alm tecnologia

Você está em dia com as licenças Microsoft?

O objetivo deste artigo é ajudar o empresário a se preparar para a fiscalização BSA/Microsoft. Queremos compartilhar nossa experiência neste processo no qual já ajudamos várias empresas a passar da melhor maneira possível.

Nestes últimos anos a Microsoft investiu pesado na sua área de compliance para intensificar suas ações de fiscalização em empresas de todos os tamanhos. Nestes últimos anos temos visto este processo como algo rotineiro, mesmo em empresas com apenas 5 computadores. Sua empresa está preparada?

Em primeiro lugar o empresário tem que ter consciência de que a fiscalização da Microsoft pode gerar problemas reais e não deve ser tratada levianamente. Existem vários casos de perdas financeiras significativas. Um exemplo disso é o caso da Universidade Candido Mendes, no qual a justiça autorizou o leilão de sua sede para pagamento do processo. Maiores informações podem ser obtidas em http://www.valor.com.br/empresas/5093312/por-divida-com-microsoft-predio-de-universidade-carioca-vai-leilao .

Porque sua empresa pode estar com pendências de licenciamento?

O licenciamento Microsoft é um assunto complexo e não é tarefa para qualquer um. Muito raramente os técnicos de TI entendem suas nuances e ele é na maioria dos casos o grande causador dessas irregularidades. Vimos muitos casos de empresários que acreditavam que estavam completamente cobertos legalmente, uma vez que adquiriram seus equipamentos de empresas conceituadas com a licença original, mas, mesmo assim, foram obrigados a adquirir novas licenças. Em alguns casos, o empresário comprou produtos com licenças originais mas inadequadas para o uso corporativo. Muitos deles usam softwares piratas por puro desconhecimento – alguns maus profissionais na ânsia de fechar a venda ou implementar o sistema adquirido omitem a necessidade de aquisição de outros sistemas fundamentais – em especial do Banco de dados SQL Server, que é um produto excelente, mas que é um produto caro. E colocam um produto não licenciado em sua empresa, o que pode comprometer sua empresa de várias formas, não apenas na fiscalização. Os cenários mais comuns são:

  • A aquisição de computadores com licença Home para uso em ambiente corporativo. Seu Windows e Office podem ser originais, mas com licença para usuário doméstico. Estas licenças não permitem seu uso em um ambiente corporativo. É de longe o erro mais comum encontrado.
  • A instalação de produtos com mídias diferentes de produtos similares. Muitas das empresas que possuem contratos de volume também adquirem equipamentos com licença embutida do fabricante (OEM). Já tivemos conhecimento de casos que por descuido do setor de TI a instalação em produtos que possuíam a licença OEM era feita com a mídia de volume (que é mais fácil de instalar). Como resultado a empresa teve que arcar com vultuosas aquisições de licenças totalmente desnecessárias por conta deste detalhe.
  • Licenças incompletas. Compra-se as licenças de servidor Microsoft, mas não se adquirem as CALs de acesso suficientes para todos os usuários. Situação muito comum.
  • O desconhecimento. Em uma rede de supermercados todas as estações rodavam Linux. O empresário acreditava que só por isso estava coberto quando foi alvo da fiscalização. Mas o sistema do mercado usava o banco de dados SQL Server e o modelo de licenciamento escolhido foi incorreto. Esse descuido causou um custo de alguns milhões por este detalhe. Isso poderia ser evitado com o licenciamento adequado ou o uso de outra solução de banco de dados.
  • Os usuários. É muito comum os usuários solicitarem à área de TI a instalação de softwares que estão acostumados mas para os quais a empresa não possui licença. O campeão de solicitações é o Office. Já presenciamos casos que o técnico de nível I , acreditando que estava ajudando o usuário, instalava versões deste sistema mesmo contra a política da empresa. Sistemas de inventário automático e constante são fundamentais para perceber estes acontecimentos e corrigi-los assim que for possível.
  • A comodidade. Muitas vezes a equipe de TI não está familiarizada com soluções de código aberto (em especial servidores Linux e afins) e acaba usando soluções Microsoft sem o devido licenciamento. Muitos vezes encontramos servidores não licenciados Microsoft podem ser substituídos por versões equivalentes baseadas em Linux. Isso é especialmente verdadeiro para servidores de arquivos, de autenticação e backup.

