Estandarización del proceso de Gestión de Activos de Software: Normativa ISO/IEC 19770
ISO, el organismo de estandarización internacional
ISO, iniciales de International Organization for Standarization, nace en 1947 y es el principal organismo de desarrollo de estándares a nivel mundial. En realidad se trata de una red de instituciones de normalización que actualmente opera en 157 países, donde cada uno está representado por un miembro. Su sede está en Ginebra (Suiza). Aunque es una organización no gubernamental, ISO se comporta como una institución a medio camino entre el ámbito de la empresa privada y los organismos oficiales puesto que muchos de sus miembros siguen instrucciones de sus correspondientes gobiernos o tienen relaciones directas con las empresas y asociaciones más importantes de cada país.
ISO ha establecido en los últimos años muchos estándares con incidencia en bastantes aspectos de nuestra vida cotidiana, en áreas como los procesos de fabricación, desarrollo, medioambiente y otros. En esta página analizaremos uno de los estándares técnicos que ha generado, llamado ISO/IEC 19770-1, también conocido como SAM, “Software Asset Management”.
ISO 19770Esta norma consta de dos partes. La primera explica los procesos de SAM y la segunda, la metodología y procedimiento de identificación de productos, orientada a facilitar la labor de inventario. La ISO 19770 es un caso especial de norma, puesto que combina la descripción de procesos y las versiones de software. Una implementación correcta de esta norma en una organización no obliga a hacerlo de ambas partes, ya que son independientes.
ISO 19770 establece los procesos de gestión de los activos de software en una organización y su finalidad es facilitar la auditoría de sus procesos SAM, homogeneizándolos de manera que satisfagan los criterios de gobierno corporativo y garanticen su extensión a toda la organización de IT.
Inicio
Aplicación de la norma ISO 19970
Siguiendo el estándar definido en la norma ISO 19770 los principios de SAM se pueden aplicar a prácticamente cualquier aspecto del entorno de IT en una organización, pero sobre todo a aquellos que tienen que ver con la gestión de licencias de software e inventario de activos. Entre sus ventajas destacan su capacidad para gestionar de manera coherente:
• Los documentos de prueba de licencia
• Los distintos modelos de licencia
• Las distintas plataformas de software
• Los medios de instalación y copias de distribución de los productos.
• Las versiones y ediciones
• Todo el software instalado
• Listas detalladas de versiones, parches y actualizaciones
• Las licencias
• Los contratos
• Medios de distribución, tanto físicos como electrónicos
La ISO 19970 además prescribe la elaboración de un inventario donde se incluyen los registros de licencias, que se componen de un identificador de software, versión, el nombre y ubicación del usuario y la situación presente del activo gestionado.
Esta norma recomienda implementar políticas y procedimientos concretos para mantener los registros de inventario (con recomendaciones que van desde la fase de captura de información a las copias de seguridad de la base de datos o la protección de la información frente a accesos no autorizados). Son unos procesos bien pensados para llevar a cabo una
implementación correcta de SAM, lo que debe repercutir en distintos
beneficios para la organización.
Esta norma se orienta a la gestión del ciclo de vida completo de las aplicaciones que se utilizan dentro de la red corporativa, desde el momento de su adquisición hasta su retirada. Establece seis áreas de gestión y en todas ellas aplica el criterio de homogeneidad, mejora continua y transparencia, así como los objetivos comunes de reducción de costes y riesgos, y mejora de la eficiencia operativa.
Con la ISO 19770, además, todas las partes involucradas en el proceso de gestión de activos de software –de manera directa e indirecta, ya sea el usuario final, el fabricante de software, el distribuidor de licencias o las agencias de defensa de los derechos de propiedad intelectual- disponen de un marco de trabajo y un lenguaje comunes que permite colaborar y resolver las posibles disputas e ineficiencias en menos tiempo y de forma más sencilla.
Inicio
Aplicación práctica de la norma
Hay en total 27 procesos dentro del marco de trabajo descrito en la ISO 19770-1 para la gestión de activos de software. De ellos, algunos pueden automatizarse y otros son de naturaleza manual. La siguiente tabla es un resumen de las actividades y procesos que cubre y su equivalencia con el marco de trabajo definido dentro de los procesos SAM:
|
Norma ISO / IEC 19770
|
comentarios
|
Marco de procesos SAM
Microsoft
|
|
Procesos de Planificación
e Implementación SAM
|
|
Planificación
|
Planificación previa. Temas organizativos, asunción
de responsabilidades, calendario, etc.
