El papel de las herramientas de auditoría informática en la gestión de activos de software

marzo 25, 2020 |
Auditorías Software

La gestión de activos de software es una práctica que debe involucrar necesariamente a personas, procesos y herramientas de auditoría informática. La falta de cualquiera de estos elementos esenciales, que dependerán de cada infraestructura, obstaculizará el éxito de los trabajos.

En este sentido, las herramientas de auditoría informática pueden resultar ciertamente útiles. Por una parte, son un complemento para establecer y mantener un inventario de activos de hardware y software. Por otra, podrían utilizarse para la administración de ciertos aspectos del ciclo de vida de las licencias del software.

No obstante, estas herramientas distan mucho de ser suficientes para evitar todos los riesgos asociados a la gestión de licencias. Es decir, no bastan por sí mismas para optimizar cualquier escenario de licenciamiento.

Relevancia del uso de herramientas de auditoría informática

En el mercado existe un número considerable de herramientas orientadas a analizar y manejar las licencias de software. Existe también cierta corriente de opinión que pretende transmitir que una herramienta es una especie de varita mágica.

Así, permitiría solucionar la problemática del licenciamiento sin necesidad de destinar apenas conocimientos o recursos humanos adicionales. Aunque en alguna ocasión se haya fomentado de manera interesada, esta percepción se ha demostrado errónea en la práctica.

A este hecho también contribuye la idea de que la gestión del licenciamiento es un proyecto a corto plazo. Por el contrario, debe considerarse como un proceso continuo de mejora al que han de asignarse los recursos necesarios. De este modo podrán conseguirse los objetivos fijados que, habitualmente, terminan justificando sobradamente la inversión.

En este ámbito, las herramientas de auditoría informática mal utilizadas pueden ser incluso perjudiciales y contraproducentes. No en vano, la obtención de datos erróneos o incompletos puede generar una sensación de falsa confianza.

Con todo, un amplio número de empresas ha destinado una cantidad considerable de recursos a implantar herramientas de auditoría informática. Aún así, cada vez es más habitual constatar que alguna de ellas ha facilitado información indebida durante una auditoría. Llegado este punto se requiere asesoría, fundamentalmente asesoría jurídica, sobre cómo actuar con dicha información que realmente no era precisa ni estaba controlada.

Es por ello que tener herramientas de auditoría informática no disuade a los fabricantes de sus planes de auditar. Precisamente como consecuencia de sus resultados, en no pocas ocasiones han servido para favorecer elevadas reclamaciones económicas.

Recomendaciones-para-el-uso-de-herramientas-de-auditoría-informática

Recomendaciones para el uso de herramientas de auditoría informática

Existen otros elementos sin los cuales la simple implantación o uso de herramientas de auditoría informática no tiene utilidad alguna.

En primer lugar es esencial contar con recursos que permitan manejar los activos de software y aquello que es auditoría. Aun en el caso de hacer un outsourcing completo de estos trabajos, es recomendable dedicar algún recurso interno. Estos recursos deberán encargarse de coordinar los trabajos, incluso mediante videoconferencia u otros medios, para adaptarse a las necesidades existentes.

Asimismo, es imprescindible contar con datos confiables y de calidad, siguiendo los requisitos de empresas de seguridad alta. Un proceso o herramienta que se alimente con información incorrecta proporcionará resultados sin una utilidad práctica real.

Un simple desvío en el contador de los equipos que son objeto de análisis o una mala interpretación de los límites marcados por el contrato de licencia, puede suponer importantes riesgos. Estos riesgos pueden ser legales, técnicos, reputacionales, de seguridad informática, asesoría fiscal, asesoría laboral o contabilidad entre otros.

Así, puede entenderse con facilidad que es fundamental tener una buena comprensión de las políticas del fabricante. Esto incluye aspectos como el tratamiento de la virtualización o las limitaciones temporales o geográficas que pueda tener una licencia. La alimentación de una herramienta con datos incompletos o erróneos ofrecerá conclusiones cuyo uso resultará potencialmente perjudicial.

A modo de ejemplo, las herramientas de auditoría informática no pueden interpretar directamente las cláusulas de la documentación contractual. Por este motivo, se hace necesaria la participación de expertos en las distintas facetas de licenciamiento. La figura de un consultor jurídico o un consultor técnico será clave para acondicionar e interpretar la información óptimamente.

La-importancia-del-conocimiento-en-materia-de-licenciamiento

La importancia del conocimiento en materia de licenciamiento

Las herramientas de auditoría informática pueden detectar que un software está instalado en un determinado servidor en un instante, pero:

  • ¿Cómo aplican las políticas de licenciamiento del fabricante orientadas a establecer las medidas de adecuación óptimas? Por ejemplo, el “Soft Partitioning” podría implicar el licenciamiento de otros servidores en los que potencialmente pueda ejecutarse software Oracle.
  • ¿Qué mecanismos utilizan para identificar qué entornos de Disaster Recovery hay que licenciar? Se antoja nuevamente inevitable partir de un entendimiento previo de los contratos y de las políticas de licenciamiento.
  • ¿Cómo manejan los entornos Cloud que pudieran estar utilizándose?

Es por ello esencial asegurar, en paralelo, que existe el nivel suficiente de conocimiento en materia de licenciamiento. Esta materia está en permanente cambio, debiendo especializarse para dominar los distintos procesos de informática y tomar decisiones informadas.

No obstante, habitualmente no resulta viable abarcar la gestión de todos los activos al mismo tiempo. Así, suele ser realmente útil establecer criterios que permitan priorizar las acciones evaluando los distintos riesgos relevantes para las licencias.

En definitiva, las herramientas de auditoría informática por sí solas constituyen una solución incompleta para afrontar los retos y exigencias que requiere la gestión de licencias, y mitigar su impacto en la administración de empresas. Tampoco sustituyen los servicios de consultoría informática, consultoría estratégica o perito que permitan dotar al cliente de las mejores prácticas y conocimientos para adoptar las soluciones idóneas en el ámbito del licenciamiento.

De la misma manera que existe la norma ISO 9001 de la familia ISO 9000, como parte de las normas ISO existe la opción de obtener la certificación ISO 19770. Se trata de un estándar internacional relacionado con la gestión de activos software, que refuerza los sistemas de seguridad.

Conclusiones

Puede parecer una tarea simple confrontar los derechos de uso adquiridos con la utilización real de los productos de software. Sin embargo, lo cierto es que no existen herramientas de auditoría informática que automaticen por sí mismas todos los procesos.

Por lo tanto, no existen las varitas mágicas ni atajos en los proyectos SAM (Software Asset Management). El mayor riesgo para éstos es el asociado a las auditorías que, periódicamente, llevan a cabo determinados fabricantes de software.

En Evergreen Compliance conseguimos los mejores resultados a partir de soluciones holísticas que integran lo mejor de los distintos ámbitos. Se trata de combinar el uso de herramientas de auditoría informática con la optimización del licenciamiento y el conocimiento técnico, jurídico y práctico que aporta nuestra experiencia, en beneficio de los intereses de nuestros clientes.

¿Compartimos?

También te puede interesar

asesoramiento y licenciamiento de software

Auditoría Oracle

Al igual que sucede con otros fabricantes (IBM, Microsoft, SAP, Software AG, etc.), las auditorías de Oracle no son aleatorias. Su equipo auditor trata de concentrar los esfuerzos en aquellas empresas en las que haya más probabilidades de obtener beneficios. Por este motivo, hay determinados factores que pueden desencadenar la notificación del inicio de un proceso de auditoría.

Seguir leyendo