Guía de buenas prácticas en formato PDF

Se acaba de publicar la versión 1.0 de la Guía que recopila las buenas prácticas incluidas en este blog.

Acceso a la Guía de buenas prácticas

Argumentario en formato PDF

Se acaba de publicar la versión 1.0 del argumentario que recopila los argumentos incluidos en este blog.

Acceso al Argumentario

Formación y sensibilización de usuarios

Ninguna de las recomendaciones relativas al uso legal del software puede ser eficaz, sin la debida formación y sensibilización a los usuarios de los sistemas corporativos, sean empleados, colaboradores o proveedores externos.

Asegurar el conocimiento de los riesgos asociados al uso de software sin licencia, sus consecuencias, así como las políticas y medidas establecidas para evitar dichos riesgos, reduce a la mínima expresión la posibilidad de que los usuarios incurran en este tipo de actividades (y, en cualquier caso, constituye una prueba de diligencia que permite derivar la responsabilidad hacia quien haya incumplido instrucciones específicamente destinadas a evitar el uso de software ilegal).

La realización de formación periódica a los usuarios sobre los anteriores aspectos es de capital importancia. Para ello, la empresa dispone de múltiples alternativas, en función de su estructura, tamaño y necesidades, de entre las cuales pueden destacarse las siguientes:

1. Formación presencial
2. E-learning
3. Acciones de refuerzo de la formación (posters, mensajes en protectores de pantalla automáticos, etc…)
4. Mensajes de lectura obligatoria en el arranque de sistema

Barreras de entrada de software no autorizado

Una de las mejores prácticas para asegurar la correcta gestión y uso de software legal en el ámbito corporativo, consiste en implementar estrategias de seguridad que impidan, de forma directa, la instalación o descarga no autorizadas de programas de ordenador.

De entre las múltiples estrategias disponibles, pueden destacarse las siguientes:

1. Creación de una imagen digital corporativa de los discos duros de los usuarios, cuya alteración no sea permitida (o genere un aviso automático al Responsable de la Gestión Legal del Uso de Software
2. Bloquear a nivel de servidor “proxy” los puertos de comunicación utilizados por los programas y plataformas P2P
3. Instalar software de filtrado, con el fin de impedir el acceso por los usuarios a páginas de descarga o de enlaces P2P
4. Inhabilitar los puertos USB y los lectores de CD/DVD
5. Impedir la instalación de programas P2P
6. Filtrado de paquetes de IP la red corporativa para la detección de protocolos de intercambio de archivos
7. Implementar sistemas de “whistleblowing”, a través de los cuales los empleados puedan denunciar, de forma confidencial, mala prácticas de otros empleados o usuarios

Auditorías periódicas

Uno de los aspectos fundamentales para asegurar la eficacia de las políticas corporativas de gestión legal de software, es la realización de auditorías periódicas de verificación del uso de programas de ordenador en los sistemas de la empresa.

Dichas auditorías deben estar orientadas a:

1. Identificar la totalidad de programas instalados y/o en uso.
2. Identificar las particularidades e instalación o uso de cada programa, en especial en cuanto a su implementación en sistemas de red, con el fin de asegurar su adecuación a los límites contractuales establecidos en las licencias de fabricante.
3. Identificar la totalidad de licencias contratadas, con el fin de poder detectar de forma rápida posibles faltas de cobertura, y actuar en consecuencia.
4. Identificar si los usuarios (empleados, colaboradores, terceros), han incurrido en actividades prohibidas o no permitidas por las políticas corporativas, y aplicar las medidas preventivas o disciplinarias que eliminen la responsabilidad de la empresa.
5. Prevenir y evitar los riesgos derivados del uso no autorizado de software, antes de que se produzca el daño para la empresa.

La metodología SAM describe la forma correcta de realizar estas auditorías, y asegurar la consecución de los anteriores objetivos.

