- Los riesgos relacionados con la seguridad cibernética son una preocupación real y preocupante en el mundo. BSA recomienda que las empresas adopten controles internos adecuados en relación con el uso legal de la tecnología, incluida la conformidad de las licencias de software.
Lima, marzo 2018. La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) publicaron la norma 19770:1 en el 2017, acerca de Soluciones en el Manejo de Recursos de Software (SAM, por su siglas en inglés), con el fin de ayudar a las empresas a gestionar correctamente su software de manera que se garantice el cumplimiento constante de licenciamiento, se reduzcan al mínimo la exposición a los riesgos y obtengan el máximo beneficio de este activo tan importante.
Las prácticas SAM y/o un programa SAM adecuado permitirán mejorar la eficiencia y eficacia de las operaciones y los servicios de TI existentes de la organización. Disponer de políticas, procedimientos y controles SAM sólidos e integrados en los controles internos permite que su organización se beneficie de un entorno que ofrece conformidad y mejora de manera continuada.
Los riesgos cibernéticos y legales del uso de software sin licencia son tan altos que el problema de gobernabilidad de TI está siendo reconocido a nivel ejecutivo como un componente clave de estrategia corporativa. Sin embargo, muchas compañías todavía no poseen una visión holística de sus activos de software, convirtiendo en un desafío evolucionar, aprovechar las nuevas plataformas y mitigar los riesgos que provienen de formar parte de un ecosistema global que conecta a proveedores, clientes y socios en todo el mundo.
La implementación de los siguientes cuatro pasos representa la primera línea de defensa de su empresa frente al malware y otros riesgos cibernéticos.
PASO 1: Realizar una evaluación. Recopilar y mantener datos fiables y coherentes que puedan servir para evaluar si se dispone de las licencias adecuadas. Esto implica identificar qué software se está ejecutando en su red; discernir si ese software debe estar instalado o no; y determinar si todo el software que se ejecuta en su red es original y cuenta con las licencias adecuadas. Es decir, desarrollar un inventario como con cualquier otro activo.
PASO 2: Alinear con las necesidades de la empresa. Hacer corresponder las necesidades empresariales presentes y futuras con el modelo de licencias adecuado. Para ello, es necesario analizar nuevas alternativas de asignación de licencias que puedan resultar rentables, como las suscripciones en la nube; identificar posibles ahorros. Esto le da una mejor posición de negociación con los proveedores de software. Ejemplo: reutilizar licencias (si el proveedor lo permite); y mejorar el uso de las cláusulas de mantenimiento incluidas en sus contratos de licencia de software para asegurar que se obtiene el valor adecuado para la inversión realizada.
PASO 3: Establecer políticas y procedimientos. Garantizar que SAM desempeñe un rol en el ciclo de vida de TI en su empresa. Para conseguir que SAM cumpla con ISO, y así verdaderamente mitigar los riesgos asociados con el malware, las prácticas deben apoyar la infraestructura y las necesidades de gestión de TI de la empresa para respaldar el proceso de SAM. Para lograrlo, se necesita adquirir software de manera controlada con registros que respalden la selección de la plataforma de ejecución del software y el proceso de adquisición; implementar software de una manera controlada para facilitar también el mantenimiento continuo del software instalado en la empresa; desinstalar el software del hardware retirado y volver a implementar correctamente cualquier licencia en la empresa; e instalar puntualmente parches y actualizaciones del software.
PASO 4: Integrar en la empresa. Asegurar que SAM esté integrado y respalde plenamente a la empresa. Esto significa que se debe integrar SAM en todas las actividades del ciclo de vida relevantes en la empresa, no simplemente en los ciclos de vida de TI; mejorar los procesos de gestión de datos integrados en el paso 1; y garantizar que los empleados comprendan el uso adecuado del software y el impacto legal, financiero y reputacional que sus acciones relacionadas con el software pueden ocasionar en la organización.