Como me preparo para evitar problemas com a fiscalização?

A melhor forma de evitar problemas com a fiscalização da Microsoft é a preparação. É preciso definir que sistemas proprietários como os da Microsoft são fundamentais para o funcionamento de sua empresa. Para estes, o licenciamento correto deve ser aplicado. Vale muito a pena avaliar soluções alternativas que podem ser muito interessantes em questão de custo de licenciamento e implantação.

É fundamental manter a documentação da aquisição destes sistemas mesmo após o prazo legal de armazenamento da Nota Fiscal de 5 anos. Mantenha esta documentação separada do armazenamento geral das notas fiscais e de preferência tenha estas notas em formato digital de maneira facilmente acessível. Caso não possua mais esta documentação, em alguns casos é possível obter a mesma com o fabricante. Já conseguimos com a Dell, através dos Service Tags, notas fiscais com mais de 5 anos e em um caso específico, a declaração de conformidade de produtos bem mais antigos. Mas isto demora um pouco e por este motivo é bom pedir com antecedência.

Mantenha seu inventário de sistemas atualizados e corrija eventuais divergências assim que possível.

Minha empresa foi contatada pela Microsoft. O que devo fazer agora?

O primeiro passo é levar este contato a sério. É fundamental fazer um levantamento preciso dos softwares utilizados na sua empresa e checar se não houve instalações não autorizadas de softwares não licenciados.Este levantamento deve ser feito por uma empresa especializada que entenda de licenciamento e que tenha por objetivo apoiar sua empresa e não apenas vender licenças. Geralmente que entra em contato é um parceiro comercial da Microsoft, e seu foco é a venda de licenças. Não faz parte do esforço dele oferecer outras opções ou meios de comprovação. Faz parte do esforço dele demonstrar o maior gap de licenças possível pois é na venda dessas licenças que ele lucra. Todo o cuidado é pouco nesta fase. Faça o levantamento mais acurado possível e se possível regularize sua situação antes de enviar a PUA (planilha de Excel) ou instalar o software de inventário, onde você mesmo informa a sua utilização de softwares Microsoft. Todos os softwares Microsoft informados precisarão de comprovação via nota fiscal ou contrato de volume Microsoft. Nenhum outro meio de comprovação é aceito nessa fase. Não conte com selo de Windows Original, ou os de chave do Office do fabricante ou de quaisquer outros pois os mesmos não são levados em consideração neste momento. Só consideram comprovados os produtos que possuírem notas fiscais ou contratos de volume. Como mencionado anteriormente, uma opção é contatar o fornecedor dos equipamentos para que ele forneça a documentação necessária para a comprovação da aquisição dos softwares utilizados.

Em alguns casos muitas das não conformidades podem ser contestadas. Aqui você depende de um especialista com embasamento e sem interesse financeiro na aquisição de licenças para a contestação. Em alguns casos é possível zerar ou mesmo reduzir consideravelmente a quantidade de licenças a serem adquiridas. Também é possível a escolha da melhor licença, reduzindo os custos de aquisição. Particularmente no caso do Office, faz muito mais sentido alugar a licença no modelo Office 365 do que adquirir a licença vitalícia. O custo é menor e pode ser diluído em parcelas mensais.

Conclusão

Nós da ALM temos muita experiência nestes processos de auditoria da Microsoft. Já ajudamos nossos clientes em várias fases do processo. É fundamental saber que soluções Microsoft sua empresa realmente necessita e manter seu licenciamento correto. Se precisa do produto, licencie-o corretamente. Somos especialistas em sistemas de código aberto e com eles muitas vezes substituímos soluções proprietárias com menor custo, maior desempenho e confiabilidade. Em casos de dúvidas, estamos à disposição para esclarecimentos adicionais.

alm tecnologia

Você está pronto para ter seus dados sequestrados?

Você está pronto para ter seus dados sequestrados?

O foco deste artigo não trata de impedir a invasão. Existem meios de reduzir o risco de ser invadido, e com certeza você deve procurar evitar que as invasões ocorram. Mas com a crescente sofisticação e pulverização dos ataques, mesmo empresas que contam com times de segurança e investimento de milhões de dólares tem sofrido com invasões e perda de dados. O ponto do artigo é: se você for invadido hoje, e seus dados ficarem indisponíveis, como você se recupera deste ataque? Com a massificação de ataques do tipo ransomware, a invasão deixou de ser uma preocupação apenas para grandes empresas.