|
Desarrollo parcial: roles y responsabilidades, temas
de ROI
|
|
Implementación
|
Plan de implementación
|
Desarrollo en 4 etapas: inventario, comprobación de
licencias, políticas y mantenimiento
|
|
Monitorización
|
Seguimiento de cambios y verificación de conformidad
|
Plan de mantenimiento. Procedimientos de gestión del
ciclo de vida del SW
|
|
Mejora continua
|
Mantenimiento y evolución de los procedimientos
|
no se desarrolla este asunto
|
|
Procesos de inventario
para SAM
|
|
Identificación de activos de software
|
Determina qué tiene que inventariarse y un sistema de
catalogación
|
No desarrolla este asunto
|
|
Gestión de inventario de Activos de Software
|
Inventario de SW
|
inventario de SW
|
|
Control de los activos de software
|
gestión de cambios en el inventario
|
Políticas
|
|
Procesos de verificación
y conformidad
|
|
Verificación del registro de activos de software
|
Revisiones planificadas y ocasionales para comprobar
la coincidencia entre el inventario y la realidad
|
Mantenimiento posterior
|
|
Conformidad con las licencias de software
|
comprueba si toda la propiedad intelectual de
software tiene su correspondiente licencia en orden
|
Inventario de Licencias y Análisis de inventario
|
|
Conformidad con la seguridad de los activos de software
|
Protección de accesos y control de utilización de los
activos de SW
|
Recomendaciones de protección de los activos
(soportes, documentos, etc)
|
|
Verificación de conformidad con SAM
|
Cumplimiento de la normativa ISO/IEC 19770
|
No desarrolla este asunto
|
|
Procesos de gestión de
operaciones e interfaces para SAM
|
|
Gestión de contratos y relaciones para SAM
|
|
|
|
Gestión financiera para SAM
|
Gestión de la financiación de la propia actividad SAM
|
No desarrolla este asunto. Solamente trata el aspecto
ROI
|
|
Gestión a nivel de servicios para SAM
|
Definición de los niveles de servicio para la
actividad SAM en la empresa
|
No desarrolla este asunto
|
|
Gestión de seguridad para SAM
|
Definición de las políticas de seguridad para la
información de SAM en la empresa
|
No desarrolla este asunto
|
|
Interfaces de los
procesos del ciclo de vida para SAM
|
|
Proceso de gestión de cambios
|
Políticas de gestión de los cambios en los
procedimientos SAM
|
No se
desarrolla este asunto
|
|
Proceso de adquisición
|
Compras de SW
|
Políticas de adquisición de SW
|
|
Proceso de desarrollo de software
|
Desarrollo de SW propio
|
No desarrolla este asunto
|
|
Proceso de gestión de salida al mercado del software
|
Comercialización de SW
|
No desarrolla este asunto
|
|
Proceso de despliegue del software
|
Instalación y uso de SW y gestión de licencias
|
Políticas de instalación de SW
|
|
Proceso de gestión de incidencias
|
Acciones a adoptar en casos de incidencias con el SW
o las licencias
|
No desarrolla este asunto
|
|
Proceso de gestión de problemas
|
Procedimientos de mejora continua del plan SAM
|
No desarrolla este asunto
|
|
Proceso de retirada
|
Retirada del SW
|
Políticas de retirada de SW
|
Como sucede con todos los estándares, la ISO 19770 supone un punto de partida para la creación e implementación de buenas prácticas y procedimientos, identificando el marco de trabajo, etapas de desarrollo, los resultados a obtener y medios para su verificación y seguimiento por entidades independientes.
El siguiente nivel de detalle –el “cómo se hace”- no forma parte del articulado de la norma, ya que depende de las características concretas de cada organización. En las implementaciones prácticas de la norma ISO 19770 se deben considerar aspectos como la cultura interna de la organización, el entorno tecnológico que se quiere gestionar, los procesos que ya existen y las posibilidades de automatización. El texto completo de la norma se puede adquirir a través de la ISO (
http://www.iso.org) o ANSI (
http://webstore.ansi.org). En España, puede solicitarla a través de AENOR.
Inicio
Áreas de desarrollo de la norma ISO/IEC 19770
El estándar, como hemos comentado en otros apartados anteriores, se distribuye en tres categorías:
• Gestión organizativa
• Procesos que definen la Gestión de Activos de Software
• Interfaces de SAM con otros procesos de la gestión del ciclo de vida de los activos de software.
