utilizas es legal.
• Si utilizas software pirata, te arriesgas a perder tu empleo o serrequerido en pagar por el software, honorarios jurídicos y cualquiergasto derivado de esta falta.
Qué Vamos hacer?Qué Vamos hacer?
Septiembre 2008Subdirección Corporativa de Sistemas
gasto derivado de esta falta.• Los usuarios no deben elaborar copias o utilizar software a menos que
así lo permita el licenciamiento contratado por (Compañía X). Si unsistema ha sido instalado y configurado por el departamento deSistemas de Información, los usuarios pueden confiar plenamente quetodo el software en dicho sistema cuenta con el licenciamientorequerido y está autorizado. El departamento de Sistemas deInformación removerá todo el software que no esté autorizado.
Políticas /Cumplimientohttp://www.bsa.org/country/Tools%20and%20Resources/For%20Employers.aspx
![Page 10: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/10.jpg)
Preparándosepara la Auditoria
Septiembre 2008Subdirección Corporativa de Sistemas
para la Auditoria Externa
![Page 11: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/11.jpg)
• Gartner reporta que el 60% de las compañías encuestadas han sufridouna auditoría externa durante el 2007.
• Las auditorías de software no son placenteras, normalmente tienen unimpacto significativo en la organización y toman una buena cantidadde tiempo. En el mejor de los casos solo se gasta el tiempo de laspersonas, y en el peor puede traer un quebranto por multas y licenciasadicionales que se necesiten adquirir.
Auditoría Externa de SoftwareAuditoría Externa de Software
Septiembre 2008Subdirección Corporativa de Sistemas
http://www.bsa.org/country/Report%20Piracy.aspx
![Page 12: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/12.jpg)
Auditoría Externa de SoftwareAuditoría Externa de Software
Ejemplo de Demanda Legal
Septiembre 2008Subdirección Corporativa de Sistemas
![Page 13: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/13.jpg)
Auditoría Externa de SoftwareAuditoría Externa de Software
Ejemplo de Orden de Inspección:
Septiembre 2008Subdirección Corporativa de Sistemas
![Page 14: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/14.jpg)
Auditoría Externa de SoftwareAuditoría Externa de Software
Ejemplo de Orden de Inspección:
Septiembre 2008Subdirección Corporativa de Sistemas
![Page 15: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/15.jpg)
Que hacer cuando sucede un evento de Auditoría Externa?
• Contactar al departamento legal y al equipo de respuesta designadopara asegurar que todos estén atentos al desarrollo de losacontecimientos.
• Iniciar la revisión de los contratos relacionados por el administrador deactivos informáticos y el departamento legal.
• Establecer un punto de contacto para todas las discusiones con elproveedor del software o tercer designado para tal fin.
Auditoría Externa de SoftwareAuditoría Externa de Software
Septiembre 2008Subdirección Corporativa de Sistemas
proveedor del software o tercer designado para tal fin.• Desarrollo un equipo de respuesta para establecer procedimientos que
manejen la situación de auditoria externa actual y situaciones futuras.
![Page 16: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/16.jpg)
TipsContractuales
Septiembre 2008Subdirección Corporativa de Sistemas
Contractuales
![Page 17: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/17.jpg)
Relativo a Clausulas Generales del Contrato:
• Incluir en las cláusulas que el licenciamiento abarque lasorganizaciones padre, subsidiarias, afiliadas, socios de negocio,clientes, consultores, contratistas, outsourcers, etc. Igualmente elpermiso de utilizarlas y moverlas libremente en todo el mundo.
• Incluir cláusula que permitan transferir el derecho en caso de fusionescon otra organización o si la organización es adquirida por otracompañía. Esto derechos de transferencia deben de ser válidos para
TipsTips ContractualesContractuales
Septiembre 2008Subdirección Corporativa de Sistemas
compañía. Esto derechos de transferencia deben de ser válidos paracompañías independientes que resulten de la fusión o compra entrecompañías.
• Definir claramente el derecho de uso de la licencia, y como seráncontados en el caso de una auditoría. (Ej. Nombrados, concurrentes,por ventas, etc…)
• Incluir el derecho de tener licencias adicionales sin costo paradesarrollo, entrenamiento, pruebas y Recuperación de Desastres.
![Page 18: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/18.jpg)
Relativo a Clausulas Generales del Contrato:
• Evitar en lo posible que la garantía sea definida vagamente (Ej. elsoftware deberá trabajar sustancialmente de acuerdo a ladocumentación oficial?), incluye en lo posible una cláusula deaceptación por el cliente.
• En el caso de violaciones, por el proveedor del software, a la propiedadintelectual, patentes, derechos de autor, etc. buscar que la protecciónal cliente no tengan límite en su cobertura.
TipsTips ContractualesContractuales
Septiembre 2008Subdirección Corporativa de Sistemas
al cliente no tengan límite en su cobertura.• Cuando se refiera al mantenimiento normalmente los proveedores
buscan que estás clausulas estén basadas en su contrato de estándar,busca incluir:• El derecho de uso a nuevas versiones• El proveedor no puede cancelar el soporte sin que tenga un tiempo
adecuado X para encontrar una solución alterna.• Contar con niveles de servicio para el soporte proporcionado.• Terminar el soporte en el momento que decida el cliente.
![Page 19: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/19.jpg)
Relativo a Auditorías de Software
• Asegurarse que exista un periodo razonable en la notificación de unaauditoría, y contar con el derecho de retrasarla de buena fe pormotivos de negocio.
• Incluir el derecho de aprobar quien realiza la auditoría.• Agregar el derecho de aprobar por adelantado como va ser realizada la
auditoría y que constituye una prueba de cumplimiento.
TipsTips ContractualesContractuales
Septiembre 2008Subdirección Corporativa de Sistemas
• Explicar como se pagará por la auditoría. (En el caso de cumplimientoo no cumplimiento)
• Cuanto tiempo tiene el cliente para revisar el resultado de la auditoría.Ej. Tener 90 días para estar de acuerdo con el resultado de laauditoría.
• Incluir un estatutos que sucede si hay una auditoría y se detectacumplimiento. Ej. Se proporciona entrenamiento gratis o servicios deconsultoría gratis, etc.
![Page 20: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/20.jpg)
Conclusiones
Septiembre 2008Subdirección Corporativa de Sistemas
Conclusiones
![Page 21: Control de Activos de Software 2008 09 30 - isaca.org · para la Auditoria Subdirección Corporativa de Sistemas Septiembre2008 Externa ... Auditoría Externa de Software Ejemplo](https://reader031.fdocuments.mx/reader031/viewer/2022011807/5c39e90f93f3c3276555dda5/html5/thumbnails/21.jpg)
• Si vas a iniciar un proyecto de control de activos de software, defineuna meta alcanzable que puedas lograr.
• Adapta y construye sobre políticas y procedimientos existentes y sobreestos desarrolla una nueva estructura.
• Herramientas de descubrimiento de inventario son importantes, perono nos sirven para descubrir datos importantes, como contratos,facturas, certificados, etc.
ConclusionesConclusiones
Septiembre 2008Subdirección Corporativa de Sistemas
facturas, certificados, etc.• Identifica oportunidades inmediatas de mejorar las condiciones
contractuales y su costo (Ej. renovación de contratos, adquisición desoftware, etc.).