Cómo abordar una auditoría de sistemas de información en una empresa

¿Cómo hemos de acometer una auditoría de sistemas de información desde el punto de vista del licenciamiento? Desde Evergreen Compliance exponemos cómo abordar su gestión para que los intereses de su empresa no se vean perjudicados por los fabricantes de software.

Las tecnologías de la información y las comunicaciones se han convertido en piezas esenciales para que una empresa pueda mejorar sus procesos de negocio y obtener una ventaja competitiva para reforzar su posicionamiento en el mercado.

¿En qué consiste exactamente una auditoría de sistemas de información desde la óptica del licenciamiento?

En este contexto, una auditoría de sistemas de información consiste, en definitiva, en la revisión de la instalación y uso de uno o varios programas, en virtud de la cual un equipo auditor realiza un análisis independiente sobre un sistema informático para verificar el cumplimiento estricto de las condiciones contractuales que regulen la adquisición, configuración y utilización de dicho programa o programas.

En la realidad los fabricantes se hacen valer de las auditorías de sistemas de  información para obtener beneficios, respaldados en innumerables ocasiones por unas cláusulas y métricas ambiguas, orientadas a imponer sus intereses en detrimento de los de los clientes.

De hecho, los propios clientes no disponen habitualmente de los recursos necesarios para gestionar estos complejos procesos.

Profundizando en esta cuestión, desde el punto de vista legal los fabricantes suelen establecer el derecho a auditar por defecto en sus acuerdos, ante lo cual tienen cabida las siguientes opciones:

• No suscribir el acuerdo y buscar otro proveedor que ofrezca un producto de similares características pero con condiciones de uso más claras, o que incorporen mecanismos y sistemas de seguridad que impidan realizar un sobredespliegue o utilizar funcionalidades que no hayan sido contratadas.
• Negociar con el fabricante la eliminación de la capacidad para auditar, o pactar unas cláusulas de uso y auditorías de sistemas de información claras y precisas.
• Gestionar la instalación, configuración, administración, mantenimiento y utilización de cada programa previendo el anuncio de una auditoría informática.

De hecho, usualmente se habla de dos tipos de auditoría de sistemas de información principales: internas y externas. Una auditoría interna suele llevarse a cabo por una persona o equipo de una empresa desde la perspectiva de las necesidades de la propia empresa. Por el contrario, una auditoría de sistemas de información externa es realizada por parte de los fabricantes (o sus partners) con la finalidad de detectar cualquier posible deficiencia que, en función de criterios parciales, podría generar un coste inesperado y elevado a sus clientes.

Por este motivo, al igual que sucede con una auditoría de seguridad informática, la mejor opción suele consistir en que un tercero independiente realice los trabajos de revisión de manera que, actuando con la misma óptica del fabricante, permita anticipar los resultados y adecuar el uso de los sistemas de información según lo contratado.

Resulta por ello de vital importancia disponer de una infraestructura sólida sobre la que ejecutar las diversas aplicaciones corporativas, orientada a dar servicio tanto a clientes como a empleados y colaboradores externos.

Del mismo modo que es imprescindible vigilar la salud de esta infraestructura  monitorizando, evolucionando y ajustando las configuraciones de cada componente, no han de menoscabarse todos aquellos aspectos relacionados con la propiedad intelectual.

En este ámbito ha de hacerse especial hincapié en la situación de vulnerabilidad en la que habitualmente se encuentran las empresas, provocada por la falta de claridad de las cláusulas legales asociadas al suministro y uso de programas informáticos de los principales fabricantes, hecho al cual hay que añadir la utilización de técnicas comerciales realmente agresivas por parte de éstos en forma de auditorías.

Ciertamente, si su compañía utiliza programas de los principales fabricantes del mercado, es más que probable que éstos hayan adquirido contractualmente el derecho de auditar su uso.

En este escenario, la cuestión que ha de plantearse no consiste en si va a ser auditado o no, sino cuándo va a serlo, ya que la práctica totalidad de empresas recibirán una auditoría de cumplimiento con carácter periódico, particularmente si las probabilidades de obtener beneficios en ellas resultan elevadas.

Así pues es recomendable habilitar los mecanismos necesarios para gestionar el uso de dichos programas, ya sea para prevenir la posibilidad de que algún fabricante emprenda una auditoría de sistemas de información o para dar respuesta a los procesos de este tipo que puedan ser anunciados en el futuro.

Hay que ser conscientes del alto riesgo que puede llegar a asumirse si no se aplican medidas encaminadas a controlar el cumplimiento de las condiciones pactadas para el uso de un programa concreto, así como de la complejidad que la implantación de estas medidas pueden suponer para cada entorno.