La gestión de activos de software empieza con la firme decisión de la organización de implementar y establecer de manera imperativa el programa dentro de ella. Las salidas identificadas de un entorno de control para SAM serían:
- Los procesos de gobierno corporativo
- Asignación de roles y responsabilidades
- Políticas, procesos y procedimientos
- Competencias
a)
Gobierno corporativo El reconocimiento formal del gobierno del software y sus activos es un aspecto al cual se da mucha relevancia, junto con el desarrollo de las políticas que son la base de cualquier programa SAM. El gobierno se vincula estrechamente con el análisis de riesgos dentro de la Norma, de manera que la relación entre el programa y el objetivo que persigue (reducción del riesgo) se identifican claramente en el nivel corporativo. Ninguna declaración de principios de autoridad quedaría completa sin clarificar el alcance y las responsabilidades que conlleva esta autoridad y para ello la norma incluye una lista de comprobación que sirve para asegurarse de que dentro de la declaración de principios se incluyen todos los elementos esenciales.
b)
Definición y asignación de roles y responsabilidadesAsignar a alguien las responsabilidades de SAM es el siguiente paso descrito en la norma dentro de la gestión organizativa, de manera que tiene que identificarse al menos una persona que ha de hacerse cargo de desarrollar los objetivos de gestión de SAM y después desarrollar el plan de ejecución que permita lograr esos objetivos. La norma destaca la importancia de la planificación y la identificación de los recursos necesarios para su ejecución, y se sigue con la necesidad de medir y comunicar los resultados obtenidos de la ejecución del plan.
Esta sección reconoce que las actividades propias de la gestión de activos de software pueden distribuirse dentro de la organización, lo que obliga a los responsables de SAM a hacer un esfuerzo de comunicación y a delegar las responsabilidades. Parece sencillo, pero muchos programas de gestión de activos de software se ven a menudo lastrados por factores de política interna que se eliminan únicamente mediante una intervención decidida e inequívoca por parte de la Dirección Ejecutiva en apoyo del programa SAM.
c)
Políticas, Procesos y ProcedimientosEsta sección de la norma establece la estructura necesaria para el desarrollo de las reglas internas y la documentación que suponen la base del programa SAM. Las políticas son el documento más importante del gobierno corporativo, ya que identifican las responsabilidades de cada cual dentro de la organización con respecto a los bienes objeto de gestión y su uso. Los procesos se definen por sus “salidas” (sus resultados), y los procedimientos son las tareas que hay que realizar para producir dichas salidas. Aunque la norma no detalla todas y cada una de las políticas que pueden formar parte de un programa SAM, sí que menciona, por su importancia, algunas de ellas:
• Políticas de gobierno corporativo y las responsabilidades de gestión del software y activos relacionados con él.
• Políticas de cumplimiento con normativas y regulaciones aplicables
• Reglas para la gestión de compras
• Políticas de aprobación
• Aplicación obligatoria y acciones en caso de incumplimiento
d)
Competencias de SAMLa sección de control o estructura de la norma ISO 19770 finaliza con una serie de salidas orientadas a garantizar que las personas responsables de la gestión de activos de software disponen de la formación y las certificaciones necesarias para realizar su labor. Se menciona la formación en los programas de licencia de los distintos fabricantes de software y la necesidad de conocer lo que significa el concepto de “prueba de licencia” para cada uno de ellos.
PlanificaciónLa gestión organizativa describe los procesos de planificación e implementación de un programa SAM. Se centra en la estructura de gestión de activos de software necesaria para conseguir los objetivos declarados. La relación con los ya muy conocidos elementos de planificación de la norma ISO 9001 es evidente y se hacen referencias a ellos a lo largo del articulado del documento.
Es especialmente interesante en esta sección el reconocimiento del valor de la automatización de tareas para garantizar la eficiencia de los procesos y la eliminación de errores.
ImplementaciónLa estructura de implementación se presenta como aquellos mecanismos necesarios para la recopilación de datos y elaboración de informes de estado que se producen de forma regular. En este caso, puesto que la norma respeta las peculiaridades de cada organización y existen otros estándares y buenas prácticas de
implementación de SAM, poco podemos añadir sobre este particular. La norma ISO 19770 menciona a los propietarios del programa SAM de la organización a lo largo de los distintos artículos, una mención interesante a la vista de que las responsabilidades de gestión de activos de software habitualmente se distribuyen por criterios geográficos o departamentales en la mayoría de grandes organizaciones.
Monitorización y revisiónLa monitorización incluye la evaluación de todo cuanto se ha desarrollado en el marco de la gestión de activos de software, es decir, la auditoría de elementos estructurales para validar su eficiencia en el grado de cumplimiento de los objetivos declarados para el programa SAM. Establece el requisito de revisión periódica, aprobación por parte del propietario de SAM y acepta la posibilidad de establecer acuerdos de nivel de servicio durante el proceso.
