gestión de activos de ti (itam) actividades itam requieren la involucración de recursos con un...

1 Deloitte Advisory, S.L., todos los derechos reservados

Gestión de Activos de TI (ITAM) Mitigando el Riesgo

http://portal.es.deloitte.com/C14/C6/GaleriaImagenes/Imágenes primarias/PRI_000795.jpg

http://portal.es.deloitte.com/C14/C6/GaleriaImagenes/Imágenes primarias/PRI_000794.jpg


Índice

1. Introducción

2. Riesgos

3. Marcos de control

4. Algunas sugerencias

5. Resumen

2


Introducción (I)

La Paradoja: existe la idea de que calidad de la información no es

del todo buena……

SI 49%

NO 51%

¿Piensas que el inventario de activos IT se encuentra actualizado y es preciso?


Introducción (I)

…. pero, en términos de software, también existe la certeza de estar

bien licenciado

No Sabe 11%

Si, sobre la mayor parte

71%

Si, en todo 9%

No 9%

¿Su empresa se encuentra correctamente licenciada?


Introducción (II)

Algunos datos

²Fuente: Gartner/IT Metrics: IT Spending and Staffing Report, 2013

Los gastos en Software y Hardware suponen de media un 39%² del presupuesto

de IT y el presupuesto de IT cada vez tiene mayor peso en la organización (en

EMEA 3,6%² sobre ingresos totales):


Introducción (II)

Algunos datos

A la importancia de estos activos respecto al presupuesto, se le une también la

creciente dificultad para su gestión, principalmente debido a:

Multitud de productos software y proveedores

Gestión descentralizada de las compras e instalaciones

Conocimiento parcial del licenciamiento de los productos

Instalaciones no siempre controladas / supervisadas

2 The Software Vendors That Are Auditing Now and What to Do About It , Gartner January 2012


Introducción (II)

Algunos datos

¹Fuente: Forrester/The State And Direction Of Software Asset Management: 2012 To 2013

Mayor actividad por parte de los proveedores de software para asegurar el

correcto cumplimiento de sus términos de licenciamiento (en el año 2012

un 68%¹ de las empresas consultadas declararon haber sufrido al menos

una revisión ):


1. Introducción

2.Riesgos 3. Marcos de control


5. Resumen

8


Riesgos (I)

Una gestión inadecuada de los activos de TI pueden

suponer una serie de riesgos que no solo afectan al

área de TI.

Riesgos ITAM

Gobierno

de TI

Financiero

Cumplimie

nto

Seguridad


Ejemplos. Gobierno de TI:

Descontrol sobre las adquisiciones realizadas

Toma de decisiones sin información precisa e íntegra

Activos TI obsoletos o no permitidos

Planes de continuidad o contingencia inadecuadamente

dimensionados

Riesgos (II)

Riesgos ITAM

Gobierno de

TI

Financiero

Cumplimien

to

Seguridad


Ejemplos. Riesgo Financiero:

Gastos no alineados con las necesidades reales de la

organización.

Riesgo de infra-utilización de activos: El desconocimiento

puede llevar a pagar sobre-costes y a no sacar rendimiento

de los activos disponibles

Costes no planificados generados por auditorías de licencias

de software

Riesgos (II)

Riesgos ITAM

Gobierno de

TI

Financiero

Cumplimien

to

Seguridad


Ejemplos. Riesgo Cumplimiento:

Incumplimientos legales sobre contratos firmados con

los proveedores de Software. Aplicación de clausulas

de penalización.

Contratos con terceros no dimensionados

adecuadamente

Riesgo reputacional: Una disputa legal puede dañar la

imagen de la empresa

Riesgos (II)

Riesgos ITAM

Gobierno de

TI

Financiero

Cumplimien

to

Seguridad


Ejemplos. Riesgo Seguridad:

Instalación “descontrolada” de software

Dificultad para mantener actualizados parches de

seguridad por desconocimiento del SW desplegado

Pérdida / extravío de activos de IT no inventariados

Riesgos (II)

Riesgos ITAM

Gobierno de

TI

Financiero

Cumplimien

to

Seguridad


1. Introducción

2. Riesgos

3.Marcos de control 4. Algunas sugerencias

5. Resumen

1

4


Marcos de Referencia en la industria: COBIT5®


Marcos de Referencia: COBIT5®

El proceso BAI09, Prácticas de gestión:

Identificar y registrar los

activos actuales

• Mantener un registro actualizado y exacto de todos los activos de TI necesarios para la prestación de servicios y garantizar su alineación con la gestión de la configuración y la administración financiera.

Gestionar Activos Críticos

• Identificar los activos que son críticos en la provisión de capacidad de servicio y dar los pasos para maximizar su fiabilidad y disponibilidad para apoyar las necesidades del negocio.

Gestionar el ciclo de vida

de los activos

• Gestionar los activos desde su adquisición hasta su eliminación para asegurar que se utilizan tan eficaz y eficientemente como sea posible y son contabilizados y protegidos físicamente.


