Gestão de Ativos de Software: porque não podemos negligenciar esse processo?

Gestão de ativos de software

No final de 2017, o Estado do Rio de Janeiro publicou uma lei que exigem que empresas contratadas a partir de um determinado valor , tenham sistemas de conformidade obrigatoriamente. Isso também aconteceu com o Distrito Federal, já em 2018 , onde o programa de conformidade também deve ser implantado nas organizações que negociam com o setor público dessa unidade federativa.

Seguindo essa postura, os fornecedores de licenças de software também exigem acompanhamentos de conformidade no uso das suas licenças. Quando um cliente assina um contrato de licenciamento volume com a Microsoft, por exemplo, ele se compromete a cumprir e respeitar a propriedade intelectual do fornecedor, de forma que os direitos sobre o uso do software sejam garantidos. Ou seja, o fornecedor pode solicitar informações ao cliente sobre o uso de seu software.

Devido a este tipo de acompanhamento por parte dos fornecedores, os clientes tendem (e devem) a criar controles internos sobre o uso de suas licenças. Esses controles também são chamados de processos de gestão de ativos de software. Os processos de gestão de ativos de software têm papel importante no cumprimento de regras de conformidade nas organizações, pois eles trarão mais agilidade ao time de TI em respostas aos fabricantes, além de uma melhor gestão na aquisição e uso dos softwares. Com isso, as organizações podem experimentar uma redução de custos com os orçamentos dos investimentos de TI. Esses investimentos podem ser otimizados para os softwares que a organização realmente necessite usar.

A gestão de ativos de software não pode englobar apenas o departamento de tecnologia, pois permeia processos organizacionais de compra e descarte quando necessário. Quando um processo de aquisição se inicia, o departamento de TI geralmente lança as especificações do que deve ser comprado. No entanto, este processo não fica apenas neste departamento. Logo em seguida, o departamento de compras prepara cotações e faz negociações. Depois, entra em cena o departamento financeiro concluindo a compra. Somente então, há o retorno do insumo para o departamento de TI, que deverá controlar o ciclo de vida dos softwares dentro da organização.

Então, diante do cenário de aquisição de software, a gestão dos ativos gerados por essa aquisição tem como missão executar o processo de Gestão de Ativos de Software (em inglês, Software Asset Management – SAM). Com este processo, é possível mitigar riscos em relação ao uso do software, respeitando assim todos os requisitos de propriedade intelectual dos fornecedores.

Por que é preciso gerenciar os ativos de software?

É preciso entender que Ativos de Software não são apenas os programas de computador, mas sim todos os direitos de uso dos softwares. Direitos esses que devem ser documentados com notas fiscais, licenças de uso e ainda contratos licenciamento pertinentes ao software.

A ISO/IEC 19.770 normatiza o processo de SAM, parametrizando os controles que são importantes para uma boa gestão desse processo. Quanto mais maduro e aderente aos departamentos e processos internos de uma organização mais fácil e segura é a sua gestão. O principal benefício de normatizar esse processo é que a padronização permite que o gerenciamento centralizado dos ativos de software seja aplicado a todos os fornecedores, proporcionando uma governança corporativa de TI mais adequada. Organizações que dispõem de um programa de compliance podem incorporar esta padronização para qualificar ainda mais seus processos.

Tipos de Gestão de Ativos de Software
Fonte: Modelo de Otimização de SAM – Microsoft

Todas essas questões de controle e padronização levam trazem grandes vantagens em situações onde os fornecedores solicitam informações à organização sobre a utilização dos softwares. Essas solicitações de informações de uso podem ser feitas através de processos de verificação amigáveis ou compulsórios, tornando ainda mais importante o real controle dessas informações.

Com o controle real das informações sobre os ativos de software, uma organização pode evitar surpresas desagradáveis em seu orçamento, seja por aquisição indevida de software (que geralmente acarreta gastos desnecessários), seja por uma falha na aquisição (deixando a empresa descoberta de algum licenciamento devido, podendo gerar até um passivo de multa).