Certificación ISO 19770

La metodología SAM constituye un estándar internacional de gestión de los sistemas de información, soportado por su correspondiente Norma: UNE-ISO/IEC 19770-1:2008. Con su implementación, en consecuencia, las empresas obtienen la confianza derivada de la aplicación de los máximos estándares internacionales en la materia.

Adicionalmente a la metodología SAM, existen en el mercado sistemas de certificación específicamente diseñados para la gestión de software legal.

Para aquellas empresas que, además de disponer de una metodología de gestión de software adecuada, deseen que las mismas sean certificadas, AENOR dispone un programa de Certificado para la Gestión del Software Original. Mediante este Certificado, pionero en Europa en este campo, AENOR avala la gestión de las empresas comprometidas con el respeto a la propiedad intelectual y los derechos asociados al uso del software.

Asimismo, los procesos de Certificación ISO en materia de Gestión de la Seguridad de la información, cubren de forma completa, entre otros aspectos, los relacionados con el uso legal de software.

Gestión de activos de software (SAM)

Ante la necesidad de que las empresas establezcan políticas efectivas de gestión legal de software y del control de las licencias de software adquiridas, la Gestión de Activos de Software (o Software Asset Management) es la metodología más adecuada para proteger a su empresa de los riesgos antes descritos.

La metodología SAM, orientada a que su empresa pueda detectar fácilmente que de qué programas y las posibles faltas de cobertura de la correspondiente licencia de fabricante, aporta los siguientes beneficios en el ámbito de la gestión de activos tecnológicos:

1. Gestión adecuada de los riesgos empresariales derivados del uso de programas de ordenador.
2. Control de costes asociado al uso de software en el ámbito empresarial.

Adicionalmente, la metodología SAM aporta ventajas competitivas a la empresa, en especial:

1. Al asegurar la calidad de los sistemas que soportan la toma de decisiones empresariales.
2. Adecuado alineamiento de los recursos tecnológicos con las necesidades de la empresa.
3. Rapidez y fiabilidad en el despliegue de nuevos sistemas y funcionalidades.
4. Reducción de problemas derivados del uso de las tecnologías, con el consecuente incremento de la satisfacción de los clientes y de la motivación de los recursos humanos.
5. Simplificar las transferencias de activos de software asociados a operaciones empresariales (fusiones, adquisiciones, etc.).

La metodología SAM contiene los siguientes procesos:

1. Realización de inventario de software 
2. Verificación de correspondencia entre programas intalados y licencias adquiridas 
3. Revisión de políticas y procedimientos de gestión legal del software 
4. Desarrollo de un plan de acción de gestión de activos de software

Responsable de seguridad

Para asegurar que la empresa utiliza en todo momento software con la correspondiente licencia, es imprescindible la existencia de una persona responsable en este ámbito dentro de la organización (y que puede coincidir con la Dirección de Sistemas de Información, o con la persona designada como Responsable de Seguridad a efectos de la LOPD).

Dicha persona que debe contar, en todo momento, con el apoyo de la dirección de la empresa en cuanto a las funciones que le sean atribuidas.

Con carácter mínimo, el Responsable de la Gestión Legal del Uso de Software debería contar con las siguientes responsabilidades y funciones:

1. Elaborar las normas y políticas internas de la empresa en cuanto a uso y adquisición de software.

2. Proponer a la dirección de la empresa las adquisiciones de programas de ordenador, o su correspondiente actualización o renovación, que sean necesarias para asegurar que el uso de programas de ordenador en los sistemas informáticos de la empresa se adecúen a la normativas vigente en materia de propiedad intelectual, y se adecuen a las condiciones contractuales establecidas por las empresas fabricantes de dichos programas.

3. Proponer a la dirección de la empresa la desinstalación o borrado de programas de ordenador que sean necesarias para asegurar que el uso de programas de ordenador en los sistemas informáticos se adecúen a la normativas vigente en materia de propiedad intelectual, y se adecuen a las condiciones contractuales establecidas por las empresas fabricantes de dichos programas.

4. Recabar el asesoramiento o apoyo interno o externo que considere necesario para velar por la plena legalidad en el uso de programas de ordenador en los sistemas informáticos de la empresa.

