Llegamos a ustedes gracias a:



Reportajes y análisis

Auditoría de licencias de software. ¿Cómo prepararse?

[18/12/2012] Frente a una economía problemática y la disminución de ingresos por nuevas licencias, los proveedores de software empresarial recurren con más frecuencia a las auditorías de licencia para subir los ingresos faltantes.
Un estudio de Gartner reveló creciente revisiones de licencia, con el 60% de los encuestados en los informes del 2010 siendo auditados en el año anterior en comparación con alrededor del 30% en el 2007. Y un estudio de IDC/Flexera en el 2011 reveló que el 56% de las grandes empresas fueron auditadas en el año anterior -un 17% de ellas dijeron que fueron auditadas tres o más veces. "La difícil situación económica y las restricciones presupuestarias de TI significan que los grandes acuerdos de software son cada vez menos comunes", señala el Dr. Jonathan Shaw, director de la consultoría de outsourcing Pace Harmon.
"El peor error que una empresa puede hacer es sentarse y aceptar pasivamente los términos de auditoría, procesos y resultados", agrega.
Mientras tanto los derechos de uso de las licencias se aplican a entornos de TI cada vez más complejos que han evolucionado más allá de sus acuerdos de software desde hace mucho tiempo. La reacción de "los proveedores de software a los avances de infraestructura ha dado lugar a una proliferación de abstractas y potencialmente confusas métricas de licenciamiento en los acuerdos actuales, que han hecho que el seguimiento sea considerablemente más difícil con el riesgo de que simples actualizaciones de tecnología y optimizaciones de entornos causaran que una empresa se salga del cumplimiento", señala Shaw.
Cuando un proveedor de software quiere llevar a cabo una auditoría de cumplimiento de la licencia, notifica formalmente a la empresa de su intención y luego trabaja con el cliente para examinar el entorno empresarial con el fin de identificar cualquier déficit de licencias. Cualquier cosa, desde el uso de software en servidores sin nombre a la falta de procesos centralizados de gestión de activos de software, hasta la inadvertida inclusión de software en una imagen puede levantar banderas rojas.
Cualquier brecha descubierta constituye la base de un acuerdo y la exigencia de que la empresa regularice su situación en un plazo de tiempo determinado. Pero hay medidas que una organización de TI corporativa puede tomar mucho tiempo antes de que los auditores lleguen, para limitar los daños potenciales, a partir de decisiones tomadas durante la contratación de la gestión del ciclo de vida del software para la preparación de la propia auditoría.
Escoja la estructura de licencias adecuada
La selección de la estructura de licencias correcta es el primer paso para mantener el cumplimiento. Hay un número cada vez mayor de opciones, y elegir la que mejor se acopla con la capacidad del software de activos de la empresa es la clave. "Una empresa con una gestión de activos de escritorio robusta y capacidades de configuración de descubrimiento puede administrar con facilidad un esquema de licencia por dispositivo o por usuario", agrega Shaw. "Por el contrario, si la empresa no dispone de su entorno distribuido bajo control, un sistema de licencias podría ser desastroso, y un esquema central por procesador podría ser una mejor opción".
Sin respuesta, un vendedor escribirá muchas restricciones de licencias como le sean posibles, como oponerse al uso de software de outsourcing, limitaciones geográficas, y la prohibición de concesionar sub licencias. "Todos, en función de la influencia que ejerce la empresa, son negociables", señala Shaw.
Los clientes de software también pueden mirar de cerca los derechos de auditoría del proveedor. Mientras que los derechos de auditoría son estándar en cualquier acuerdo de software empresarial, los compradores pueden negociar límites sobre el intrusismo de las auditorías y duración y disposiciones para la solución equitativa del incumplimiento inadvertido, agrega Shaw.
Mantener el cumplimiento con las licencias de software