Nos casos de verificação de licenciamento existem algumas formas que os fornecedores trabalham. Na Microsoft a verificação se dá através de duas formas:

Os processos de auditoria Microsoft

Como é o processo de SAM Microsoft?

O processo de SAM realizado por parceiros Microsoft traz segurança para o cliente quanto a qualidade do serviço desempenhando, garantindo assim que todo o processo de execução siga o padrão estabelecido. Assim, o cliente pode comprovar junto ao fabricante o bom uso e gestão dos ativos de software, além da proteção à propriedade intelectual.

Este processo não visa apenas contabilizar licenças ou encontrar desvios de utilização. Ele pode principalmente apoiar os clientes em novas aquisições, direcionando todo o licenciamento possuído para atender os projetos estratégicos atuais, permitindo uma evolução e/ou readequação das licenças, com objetivos de reduzir custos e melhorar os níveis de investimentos em TI.

Um parceiro especializado no licenciamento Microsoft e na execução deste processo fará toda a recomendação de adequações e ajustes de licenciamento de software Microsoft, além de, ao final do processo, solicitar à Microsoft o certificado de conformidade do cliente pelo período de 12 meses.

Todo o processo envolve basicamente algumas áreas e ações:

  1. Alinhamento com time de negócios do cliente sobre projetos estratégicos;
  2. Alinhamento com time de TI para entender como o negócio será impactado;
  3. Processos técnicos para início de coleta de informações de equipamentos;
  4. Levantamento de todos os contratos adquiridos;
  5. Cruzamento de dados coletados com os contratos adquiridos;
  6. Análise sobre adequações necessárias de acordo com os projetos estratégicos;
  7. Apresentação de recomendações de licenciamento;
  8. Envio de dados para fabricante, compartilhando os projetos estratégicos e os dados coletados.

Os clientes podem realizar auditorias internas com base nesse processo sem um parceiro. No entanto, esse processo não tem o reconhecimento formal da Microsoft como válido para certificação de conformidade emitida. O reconhecimento não é feito devido ao não compartilhamento dos dados ser possível.

Quais são os riscos envolvidos quando não tenho um processo de SAM?

O processo de SAM é voluntário, apoiado e orientado pela Microsoft. Quando o cliente não faz uma SAM, é importante perceber que a Microsoft como detentora dos direitos de propriedade intelectual dos softwares pode solicitar uma Verificação de Conformidade de Licenciamento, a qual chamamos comumente de auditoria.

Como apresentamos anteriormente, essa auditoria é mandatória, e não há flexibilidade quando encontradas diferenças no licenciamento comprado versus as licenças utilizadas. Uma vez que tais inconsistências são detectadas, o cliente deve realizar a aquisição dos softwares sem licenciamento. Já nos casos em que ele esteja usando uma quantidade menor de software do que tenha sido adquirido, ele não recebe nenhuma informação de como melhorar esse licenciamento, já que esse não é o objetivo da auditoria.

Gestão de Ativos de Software é um processo fundamental

Com isso, notamos que uma gestão de ativos de software é fundamental para garantir a utilização otimizada de recursos de TI. Além disso, processos de SAM ajudam a garantir uma boa gestão de riscos, evitando complicações geradas por inconformidades no uso de software.

As boas práticas, padronizadas pela ISO 19.770, permitem que as organizações tenham instrumentos de controle, que podem ser incorporados a área de compliance das empresas sugerindo controles adequados para um rápido amadurecimento e norteando os processos de gestão.


Thiago Freitas

Thiago Carvalho Freitas é Consultor Técnico na Lanlink, focado em operações Microsoft. Possui mais de 15 anos de experiência em Administração de Redes, Sistemas e Servidores Windows. É ainda especialista em Arquitetura de Redes e Cloud Computing, e está cursando o Mestrado Profissional em Climatologia na Universidade Estadual do Ceará – UECE.

Site Footer