As agências federais operam em alguns dos ambientes com maior intensidade de software a nível mundial, tirando partido de uma mistura diversificada de ferramentas comerciais, de código aberto, no local e baseadas na nuvem para cumprir as suas missões. Gerir eficazmente este ecossistema de software já não é opcional, é vital para manter a integridade operacional, garantir a cibersegurança e exercer a responsabilidade fiscal.
Apesar da disponibilidade de estruturas federais comprovadas de gestão de activos de software (SAM), tais como ISO/IEC 19770, as diretrizes de gestão de activos de TI do NISTe mandatos como o Lei MEGABYTEmuitos organismos ainda não as aplicaram efetivamente. Esta falta de adoção prejudica os esforços para reduzir o desperdício de software, garantir a conformidade e reforçar a cibersegurança. As barreiras comuns incluem recursos limitados, sistemas em silos e a ausência de uma governação SAM centralizada
Perdido no licenciamento: Uma questão federal
Um relatório recente do Gabinete do Inspetor Geral (OIG) instou a Agência de Proteção Ambiental (EPA) a modernizar o seu inventário de licenças de software. O OIG salientou lacunas significativas em termos de responsabilidade e visibilidade, referindo que a agência ainda não tinha designado um sistema de registo para os dados de licenças de software, uma base essencial para qualquer estratégia de SAM.
"Sem um inventário completo e exato dos dados de aquisição e licenciamento de software, a Agência não é responsável nem tem visibilidade do software instalado na sua rede."
A EPA não é a única a enfrentar este desafio. Inúmeras agências federais ainda operam sem um inventário de licenças centralizado e autorizado. Sem a infraestrutura para controlar os direitos e a utilização, estas agências permanecem vulneráveis a incumprimentos, ineficiências e custos desnecessários.
Quadros SAM federais comprovados, implementação deficiente
A norma ISO/IEC 19770-1 descreve práticas abrangentes de SAM, incluindo controlo de licenças, gestão de direitos, maturidade de processos e melhoria contínua. As publicações do NIST, como o SP 1800-5 e o SP 800-53, sublinham ainda mais o papel do SAM no reforço da cibersegurança e da governação do ciclo de vida das TI.
Estas estruturas federais de SAM são maduras, testadas no terreno e amplamente adoptadas no sector privado. No entanto, a adoção no espaço federal continua a ser limitada. A lacuna não está nas estruturas em si, mas na capacidade das agências de as implementar eficazmente.
Principais razões para a subutilização
Falta de recursos dedicados
De acordo com um relatório do GAO de 2024, várias agências admitiram que não tinham os conhecimentos internos necessários para analisar as licenças de software ou que não dispunham de uma função formal de SAM. As responsabilidades estão frequentemente dispersas pelas equipas de aquisições, cibersegurança, jurídica e TI, o que leva a uma propriedade fragmentada e a uma execução inconsistente.
Despesas excessivas devido à fraca visibilidade
Um número impressionante de 45% das organizações, tanto governamentais como privadas, gasta demasiado em software devido a uma visibilidade inadequada da utilização e dos direitos de licença. Sem dados de utilização exactos, as agências não podem avaliar com confiança as necessidades ou racionalizar as carteiras de software.
Restrições orçamentais e prioridades concorrentes
As iniciativas de SAM perdem frequentemente para prioridades de financiamento mais imediatas, como a cibersegurança e a modernização. Embora o SAM ofereça poupanças a longo prazo, as agências têm dificuldade em justificar o investimento inicial em ferramentas e pessoal necessários para implementar estruturas como a ISO 19770.
Sistemas isolados e dados inconsistentes
Os inventários de software estão normalmente espalhados por folhas de cálculo, CMDBs desactualizados e ferramentas de fornecedores desconectados. A ISO 19770-2 depende de uma marcação consistente de identificação de software - algo quase impossível sem dados centralizados e normalizados.
Ausência de governação de SAM a nível empresarial
Mesmo as agências com capacidades de rastreio carecem frequentemente de estruturas de governação para aplicar a política SAM nas unidades empresariais. Sem um controlo centralizado, as aquisições tornam-se inconsistentes, a utilização de licenças é redundante e a otimização entre agências é inatingível.
As consequências de uma SAM fragmentada
As agências que não conseguem operacionalizar os quadros federais de SAM enfrentam três riscos principais:
- Desperdício financeiro: As aquisições redundantes e as licenças subutilizadas aumentam os custos de operação e manutenção (O&M), desviando os fundos das prioridades críticas da missão.
- Vulnerabilidade de auditoria: Os registos de direitos incompletos aumentam a exposição a auditorias de fornecedores e análises regulamentares.
- Lacunas de segurança: Inventários de software imprecisos e aplicações não geridas alargam a superfície de ataque e dificultam as iniciativas de confiança zero.
Melhorar a conformidade com o Open iT
As soluções de gerenciamento de licenças de software criadas especificamente para ambientes de TI complexos - como a Open iT - desempenhamum papel crucial para ajudar as agências federais a operacionalizar as estruturas SAM.
Normalização e agregação de dados
A Open iT recolhe e normaliza dados de utilização de fontes díspares - gestores de licenças, ficheiros de registo, sistemas de nuvem e atividade do utilizador - num inventário unificado. Isto suporta a conformidade com a norma ISO 19770-1 e cria a visibilidade necessária para uma governação informada.
Reconciliação e otimização de licenças
Ao mapear a utilização real em relação aos direitos, a Open iT suporta a reconciliação e otimização de licenças. Isso permite um dimensionamento preciso do software e fortalece as negociações com insights baseados em dados.
Governação e relatórios
Com dashboards e análises personalizáveis, a Open iT permite que as equipas de governação apliquem políticas, acompanhem tendências de utilização e suportem relatórios de conformidade alinhados com mandatos federais.
Serviços SAM geridos por especialistas
Os Managed SAM Services da Open iT ajudam as agências federais a operacionalizar padrões como o ISO/IEC 19770, fornecendo rastreamento de licenças de software orientado por especialistas, análise de conformidade e gerenciamento centralizado de dados. Isso garante a prontidão contínua da auditoria, reduz os riscos de não conformidade e libera recursos internos para tarefas de maior valor.
Seguir em frente: Colmatar o défice de implementação
Apesar da orientação e dos mandatos disponíveis, a maioria das agências federais ainda está longe de perceber os benefícios da gestão estruturada de activos de software. As ferramentas e as estruturas existem - mas o compromisso da liderança, a governação e o apoio à implementação são o que irá colmatar a lacuna.
Recomendações:
- Nomear um proprietário do programa SAM com autoridade em toda a empresa.
- Aproveite os serviços geridos de SAM para iniciar a implementação e a formação da estrutura.
- Investir em ferramentas como a Open iT que suportam a integração de dados de várias fontes, a monitorização da utilização de licenças e a reconciliação de direitos.
- Integrar a SAM com as operações de aquisição, cibersegurança e TI para garantir uma abordagem de governação unificada.
As estruturas SAM federais não se implementam a si próprias
As normas são claras. A tecnologia existe. O que falta é a ponte operacional entre a orientação e a execução. A SAM eficaz não tem apenas a ver com a conformidade - tem a ver com a capacitação das agências para gerirem os activos de TI com inteligência, agilidade e disciplina fiscal.
A Open iT traz a visibilidade, as ferramentas e a experiência necessárias para operacionalizar o SAM em escala - transformando dados fragmentados de licenças em inteligência acionável.
Traga o seu software para a luz. Contacte a Open iT para transformar o caos das licenças em clareza.
