Pocas veces a lo largo de mi carrera me he encontrado con una situación tan paradójica. La mayor parte de nuestros clientes llevan años invirtiendo en soluciones para gestionar sus activos de software. Tras años de parches y aproximaciones demasiado elementales parece que hay por fin un cierto consenso en el mercado sobre la necesidad de tener bajo control el software que tenemos instalado en nuestras empresas. Más aún, después de las recientes crisis de seguridad relacionadas con el Ramsonware y en concreto alrededor de Wannacry, ha quedado más patente que nunca la necesidad de tener una gestión mucho más proactiva de nuestros activos de software. El hecho de no tener un control absoluto de dichos activos y no disponer de los procesos y disciplinas de gestión adecuadas junto a una solución de despliegue rápida de las mismas puede suponer un auténtico apagón de nuestras empresas y administraciones públicas.
Ha quedado más patente que nunca la necesidad de tener una gestión mucho más proactiva de nuestros activos de software
Si además pensamos que Wannacry no se diseñó para “ensañarse” con las empresas vulnerables, sino para diseminarse de forma aleatoria lo más rápido posible, me pregunto cuál podría ser el daño causado por un nuevo virus diseñado para profundizar en la herida una vez detectada la primera vulnerabilidad dentro de nuestras empresas.
En este contexto, habría que plantear varios interrogantes. ¿Cómo puede ser que millares de empresas y organismos públicos españoles sigan expuestos a vulnerabilidades publicadas por los fabricantes semanas y meses después de la fecha de publicación de las mismas? ¿Es un problema de falta de foco? ¿De herramientas o soluciones incorrectas? Tras meses de análisis y debate tanto con mis clientes como con mi equipo, he llegado a varias conclusiones.
1. No es un problema de selección de herramientas
Hay una gran variedad de herramientas para gestionar el inventario de software de nuestras empresas. La mayor parte de ellas (y sobre todo las más conocidas) son suficientemente buenas para tener la situación bajo control. De hecho, son entornos bastante sofisticados que permiten hacer multitud de cosas (en la mayor parte de los casos inexplotados).
2. Un enfoque muy poco realista
¿De dónde viene entonces la insatisfacción de los clientes con los proyectos adoptados hasta la fecha? Gran parte del problema está en el enfoque general que le estamos dando en nuestro país a la gestión de activos. La intención de acabar de una vez por todas con este problema. La idea de intentar hacer un proyecto que lo solucione y abarque todo. Un entorno que nos sirva para cualquier tipo de activo en cualquier situación y para cualquier plataforma.
3. Relativa trivialización del problema
Cuando los responsables de IT intentan poner orden en esto, no se plantean que parametrizar la cobertura de sus contratos de software en una herramienta y compararlos con las instalaciones dentro de la empresa pueda ser algo tan complicado. Y lo malo es que lo es. En casi cualquier gran empresa, los contratos de software contemplan situaciones relativamente complejas y difíciles de trasladar a una herramienta estándar. Contemplan docenas de excepciones y concesiones que son propias de cada empresa y que en ocasiones sólo saben interpretar quienes negociaron o firmaron dichos contratos. El 90% de lo descrito en un contrato es relativamente normal pero el último 10% es lo que hace que estos proyectos sean complejos y que tengamos la sensación de que nunca tenemos clara la foto al 100%. Y la situación no tiene visos de mejorar. La masiva virtualización y el despliegue en nubes híbridas (públicas y privadas) hace que la conciliación de los contratos existentes con nuestros inventarios chirríe todavía más.
El 90% de lo descrito en un contrato es relativamente normal pero el último 10% es lo que hace que estos proyectos sean complejos
4. La aproximación a la solución es más de “herramienta” que de “servicio”.
En la mayor parte de los casos, los encargados de la gestión de activos de software son grandes especialistas en las herramientas que utilizan y dominan estas soluciones y su parametrización, pero no lo son en la gestión y negociación de contratos de software. Esto implica que en muchas ocasiones la información que se introduce en las herramientas es simplemente incorrecta o incompleta. La sensación de los clientes al ver que la información no es 100% correcta legitima la sombra de duda permanente sobre estos proyectos. En este sentido, creo que el dominio y control de los activos gestionados es igual de importante, si no más que la herramienta utilizada para controlarlos.
5. Quien mucho abarca poco aprieta
La aproximación maximalista de la mayor parte de los proyectos juega en contra de este dominio y control. Es difícil encontrar socios que sean expertos en entender y gestionar contratos de compañías de ámbito tan diverso como Adobe, Microsoft, HP, IBM, Oracle, SAP, Autodesk,… por lo que cualquier equipo que se enfrente a resolver este problema de una vez, se encuentra con un reto titánico, más aún cuando se trata de información tan sensible como el control y el cumplimiento de los activos, donde los errores pueden tener mucha visibilidad.
En este contexto, lo perfecto es el peor enemigo de lo bueno. Por tanto, una aproximación pragmática puede ayudar mucho a las empresas en el reto de tener bajo control los activos de software.
Hay que aproximarse al problema con un prisma 80/20, entendiendo que 2 o 3 fabricantes aglutinan en la mayoría de los casos un 80% del gasto en software y el mayor número de vulnerabilidades. Por tanto, trabajar por fases con pocos fabricantes nos permitirá avances muy significativos en la gestión. Si además abordamos el problema de uno en uno, de forma que nos especializamos temporalmente en un fabricante, es mucho más fácil obtener éxitos parciales y tener la sensación de que se produce un avance y la sensación de control mejora.
Una vez que un fabricante está “bajo control” no resulta demasiado complicado mantenerse al día (si bien no es ni automático ni gratuito). Esto nos permite construir sobre lo conseguido y pasar al siguiente fabricante.
Tener los procesos, la metodología y las herramientas adecuadas
La gestión de activos de software no puede ni debe terminar en el control de los mismos. Disponer de los procesos y metodología, así como de las herramientas adecuadas para desplegar la tecnología (o desinstalarla) de forma ágil es la última pieza clave del puzzle. Saber lo que tenemos instalado, pero ignorar que estamos expuestos a una vulnerabilidad es un grave problema. Saber que tenemos una vulnerabilidad y no disponer de los procesos y la metodología para estar siempre actualizados es un problema igual de grave. Tener todo lo anterior bajo control y no disponer de la herramienta adecuada que nos permita desplegar de forma efectiva es simplemente frustrante.
En conclusión, las empresas tienen que ir paso a paso, acompasando inversiones con el retorno de la misma. Se trata de no perder de vista los objetivos de la gestión de activos de software: optimizar los costes, aumentar la transparencia y mejorar la seguridad. En definitiva, una aproximación que aprende de las experiencias recientes y reduce el riesgo.