Marcos de Referencia: COBIT5®

Optimizar el coste de los

activos

• Revisar periódicamente la base global de activos para identificar maneras de optimizar los costes y mantener el alineamiento con las necesidades del negocio.

Administrar Licencias

• Administrar las licencias de software de forma que se mantenga el número óptimo de licencias para soportar los requerimientos de negocio y el número de licencias en propiedad sea suficiente para cubrir el software instalado y en uso.

El proceso BAI09, Prácticas de gestión:


Marcos de Referencia: ISO/IEC 19770-1:2012


Marcos de Referencia

Estructura ITAM/SAM

ISO 19770

COBIT5

ITIL SAM

EJEMPLO:

Marco de

Referencia ITAM

de DELOITTE


1. Introducción

2. Riesgos


4.Algunas

sugerencias 5. Resumen

2

0


SAM

Estrategia

Procesos

Personas Información

Tecnología

Un ejemplo: SAM. Elementos a considerar


Un ejemplo: SAM. Cuestiones o elementos a valorar

¿Existe alguna política definida para la gestión de activos de software?

¿Pueden apoyar los activos nuevas oportunidades estratégicas?

¿Están reflejados con exactitud los activos de software en los libros financieros?

¿Se gestiona de forma uniforme el software y los contratos en toda la compañía?

SAM

Estrategia

Procesos


Tecnología



¿Se ha definido e implantado un conjunto formal de procesos SAM?

¿Se llevan a cabo actividades corporativas de conciliación de licencias para todo el software de terceros instalado?

¿Se llevan a cabo revisiones periódicas de usuarios para identificar usuarios bloqueados o dados de baja, orientadas a optimizar los contratos?

¿Se gestiona adecuadamente el retiro de software?

¿Existe un canal claramente establecido de comunicación con los proveedores?

SAM

Estrategia

Procesos


Tecnología



¿Se han definido responsabilidades a nivel corporativo para coordinar la gestión del software de terceros?

¿Se dispone de personal con conocimiento técnico y de métodos de licenciamiento para cada producto desplegado?

¿se involucra este personal en revisiones periódicas para asegurar que se cumplen con los términos y condiciones de uso y despliegue de software de terceros?

¿Participa este personal de forma activa en los procesos de negociación de contratos de software?

SAM

Estrategia

Procesos


Tecnología



¿Se dispone de inventarios completos y actualizados de todo el software de terceros instalado en la compañía?

¿Se dispone de información consolidada de todas las licencias de software de terceros adquiridas por la compañía?

¿Se analizan las ventajas / desventajas que determinados cambios en la infraestructura TI o aplicaciones pueden suponer para el modelo de licenciamiento?

¿Se conoce quien debe ser el propietario de licencias incluidas en contratos de servicios con terceros?

¿Es posible identificar software obsoleto o en desuso que permita reducir los costes asociados a su mantenimiento?

SAM

Estrategia

Procesos


Tecnología



¿Se dispone de alguna herramienta de inventariado de software instalado en la compañía?

¿Soportan las herramientas la tipología de software más significativa?

¿Permiten las herramientas inventariar los títulos de licencias?

SAM

Estrategia

Procesos


Tecnología


1. Introducción

2. Riesgos



5.Resumen

2

7


Resumen

Algunas actividades ITAM requieren la involucración de recursos con un excelente conocimiento y experiencia sobre los activos considerados

No es suficiente con una solución tecnológica, se deben contemplar procesos, personas, etc.

Existen marcos de control que permiten guiarnos a la hora de considerar los controles más apropiados

Los riesgos asociados a ITAM tienen suficiente relevancia como para prestarles una especial atención


Si desea información adicional, por favor, visite www.deloitte.es

Deloitte se refiere a Deloitte Touche Tohmatsu Limited, (private company limited by guarantee, de acuerdo con la legislación del Reino Unido) y a su red de firmas

miembro, cada una de las cuales es una entidad independiente. En www.deloitte.com/about se ofrece una descripción detallada de la estructura legal de Deloitte

Touche Tohmatsu Limited y sus firmas miembro.

Deloitte presta servicios de auditoría, asesoramiento fiscal y legal, consultoría y asesoramiento en transacciones corporativas a entidades que operan en un

elevado número de sectores de actividad. La firma aporta su experiencia y alto nivel profesional ayudando a sus clientes a alcanzar sus objetivos empresariales en

cualquier lugar del mundo. Para ello cuenta con el apoyo de una red global de firmas miembro presentes en más de 140 países y con aproximadamente 170.000

profesionales que han asumido el compromiso de ser modelo de excelencia.

Esta publicación es para distribución interna y uso exclusivo del personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y las empresas asociadas de

éstas. Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte Global Services Holdings Limited, la Verein Deloitte Touche Tohmatsu, así como

sus firmas miembro y las empresas asociadas de las firmas mencionadas, no se harán responsables de las pérdidas sufridas por cualquier persona que actúe

basándose en esta publicación. © 2013 Deloitte Advisory, S.L.

29

Muchas gracias

Oscar Martín Moraleda

[email protected]

gestión de activos de ti (itam) actividades itam requieren la involucración de recursos con un...

Documents