¿Y cómo puede garantizarse el cumplimiento contractual?

Para poder objetivar el uso de los programas es imprescindible conocer con detalle los acuerdos que hayan sido suscritos y en qué términos debe reflejarse su clausulado en los sistemas informáticos para lograr el pleno cumplimiento. Con este fin es imprescindible disponer de datos certeros sobre cómo está instalado, configurado y siendo utilizado cada programa, documentándolo convenientemente. Asimismo, se hace esencial contrastar de manera periódica esta información generada a partir de los sistemas de información con las condiciones contractuales pactadas en el momento de la compra y posteriores renovaciones de mantenimiento.

Si bien es cierto que en el mercado existen herramientas SAM para simplificar este proceso de conciliación, en la práctica resultará necesario un especialista para asegurar el rumbo hacia el pleno cumplimiento, identificar potenciales riesgos de auditoría de sistemas de información y conocer en profundidad las particularidades de cada fabricante, más aún si se están tratando entornos de cierta complejidad.

Entonces, ¿cómo se puede sobrevivir a una auditoría de sistemas de información?

Habida cuenta de lo comentado anteriormente es recomendable prepararse, en la medida que resulte factible, con anterioridad a la recepción de una posible carta de anuncio de auditoría. Es conveniente acometer las tareas previas con la misma visión que empleará el fabricante, evitando cualquier problema de índole interpretativo o vacíos que pudiera aprovechar el equipo auditor en beneficio propio y en contra de los intereses de la parte auditada.

En cualquier caso, y a pesar de que cada situación sea diferente, para poder gestionar de manera eficaz un proceso de auditoría de sistemas de información es necesario considerar los siguientes pasos:

Mantener la calma

A pesar de que puedan requerir la dedicación de una cantidad importante de recursos, las auditorías son algo habitual en la inmensa mayoría de organizaciones:

• Responden normalmente a una acción comercial del fabricante, y en muchas ocasiones se caracterizan por una especial agresividad.
• Es frecuente que se dilaten en el tiempo, debiendo adaptarse inexorablemente a convivir con ellas durante periodos prolongados.
• Resulta esencial conocer los derechos de uso de los productos instalados.
• Es factible reorientar la situación en cualquier fase y escenario de una auditoría.

Crear un grupo de trabajo

Para el correcto desarrollo de una auditoría de sistemas de información es recomendable:

• Definir un equipo ad-hoc especializado y establecer un plan de funcionamiento interno. Este equipo se deberá componer en función de las particularidades de cada organización y las áreas que se vean afectadas dentro de la misma.
• Nombrar un interlocutor formal que canalice la información del proceso.
• Recopilar la documentación contractual completa, asegurando un conocimiento exhaustivo de sus términos.

Analizar la información

El equipo deberá analizar tanto los productos adquiridos como las condiciones de uso, contrastándolas con su utilización efectiva, siendo aconsejable:

• Delimitar claramente el alcance y marco contractual.
• Utilizar la misma metodología de revisión que el equipo auditor.
• Garantizar la plena independencia del equipo respecto al fabricante.

Gestionar la auditoría

Se han de establecer las reglas de juego que resulten más propicias, incluyendo aspectos como:

• Ceñirse a las obligaciones y no entregar más información que la estrictamente necesaria.
• Requerir la firma de acuerdos de confidencialidad para garantizar la seguridad de su información y recursos.
• Anticiparse a los escenarios desfavorables que el auditor pueda concebir en su beneficio.

Negociación del cierre

El envío de un informe de auditoría de sistemas de información preliminar desencadena una negociación, que es en definitiva el objetivo de los fabricantes. Por este motivo, conviene partir desde una posición idónea y evaluar las alternativas más eficientes en cada caso para que prevalezcan sus intereses respecto a los del equipo auditor.

Conclusiones

Realizar una auditoría de sistemas de información puede suponer un camino largo y costoso, que requerirá de incontables horas de trabajo, particularmente para aquellas compañías que no estén preparadas. Por el contrario, la previsión de posibles auditorías sobre los programas contratados permitirá evitar sorpresas e importantes penalizaciones a nivel económico, pudiendo aprovechar además los trabajos previos para optimizar el rendimiento y ajustar los costes de la infraestructura.

Si su compañía esta afrontando un proceso de auditoría de sistemas de información en lo concerniente al licenciamiento, nosotros podemos ayudarle. Valore contactar con nuestros profesionales expertos en gestión de auditorías para orientar su situación independientemente del momento en el que se encuentren.

¡Estamos para ayudarle!