Tiene en sus manos la carta del proveedor. La auditoría viene y tiene que hacer el balance de qué licencias tiene en sus sistemas, versus qué es lo que le permiten sus contratos de licenciamiento. La diferencia puede costarle mucho dinero a su organización así que tiene que salir todo bien, pero los sistemas se encuentran tan dispersos o son tan complejos o han evolucionado tan rápido que la tarea parece de tiempo completo.

Las auditorias de software compliance siempre son un dolor de cabeza, especialmente en cuanto a tiempo, recursos y dinero. La mejor forma de prepararse para una auditoría, concuerdan los expertos, es evitarla implementando un plan de software compliance.

El software compliance es un proceso complejo e interpretativo que si no se hace correctamente y con planificación, puede costar millones a la organización. ¿De cuánto dinero hablamos? En un estudio del 2013 realizado por KPMG, empresa de servicios de contract compliance, 52% de las compañías sentían que sus pérdidas por el uso no licenciado de software constituyeron más de 10% de sus ingresos. También era un tema que tomaba mucho tiempo. De acuerdo a Christof Beaupoil, fundador y presidente de Aspera Technologies Inc., proveedor de soluciones de administración de licencias de software, pueden tomar hasta 18 meses.

En un reporte de Gartner sobre auditorias de software, las organizaciones encuestadas afirmaron que fueron auditadas al menos por un proveedor en los 12 meses anteriores. Esta cifra es 60% superior a la del año previo. Ahora, más que antes, los proveedores de software están auditando a sus clientes, sostiene la encuesta de KPMG, y se ha convertido en parte del proceso de ventas. Y mientras más grande sea su organización más riesgos tienen. “¿Por qué preguntan?” Porque hay más dinero sobre la mesa para los proveedores de software. El incumplimiento les genera dinero, así que tiene que hacer lo que pueda para limitar su riesgo y eso comienza con implementar un programa de software compliance.

¿Qué es el software compliance?
“En su forma más simple”, señala Beaupoil, “el cumplimiento es la comparación del uso de software de una empresa contra las licencias que posee. Si la compañía usa más software del que cubren sus licencias, se encuentra sublicenciado y en incumplimiento del contrato de licenciamiento. Si la empresa posee más licencias que las que necesita para cubrir su uso, entonces se encuentra sobrelicenciada y puede ahorrar millones de dólares, como es el caso con las organizaciones globales y muy grandes”.

Errores comunes y problemas de incumplimiento
* Muchas veces en la premura por avanzar en los objetivos de negocio de una organización, el software y las tecnologías licenciadas son usadas de formas no cubiertas por la estructura de licenciamiento actual, lo cual conlleva un problema de incumplimiento. Esto significa que a medida que evolucionan sus sistemas y su tecnología, también lo debe hacer su estructura de licenciamiento.

* Dependiendo de su estructura de licenciamiento, uno también podría tener que tratar con la diferencia entre software instalado versus software comprado. Esto es lo que se conoce como una evaluación de nivel bucket; instalado versus otorgado.

* “Muchas veces la causa inicial del incumplimiento son los derechos de administrador en las máquinas locales. Esto es algo que las compañías deben considerar seriamente”, señala Houghton.

* El BYOD es otra área que puede causar que las compañías sean incumplidoras. De acuerdo a Krysten M. McCabe, CISA, Director de ISACA, miembro del Comité de Auditoria y el Comité de Finanzas de ISACA, y gerente senior del Assurance and Advisory Management Program de The Home Depot, el BYOD amplía el alcance de aquellas cosas que podrían causar que la compañía será incumplidora. “Es necesaria la comunicación con esta amplia audiencia para asegurarse que todos se encuentran bien capacitados acerca de la necesidad del cumplimiento y los requerimientos del cumplimiento”, señala McCabe.

* No estar preparado, afirma Beaupoil, es uno de los errores más comunes. “Las auditorias de software son parte del proceso de compra ahora. Es un gran error no comenzar un programa de administración de las licencias. Sin él, las compañías no tienen una herramienta de administración de las licencias y/o no tienen los recursos necesarios para producir su propio balance de cumplimiento. En otras palabras, ellos no pueden verificar los datos del auditor y los resultados del cumplimiento. Básicamente se encuentran a merced del auditor y tienen que aceptar lo que él les entrega al final, con todo y discrepancias.

* “Asumir que la auditoría será rápida”, señala Beaupoil. Las auditorías para Aspera generalmente toman un mínimo de seis meses y su promedio es de 12 a 18 meses. En algunos casos extremos, las compañías han reportado hasta tres años. Esto podría ocasionar que la organización tenga que almacenar algunos equipos hasta que la batalla legal concluya.

* Discrepancias en los nombres del proveedor/producto.

Componentes de la administración de activos
Uno no puede tener los datos necesarios para saber si se está cumpliendo o no, si no se tiene un plan para administrar las licencias de software y hardware. El software compliance comienza con un buen sistema ITAM (information technology asset management) que consisten en dos partes, de acuerdo a Mike Houghton, un veterano de TI que ha trabajado en compliance y asset management en los pasados siete años. Una parte fundamental es un sistema de descubrimiento. Este es un software que tiene un agente en cada máquina que proporciona visibilidad de todo el software instalado en su red. El segundo componente es un sistema de registro, un almacén virtual que contiene todos sus activos de hardware y software. “Idealmente, los componentes son parte del mismo sistema y conversan uno con otro aunque no es necesario”, sostiene Houghton.

