Una auditoría de software a menudo se considera una molestia o una pérdida de tiempo, pues ocurre que requiere gran dedicación de tiempo y se gasta energía realizándola. En esta nota le hablaremos sobre los errores más comunes que se presentan en los procesos de auditorías informáticas empresariales.
Una auditoría de software a menudo se considera una molestia y una pérdida de tiempo, pues el personal de TI y otros procesos dedican mucho tiempo, esfuerzo y energía a prepararse para la auditoría hasta el último detalle. Aun así, en muchos casos el informe final de los proveedores muestra fallas. Estos errores a menudo se deben a pequeños desaciertos que comete la empresa, sin siquiera darse cuenta de su impacto.
Por esta razón, hoy le contamos los errores más comunes que suceden en las auditorías informáticas a las empresas.
¿Qué es una auditoría de software?
Una auditoría de software es un proceso por medio del cual un proveedor valida las condiciones de uso del software por parte de un cliente y las compara con los derechos de uso adquiridos. En la gran mayoría de los casos estas auditorías buscan proteger los derechos de propiedad intelectual del fabricante del software, aunque también es común que sean utilizadas como mecanismos de presión para lograr el cierre de transacciones comerciales.
Si la auditoría revela problemas con las licencias de software, se generan cobros de licencias, multas y sanciones a la empresa, además es posible que incluso se enfrente a acciones legales.
Según el tamaño de la organización y el consumo de software, las auditorías pueden realizarse anualmente o después de un crecimiento reciente. Es inusual que una empresa pase más de dos años sin una auditoría.
No contar con un equipo de respuesta a la auditoría formal
Comúnmente, las empresas no centralizan la comunicación con los auditores a través de un equipo formalizado. Los proveedores a menudo tienen acceso directo a los administradores de TI y al personal de operaciones, lo que puede llevar a un intercambio excesivo de información o datos recopilados que no son relevantes para el alcance de la auditoría de software.
Sin embargo, lo ideal sería que designe un único punto de contacto para cualquier revisión de licencia a fin de evitar fugas de información que aumenten los hallazgos adversos y la exposición al riesgo de implementación excesiva de software.
Los datos proporcionados a proveedores y auditores contienen demasiada información
Durante una reunión inicial o de alcance, los auditores hablan sobre los procedimientos de recopilación de datos. Por lo general, brindan flexibilidad sobre cómo extraerán los datos de software pertinentes de las herramientas existentes o sus propios scripts de shell personalizados.
Sin embargo, en la mayoría de las veces, la salida contiene información que no es directamente relevante para el alcance de la revisión del proveedor. Es por ello que resulta importante que revise el código de cualquier script personalizado y verifique las palabras clave que se utilizan para las consultas de descubrimiento de software, ya que podrían revelar datos sobre usuarios, sistemas u otros proveedores que no deben exponerse.
Saber menos de sus activos de software que el proveedor
La mejor defensa contra los resultados negativos de las auditoria de activos de software es conocer el entorno tecnológico al revés. En muchas empresas, la calidad de la información de su inventario TI es el mayor desafío, pero si no sabe cuáles son sus activos tecnológicos, es probable que tenga problemas con las auditorías, pues si no conoce sus activos, ¿cómo puede hacer cumplir los controles y documentar esa acción?
Depender de los procesos manuales para atender las solicitudes de los auditores
Configurar servidores, herramientas y otros activos tecnológicos para cumplir con los plazos y ejecutar los requisitos de cumplimiento es difícil, y no utilizar herramientas de automatización para estas labores, es prepararse para fallar.
La capacidad de rastrear fácilmente los activos y su entorno es especialmente importante cuando hay multas y gastos adicionales en juego.
Ver a los auditores como a un enemigo
Generalmente las empresas no están felices de escuchar acerca de una próxima auditoría en cualquier área o proceso. ¿Quién quiere que un experto externo revise su operación, documentación y entreviste al personal? Ver a los auditores como adversarios solo conduce a más problemas.
Estar preparado para cumplir con estas expectativas de los proveedores contribuirá en gran medida a lograr resultados de auditoría exitosos, y solo puede hacerlo si considera a los auditores como socios en ese proceso.
No cuestionar los hallazgos, cálculos y suposiciones de la auditoría
Una vez que los datos de implementación del proveedor se recopilan y concilian con los derechos de compra del cliente, los auditores generarán una tabla de cumplimiento que resume la posición de licencia efectiva del auditado, marcando cualquier problema de licencia en rojo.
En algunos casos, las empresas no intentan auto-auditar los hallazgos ni verificar si los cálculos y las suposiciones son razonables y corresponden a la realidad de uso. No hacerlo puede costarles una cantidad exorbitante de software y tarifas de soporte al liquidar la auditoría.
Para estar completamente preparado para las evaluaciones de los proveedores y evitar los errores que le mencionamos, es necesario contar con el apoyo de un aliado auditor de software experto que lo guíe en la gestión de sus activos de software y planificación de las auditorías, alguien que no tenga contratos de asociación, partnership, distribución o implementación con el fabricante del software, que esté de su lado y que no tenga conflicto de intereses.
Softimiza es ese aliado que necesita, con nuestro servicio de Software Asset Management lo ayudamos a que la gestión de sus licencias no sea un laberinto y lo apoyamos en todos los procesos de auditoría para garantizar el éxito.
Artículo tomado de Softimiza