Considere a sua estratégia de recuperação como um seguro contra roubo de veículo. Você espera nunca precisar do seguro, mas se precisar, é melhor ter do que não ter. O custo do seguro é alto, mas não ter o seguro pode custar muito mais caro.

Os riscos estão cada dia maiores.

Todos os dias temos notícias de uma nova variação de ataque do tipo ransomware, que basicamente é um vírus que criptografa seus arquivos e exige um resgate para entregar a chave ou outro meio de recuperação de seus dados. Geralmente o resgate é pedido em Bitcoins, e pagar o resgate nem sempre é garantia de você terá os seus dados de volta. Portanto, é fundamental que você tenha uma estratégia de recuperação de desastres que permita você voltar a operar normalmente e rapidamente com a menor perda de dados possível. A estratégiase divide em três pontos

1 – backup de dados. É fundamental possuir backup de todos os dados em um ambiente seguro que não seja também contaminado pelo vírus. É muito comum hoje em dia backups em discos rígidos, sejam internos ou externos. Mas se os discos utilizados estiverem diretamente acessíveis por sistemas contaminados, seus dados também serão criptografados. Portanto, se usar discos externos, certifique-se de desconectar os mesmos assim que concluir o backup dos dados.

Fazer backup desta forma não é muito prático. Uma boa opção é usar um serviço em nuvem de backup que permita a criação de versões dos arquivos. Assim, em caso de sequestro, basta retornar o arquivo para a versão anterior à criptografia ser aplicada. Existem vários serviços deste tipo, como Dropbox, Onedrive, Google Drive. É uma boa opção para pequenas empresas. Mas conforme o volume de dados aumenta, é preciso levar em conta o tempo de restauração. Você precisará pedir para seu provedor de serviços voltar os arquivos para um momento específico e vai ter que fazer o download de todos os arquivos – algo que pode ser bastante demorado. E também é importante ver se as regras de privacidade destes serviços atendem aos requisitos de sua empresa. Muita atenção nesta questão.

Em nossos clientes damos preferência à implementação da ferramenta de backup corporativo Bacula. É uma solução baseada em Linux, que é implementada de modo a não ser afetada pela grande maioria das ameaças atuais e que permite a restauração de dados em um tempo muito menor.

Mas recuperar os dados é só uma parte da solução. Você precisa de seus sistemas disponíveis para utilizar os seus dados. E aí entra a virtualização.

2-Virtualizar suas máquinas mais importantes e fazer snapshots diários automáticos. Com a oferta de servidores de entrada a custos próximos ao de um bom desktop e com soluções de virtualização gratuitas é possível virtualizar suas máquinas. A maior vantagem da virtualização é a flexibilidade – você pode ter várias máquinas virtuais dentro de um único servidor físico, você pode mover esta máquina virtual para outro servidor de virtualização rapidamente e principalmente você pode restaurar a máquina virtual para um momento anterior em questão de minutos. Você pode voltar seu servidor para o dia anterior ao da invasão e ter todos seus sistemas disponíveis em minutos, em vez de horas.

3- Monitoramento. Não adianta implantar todas estas estratégias e não acompanhar seu correto funcionamento. Mesmo o melhor dos servidores eventualmente precisa de intervenções. Acompanhar a saúde do seu ambiente como um todo é fundamental para que quando você precisar restaurar seu ambiente, todos os dados e servidores estejam disponíveis. Infelizmente é muito comum encontrarmos empresas de todos os portes que descuidam do bom acompanhamento das soluções implementadas, achando que elas se manterão por si só indefinidamente funcionais.

Conclusões

Investir em soluções de segurança para reduzir o risco de invasões é fundamental, mas isto não significa que você não deve se preparar para uma eventual contingência. Os passos aqui descritos também fazem parte de um ambiente de recuperação de desastres que pode ocorrer por outros motivos, como falhas em equipamentos, incêndios e furtos. É fundamental estar preparado para esta realidade. A continuidade de sua empresa pode depender disso. Nós temos um time preparado para implementar e manter soluções que visam garantir a continuidade de seus negócios a um custo muito menor do que com soluções proprietárias. Entre em contato para mais informações.