“La función más básica de la administración de licencias y de sus herramientas es reunir de manera centralizada todas las licencias que se posean dentro de la organización, calcular las métricas para obtener el uso del software y compararlas. Esta práctica fundamental requiere de la recolección y procesamiento de muchos diferentes tipos de datos. El resultado es un balance de cumplimiento que claramente muestra el estado de la compañía en cuanto a licencias -si se encuentra sobrelicenciada o sublicenciada-, el “costo del cumplimiento” (comprar licencias adicionales para eliminar el sublicenciamiento) y otros datos fundamentales”, indica Beaupoil.

El proceso de auditoría
Generalmente el proveedor del software envía avisos por escrito para que la organización sepa que quieren realizar una auditoría de software para asegurar el cumplimiento. Dentro de la correspondencia se nombra al auditor contratado, las fechas de inicio y fin, así como el alcance de la auditoría. Asegúrese de responder al proveedor de forma oportuna.

Al recibir una notificación por escrito de una inminente auditoria de software, es inteligente de parte de las compañías hacer que su equipo legal revise los detalles del licenciamiento. La compañía primero debe revisar que la firma contable contratada sea la adecuada para realizar la auditoría. No es poco común que, de acuerdo a Aspera, no haya una base legal para la auditoría, ya que en ocasiones no existe la correspondiente clausula en los contratos relevantes.

Una vez que tiene el alcance de la auditoría se debe realizar una auditoría interna no solo para revisar la exactitud de ella, sino también para encontrar a qué se debe el incumplimiento. ¿Fue intencional, una falla en el proceso, un proceso de negocio en evolución, etcétera? Llegar a la raíz del problema puede evitar futuros episodios de incumplimiento. Luego los proveedores trabajarán con la organización para realizar la auditoría. Cada proveedor tendrá diferentes métodos para localizar su software en los sistemas. “Esté seguro”, señala Houghton, “que el proveedor tendrá una herramienta para descubrir su software en su red”.

Si cuando se realiza la auditoría se encuentra con que su organización está en incumplimiento, tendrá que trabajar con el proveedor para balancear los libros o sincerarse al menor costo posible. No tema negociar.

Tips para evitar las auditorias de software
Preguntamos a los expertos entrevistados sus mejores tips sobre cómo estar un paso adelante cuando se trata de software compliance, y a continuación lo que nos dijeron.

* Realice auditorías internas regulares. “Algunas organizaciones no realizan auditoría frecuentemente o lo suficientemente minuciosas (por ejemplo, con el alcance correcto) y por tanto no están al tanto de su propio incumplimiento”, señala McCabe. Los expertos advierten que si se encuentran discrepancias en el licenciamiento, la mejor política es ser abierto acerca de ello y trabajar con el proveedor para resolver el tema. Ser proactivo lo coloca en una mejor posición para negociar con varios proveedores de software.

* Realice programas de educación y conciencia que hablen acerca de las políticas de software compliance. “Algunas empresas no comunican la importancia del cumplimiento”, señala Houghton.

* Asegúrese que sus canales se encuentren limitados a una selección o equipo. Las compras ilegales son de los temas más recurrentes entre los problemas de cumplimiento.

* Cree una solución como SpendMap o cree su propio portal de hardware y software para compras aprobadas. En algunas de las corporaciones más grandes solo una o dos personas tienen la llave para firmar las compras de software y hardware.

* Mejore los procesos de adquisición existentes o establezca nuevos procesos para asegurar que las métricas de licenciamiento y los términos pertinentes (esto es los Product Use Rights) en las licencias y contratos se encuentran registrados.

* “AgentHealth o AgentPenetration es una métrica importante para monitorear. Mide la penetración de su sistema de descubrimiento en su red. Asegúrese que las personas adecuadas se encuentran monitoreando esta métrica.

* Es necesario crear un proceso de flujo de trabajo en el cual se puedan solicitar las nuevas herramientas y software, y luego se puedan aprobar para su uso; de tal forma que los objetivos de negocio puedan avanzar. Decir a las personas que no van a poder tener las herramientas necesarias no es una opción. Dicho esto, debe asegurarse que todas las compras de software se encuentran adecuadamente reportadas, reunidas desde todos los puntos de la organización, y registradas en el tiempo a medida que las licencias cambian de mano entre las unidades de negocio dentro de la corporación.

* Tenga procesos establecidos para la administración del ciclo de vida del software y hardware. “Las organizaciones no siempre registran y comunican el estado de las acciones que deben completarse para estar en cumplimiento y asegurar que sean completadas”, señala McCabe.

* “Cualquiera que tenga derechos de administrador debe ser investigado y se le debe pedir que acepte un nivel mayor de responsabilidad. Ellos deben tener una capacitación explícita sobre el licenciamiento de software y el cumplimiento”, sostiene Houghton.

* Asegúrese que los datos recogidos sean uniformes de tal forma que los diferentes sistemas puedan interactuar fácilmente y sus datos puedan ser más exactos. Por ejemplo, si un sistema registra Microsoft Word 2010 y otro tiene MS Word será más difícil balancear sus licencias.

-Rich Hein, CIO