Mejora continuaEn esta sección se reconoce la importancia de la revisión periódica y la mejora de procesos y procedimientos, lo que exige la puesta en marcha de mecanismos de recopilación y documentación de sugerencias y peticiones de cambio en ciclos anuales.
Inicio
Procesos que definen la Gestión de Activos de Software
Los procesos, dentro del estándar ISO, se dividen en procesos de inventario, de verificación y cumplimiento, y gestión de operaciones. Los activos de software siempre han sido complicados de controlar, puesto que hay que establecer la correspondencia entre bienes intangibles como son las aplicaciones de software y bienes tangibles como son los documentos y soportes de instalación. La enorme variabilidad en el etiquetado de las partes que componen las aplicaciones de software, las muchas maneras en que se puede licenciar y la dificultad para hacer un seguimiento de las versiones a lo largo del tiempo exigen dedicar un notable esfuerzo en primer lugar a elaborar el inventario, y después a conocer y controlar el uso de esta información.
En la tabla siguiente se muestra un resumen de los procesos SAM tal y como se definen en la norma, con algunos ejemplos de los procesos que tendrían que ponerse en práctica dentro de las organizaciones para su cumplimiento:
|
Procesos SAM definidos en ISO 19770
|
Actividades exigidas para el cumplimiento de la norma
|
|
Identificación de activos de software
|
-
Definición del alcance de los activos de
software a gestionar
-
Definición de los elementos descriptivos y
documentación de licencia que se deben conservar
|
|
Gestión del Inventario de Activos de Software
|
-
Mantener un inventario del software físico para
garantizar un almacenaje correcto de los medios de instalación
-
Mantener un inventario del software instalado
-
Cuantificar las licencias de software utilizadas
|
|
Control de activos de software
|
-
Crear un registro de cambios que afectan al
software
|
|
Verificación de registros de activos de software
|
-
Reconciliación entre los activos de software
registrados y los que realmente están instalados en cada
plataforma
-
Realización de una revisión de licencias para
comprobar que las pruebas de licencia existen y están bien
contabilizadas.
|
|
Cumplimiento con los requisitos de licencia del software
|
-
Conciliación de las pruebas de licencia con las
instancias de software inventariadas.
|
|
Cumplimiento con las normas de seguridad de los activos de software
|
-
Asegurarse de que se disponen de medios
adecuados para controlar los soportes de instalación del
software y la distribución de copias
|
|
Verificación de conformidad
|
-
Confirmar el cumplimiento con esta norma a nivel
de políticas, procedimientos y documentación
|
|
Gestión de relaciones y contratos para SAM
|
-
Definir responsabilidades para la gestión de
proveedores.
-
Desarrollar un procedimiento de revisión de
proveedores
-
Garantizar la correcta documentación de los
detalles contractuales.
|
|
Gestión financiera de SAM
|
-
Formalizar un presupuesto concreto para la
compra de software
-
Comparar los gastos reales con los
presupuestados
|
|
Gestión de nivel de servicio para SAM
|
-
Desarrollo de niveles de servicio para todos los
pasos del ciclo de vida del software.
-
Realizar revisiones periódicas del rendimiento y
compararlas con los niveles de servicio.
|
|
Gestión de la seguridad para SAM
|
-
Protección de los accesos a la información
-
Controles y procedimientos aplicables a los
documentos.
|
Inicio
Aplicación de procesos normalizados de SAM para el ciclo de vida
El ciclo de vida de los productos de software incluye diversos procesos que no forman parte explícita del programa SAM, pero cuya integración es esencial para el cumplimiento de los objetivos establecidos por la norma y su implementación. ISO 19770 enumera estos procesos externos (que con frecuencia son gestionados desde departamentos y por personas diferentes de los responsables de SAM) y establece su interacción con la Gestión de Activos de Software:
- Gestión del cambio
- Proceso de compras
- Desarrollo de software
- Distribución del software
- Gestión de incidencias
- Gestión de problemas
- Retirada de software
La coordinación entre SAM y estos procesos externos garantiza el cumplimiento de los objetivos de control y documentación del software. Entre los puntos más importantes a considerar podemos destacar los siguientes:
• Recomendación de establecer configuraciones estándar de software dentro del proceso de compras
• Verificación de la autenticidad de las licencias
• El despliegue de software requiere un procedimiento de vuelta atrás (“back out”)
• La resolución de problemas presupone la priorización y análisis de causas subyacentes
• La eliminación del software no licenciado no se considera una resolución de un problema puntual de incumplimiento, puesto que el hecho de haberlo utilizado genera una obligación
Inicio
Última actualización de esta página: 26 de febrero de 2009
