El Lado Oscuro de las Herramientas SAM

Jul 28, 2023 | Auditorías de software

Las herramientas SAM (Software Asset Management) son aplicaciones cuyo objetivo teórico es automatizar la monitorización y gestión de los activos de software para facilitar el control sobre el despliegue y uso de las licencias. No obstante, estas herramientas (como su propio nombre indica) no son más que útiles que pueden servir para la obtención en bruto de datos sobre los que después hay que trabajar, pero que ningún caso son concluyentes por sí solos.

El problema es que estos datos, a falta de la calidad, contexto y conocimientos necesarios, pueden llevar a interpretaciones y soluciones equivocadas: las herramientas SAM no son una varita mágica ni nos blindan frente a reclamaciones de los fabricantes en auditorías.

Antes de plantearnos optar por alguna herramienta SAM, es imprescindible conocer no solo nuestros objetivos sino tener también claras sus limitaciones y desventajas.

En este artículo, analizaremos algunas de ellas y cómo los datos de una herramienta SAM pueden dar una falsa sensación de seguridad que termine siendo devastadora (es decir, costarnos millones) en una auditoría de software.

Costo de Implementación de las Herramientas SAM

Uno de los obstáculos más evidentes al adoptar una Herramienta de SAM es el costo asociado con su implementación y mantenimiento continuo. Estas soluciones a menudo requieren inversiones significativas tanto en términos de licencias de software como en recursos humanos calificados para su instalación y configuración adecuada. Además, el mantenimiento periódico y las actualizaciones también implican gastos continuos que pueden superar el presupuesto inicial previsto.

No cubren todos los Fabricantes ni todos los Productos

No existe la herramienta SAM que cubra todo de todos los fabricantes: es así de simple.

Cada herramienta va a cubrir un conjunto concreto de productos, y cuanto más cubra, más valor se supone que aporta al cliente, y por tanto más costosa es.

Es por ello que, antes de decidirnos por una herramienta SAM, debemos establecer prioridades y objetivos a través de un análisis de los fabricantes y productos que son más críticos para la organización. Para ello hay que tener en cuenta factores como qué fabricantes son los más activos en auditorías, qué software es imprescindible para el negocio, en qué productos nos gastamos la mayor parte de nuestro presupuesto en IT, etc..

Las Herramientas SAM tampoco sirven para el análisis de los Derechos de Uso

Las herramientas SAM ni leen ni interpretan la documentación contractual para determinar la situación de los derechos de uso adquiridos junto a todas las particularidades y limitaciones que pueden ser de aplicación (ej. restricciones geográficas o temporales, entidades que pueden usar el software o a las que se puede dar servicio, etc.).

Cualquier error en la obtención de la información relativa a los derechos de uso adquiridos, puede llevar a conclusiones erróneas a la hora de determinar la posición efectiva de licenciamiento (ELP) cotejándolo con el despliegue y uso del software. Esto puede tener consecuencias desastrosas desde el punto de vista del licenciamiento.

Necesitan Personal Especializado y ser Alimentadas Correctamente

Las Herramientas de SAM son complejas y ofrecen una amplia gama de funciones. Esto puede resultar en una curva de aprendizaje pronunciada para los equipos encargados de administrar, alimentar y utilizar la herramienta.

La complejidad puede llevar a tener que hacer además una gran inversión en tiempo (lo que también se traduce en dinero) y a incurrir en errores en la configuración, operación, integración, mantenimiento o actualización de la herramienta así como en la interpretación de los datos recopilados, lo que a su vez puede conducir a decisiones erróneas en la gestión de activos de software determinación de la situación de cumplimiento.

Las Herramientas SAM Solo aportan Datos en Bruto

Las herramientas SAM por sí solas no sirven para alcanzar nuestros objetivos: así de claro.

Lo que hacen las herramientas SAM, idealmente aunque no siempre es el caso, es aportar datos de calidad en bruto que después deben contextualizarse y trabajarse para que nos puedan ser de utilidad, junto con otros elementos.

Por poner un símil, tanto en ITAM como para construir un edificio, se necesitan de herramientas y materiales, personas y procesos: los datos que proporcionan las herramientas, no son más que los ladrillos de la construcción y por sí solos tienen un valor muy limitado. Creer que las herramientas son suficientes por sí solas es como creer que los ladrillos son la casa.