La mejor manera, por el momento, para no meterse en problemas de licencia, es mantener robustos los procesos de administración de activos de software (SAM). "Dado el aumento del riesgo de mercado y la ley Sarbanes-Oxley, la empresa promedio por lo general tiene los procesos básicos de SAM en su lugar, típicamente aumentados con algún tipo de juego de herramientas automatizadas de SAM", comenta Shaw. Pero eso no es suficiente. Para estar de acuerdo en una empresa dinámica, las licencias de software deben ser una parte fundamental de la gestión del cambio, señala Shaw.
 ¿Actualización de los servidores?
Una de las primeras preguntas debería ser la forma en que eso impacta en las necesidades de licencias. "La mayoría de las empresas tienen un margen de mejora en este ámbito, como lo demuestra la frecuencia y el tamaño de las configuraciones de licencia", indica Shaw. En cuanto a las herramientas, las hojas de cálculo ya no son suficientes. Un estudio de IDC sobre el software empresarial ha encontrado que alrededor del 75% de las empresas utilizan una solución automatizada para ayudar a controlar el cumplimiento del software.
Cuando una organización de TI no cumple con un tema de licencias, lo mejor es confesar. "Si la empresa sabe que no está cumpliendo, entonces debe comprometerse con el proveedor", señala Shaw. "También podría ser beneficioso seguir una remediación proactiva, que generalmente permite a la empresa aprovechar los descuentos negociados, seleccionar las licencias que necesita y evitar los costos punitivos, que no pueden ser opciones en un escenario de auditoría".
Incluso en las zonas grises, el aumento de la probabilidad de una auditoría hoy, hace que se piense en coordinar con el vendedor. Trabajar con el equipo de cuentas de un proveedor significa que la empresa se está comprometiendo con un grupo que está interesado en la relación a largo plazo y le da la oportunidad de negociar precios y condiciones, y lograr resultados favorables en las áreas abiertas a la interpretación", señala Shaw. "Una vez que está en una situación de auditoría las cosas se vuelven mucho más restrictivas, y su poder de negociación se reduce drásticamente una vez que se demuestra que está fuera del cumplimiento".
Prepárese para la auditoría de software
Los procedimientos de auditoría varían según el proveedor, pero el primer paso es ponerse en contacto con el proveedor para conocer el alcance de la auditoría y comenzar una auditoría interna en paralelo. Dependiendo de los resultados, puede ser posible abordar las carencias de manera proactiva.
Si la auditoría procede, es importante gestionar el proceso de forma "agresiva", señala Shaw, asegurándose de que todas las comunicaciones sean apropiadas, que el proceso incluya una oportunidad para revisar los hallazgos antes de la liquidación, y validar que el auditor haya incluido todas las licencias a las que los clientes tienen derecho.
"La empresa debe entender claramente los derechos de auditoría en el acuerdo de proveedor y desechar cualquier actividad que no sea obligatoria", indica Shaw. "Los auditores no han incluido ni aplicado correctamente todos los derechos de licencia. Pueden haber clasificado servidores de desarrollo o de prueba como máquinas de producción. Puede que hayan hecho suposiciones incorrectas en torno a áreas complejas tales como los grupos de servidores virtuales".
Finalmente, los clientes deben acercarse a las conversaciones de solución como otra negociación. "Nunca acepte la demanda inicial como algo definitivo", señala Shaw. "Si el incumplimiento fue involuntario y razonable, una posible contraoferta podría basarse en lograr y mantener el cumplimiento futuro y no una compensación con fecha posterior, una retribución en la lista de precios y otros costos punitivos".
En otros casos, tenga en cuenta el valor de equilibrio. Un valor de equilibrio adecuado es el costo adicional estimado de la empresa para mantenerse dentro de los límites del cumplimiento, de acuerdo con Shaw.
No espere salir sin firmar un cheque, en absoluto; pero utilice cualquier influencia como cliente actual o futuro para buscar un resultado equitativo.
"El peor error que una empresa puede hacer es sentarse y aceptar pasivamente los términos de auditoría, los procesos y los resultados", señala Shaw. "Esto puede dar lugar a interminables expediciones que consumen recursos internos durante meses, a la vez que exige una solución basada en suposiciones erróneas y datos, y un acuerdo que es mucho mayor de lo que podría o debería ser".
Stephanie Overby, CIO (EE.UU.)