5. Realizar auditorías periódicas sobre el uso de software en los sistemas de la empresa, informar de sus resultados a la dirección de la empresa, y proponer la adquisición o borrador que sean precisos, así como la posible adopción de medidas disciplinarias.

6. Establecer un control centralizado de programas de ordenador instalados y/o en uso (inventario de software).

7. Establecer un control centralizado sobre el total de licencias adquiridas por la empresa (inventario de licencias de software), y asegurar su correspondencia con el inventario de software.

8. Asegurar que todo el personal de la empresa suscribe compromisos contractuales sobre el uso legal de software.

9. Asegurar con los proveedores, subcontratistas y colaboradores externos de la empresa suscriben compromisos contractuales sobre el uso legal de software vinculado a los servicios prestados a la empresa.

10. Asegurar la formación y sensibilización de los empleados proveedores, subcontratistas y colaboradores externos de la empresa, y en especial de su conocimiento de las políticas corporativas de gestión legal de software.

Actualización del alcance de las licencias

De forma paralela a las auditorías periódicas sobre el uso de software legal, es imprescindible actualizar el alcance de las licencias de uso adquiridas por la empresa.

Como es natural, las necesidades y requerimientos de la empresa varían con el tiempo, así como el número de usuarios sociado a cada proceso productivo, y a cada uno de los programas asociados a cada proceso.

Por ello, suele ser habitual que se incrementen los usos de programas, en especial en casos de usos concurrentes, conforme incrementa la actividad de la empresa, sin que se produzca la debida actualización en paralelo de las licencias necesarias para cubrir dichas nuevas necesidades.

El objetivo final de la actualización de licencias debe estar alineado con los objetivos últimos de las políticas globales de gestión legal de software, y que son:

1. Gestionar de forma correcta los costes asociados al uso de software
2. Asegurar la normalidad en el uso de programas
3. Evitar incurrir en riesgos derivados de usos de programas no controlados

La metodología SAM describe de forma detallada las cuestiones relacionadas con los diversos tipos de licencia y su actualización.

Documento de seguridad

Una de las obligaciones derivadas de la implementación de la LOPD en el ámbito empresarial. Consiste en la elaboración de un Documento de Seguridad, que detalle la implementación de las medidas de seguridad exigidas por dicha norma a los sistemas y programas informáticos vinculados al tratamiento de datos personales.

En la elaboración del Documento de Seguridad, es imprescindible la realización de un inventario exhaustivo de las aplicaciones, programas y sistemas operativos que tratan los datos de carácter personal responsabilidad de la empresa.

Una buena práctica de gestión de activos de IT consiste en aprovechar el anterior esfuerzo, para inventariar, no sólo los programas asociados a las medidas exigidas por la LOPD, sino también la totalidad de programas instalados en los sistemas de su empresa, y verificar su adecuada cobertura por licencia del fabricante.

Debe destacarse la importancia de este esfuerzo de inventario: en el supuesto de que la empresa tenga instalados programas sin licencia en los mismos sistemas informáticos en los que se realiza el tratamiento de datos personales, la seguridad de éstos puede quedar comprometida. Dicho riesgo es aún mayor, cuando los programas sin licencia interactúan con las aplicaciones directamente vinculadas al tratamiento de datos personales, como sucede en el caso de programas ofimáticos.

A la hora de elaborar el Documento de Seguridad, debe describirse el hallazgo de software sin licencia como una amenaza para la seguridad de los datos personales., al constituir un posible origen de incidencias de seguridad asociadas a su tratamiento.



A tal efecto, el Documento de Seguridad debe incluir procedimientos de verificación y control sobre la posible existencia de software sin licencia en el sistema , en especial en la descripción de los controles periódicos que la empresa debe realizar para asegurar la aplicación continuada de las medidas exigidas por la LOPD.

Finalmente, dicha verificación y control debe incluirse en la realización de las auditorías bienales obligatorias para ficheros de niveles medio y alto.