No tienen en cuenta Aspectos Críticos del Negocio

Y esto puede tener un impacto directo en licenciamiento.

Aspectos como la prestación de servicios, cambios de estructura en las organizaciones (ej. M&A) o compartición de recursos entre empresas son absolutamente relevantes en materia de licenciamiento y sin embargo no son considerados por las herramientas.

No son utilizadas por los Fabricantes en sus Auditorías

Si bien algunos fabricantes pueden aceptar los datos brutos arrojados por cierto tipo de herramientas autorizadas como parte de la recolección de información durante una revisión de licencias, lo cierto es que los fabricantes no utilizan esas herramientas SAM comerciales en sus auditorías de software y se sirven de otras herramientas y metodologías para conocer la situación de despliegue y uso de sus productos.

Hay que tener en cuenta por tanto que los datos que arrojen las herramientas SAM pueden diferir de los resultados de una auditoría de software.

Es más, los simples datos arrojados por una herramienta de SAM pueden dar una falsa sensación de seguridad al cliente que haga que durante una auditoría de software del fabricante, le facilite información no controlada que pueda ser utilizada en su contra: Cualquier matiz puede distorsionar completamente el escenario de licenciamiento. Poner este poder sin control en manos del fabricante puede ser muy peligroso.

De hecho, es muy frecuente que las auditorías concluyan con fuertes penalizaciones económicas incluso después del montaje de una herramienta SAM.

Utilidad Relativa en Inventariado y Monitorización

Los clientes suelen manejar las herramientas SAM para controlar gestionar el software que saben que tienen, pero no aquellos aspectos del licenciamiento que no conocen y que los fabricantes buscan en los procesos de auditoría: “Lo que nos mete en problemas no es lo que sabemos sino lo que creemos que sabemos, pero no sabemos”.

Así, la Herramientas SAM pueden omitir entornos no productivos o de DR que deban licenciarse u obviar usuarios que accedan al software de manera indirecta así como fluctuaciones del volumen del negocio de la compañía (cuando la licencia está condicionada a ello).

Pueden asimismo, dar información sobre la versión del software que se está usando pero no si su uso supone un incumplimiento o pasar por alto las integraciones con ciertos productos en entornos cloud o pueden omitirse hosts en los que, a pesar de no utilizarse el producto, sí deban contarse a efectos de licenciamiento por encontrarse en un entorno virtualizado (ej. soft partitioning en licenciamiento de Oracle).

Cualquier omisión o interpretación errónea de estos aspectos puede traducirse en incumplimientos de millones de Euros.

Privacidad y Seguridad de los Datos

La implementación de una Herramienta de SAM requiere que se recopile y almacene una gran cantidad de datos sobre los activos de software y las licencias utilizadas en la empresa. Esto puede plantear preocupaciones sobre la privacidad y seguridad de los datos, especialmente si la herramienta no está adecuadamente protegida contra posibles amenazas. Una violación de seguridad podría comprometer la información sensible y confidencial de la empresa.

Conclusión

Aunque las Herramientas de Software Asset Management puedan ser útiles, por sí solas no sirven para alcanzar nuestros objetivos en materia de licenciamiento y gestión y control de activos de software.

No son una bala de plata ni una varita mágica: Es perfectamente posible tener una herramienta SAM y que una auditoría de software haga aflorar situaciones de incumplimiento que no hayan sido detectadas.

Es crucial que las empresas conozcan y evalúen cuidadosamente sus limitaciones e implicaciones antes de tomar una decisión sobre la adopción de una Herramienta SAM.

Un enfoque equilibrado y bien informado garantizará que la solución se ajuste de manera óptima a las necesidades reales, expectativas y objetivos de la empresa. Y un conocimiento adecuado permite tener la certeza de que los datos que se obtienen son realmente de calidad y confiables.

Tanto en uno como en otro supuesto, Evergreen Compliance puede ser de ayuda. Contacta hoy mismo con uno de nuestros expertos y conoce de primera mano nuestros casos de éxito.

También te puede interesar:

Oracle Enterprise Edition Options Licensing

Oracle Enterprise Edition Options Licensing

En este artículo, exploraremos el Oracle Enterprise Edition Options Licensing, proporcionando información relevante para que las empresas puedan evitar exposiciones financieras y legales innecesarias derivadas de escenarios de incumplimiento. Instalación por defecto...