Introduccion

En cualquier organización de carácter empresarial, ya se trate de una pyme o una gran

compañía, los procesos de seguimiento, monitorización y optimización son necesarios para
prevenir los riesgos asociados a las auditorías de software que, de manera recurrente, llevan a
cabo los fabricante.
La tecnología y la innovación son actualmente apartados imprescindibles para que las
empresas funcionen y alcancen sus objetivos, de modo que hablar de gestión de los activos
de software se ha convertido en algo esencial. De hecho, desde hace unos años los
fabricantes vienen promoviendo campañas de auditorías de software, en ocasiones con gran
intensidad, que han generado corrientes de preocupación entre sus clientes.

Por lo tanto, se impone la necesidad de anticiparse a estas acciones de los fabricantes, ya sea
con el propio equipo del cliente o con una empresa especializada totalmente independiente,
realizando auditorías internas de software de manera preventiva. Evergreen Compliance
ofrece servicios independientes de análisis de la infraestructura y despliegue de
software, así como de asesoramiento continuo, resolución de dudas y consultas, y apoyo en
cualquier fase de los procesos de auditoría.

¿Qué es una auditoría de software?

¿Para qué sirve?

El concepto de auditoría de software, como su nombre indica, se basa en auditar todos los
sistemas software que la empresa posee. Esto significa realizar un control de todos los
componentes de la empresa y ver cuál es la situación actual en referencia a las novedades y la
legalidad de los programas utilizados.

Con esto se busca la actualización continua de los programas y equipos tecnológicas de las
empresas y ver si se corresponden con la normativa legal establecida en el entorno en el que
se mueve. Se pueden realizar auditorías del software de toda la empresa, o solo de algunas
partes que nos interesan. Por ejemplo, auditoría de software contable o de seguridad, entre
otros. Los objetivos que persigue la auditoría de software son:

 Análisis del software y hardware de la empresa

 Conocer el rendimiento de la inversión tecnológica realizada
 Realizar un inventario de los activos software de la empresa
 Relación entre el software y el hardware de la empresa para comprobar la legalidad de
las licencias

Para ello, se analizan todos los equipos informáticos de la organización ya sean físico o
virtuales, y los software utilizados para su funcionamiento, como también los antivirus.
También se controlan de los equipos o los contratos que se mantengan con las empresas
proveedoras del software.

¿Quién puede hacerla?

Existen dos tipos de auditorías para realizar en tu empresa. Por un lado, puede ser la propia
empresa quien haga una auditoría interna y destine como recurso a sus propios empleados
para controlar cuál es la situación de los equipos informáticos que se poseen.

Por otro lado, las organizaciones también puede realizar auditorías externas en las que
contratan a otras empresas para que hagan el control sobre el estado del software. Estas
empresas estudian con detalle toda la parte informática de software y hardware, ofrecen unas
conclusiones sobre la auditoría realizada y cuál es la forma en que se puede actuar para
obtener una mejora de la situación actual.

También se puede dar el caso en que se realicen auditorías de software con el objetivo de
comprobar la total legalidad de los programas de software y licencias utilizadas por la
empresa. En ese caso puede ser la propia empresa creadora del software la que haga la
auditoría para comprobar que todo se encuentra bajo los marcos legales.

Un ejemplo de ello, puede ser Microsoft que haga una inspección de software en una
empresa para comprobar que los ordenadores no poseen instalado el windows pirata. Para
ello, comprueban el número de licencias contratadas y el número de ordenadores que lo
poseen y saben si hay más de los obtenidos mediante su compra.

¿Qué consiguen las empresas al planificar auditorías tecnológicas internas?

La realización de una auditoría tecnológica interna resulta conveniente para empresas de

cualquier tamaño, incluyendo también a las pymes, si bien es cierto que las grandes
compañías tienen capacidad para dedicar más recursos y personal a controlar las nuevas
tecnologías y los sistemas informáticos.
Mediante esta fórmula de control, y a través de expertos independientes, las organizaciones
pueden disponer de gran cantidad de información y elementos necesarios para realizar
mejoras en la parcela tecnológica, optimizando así la gestión de sus activos de software.
Esto permite reducir al mismo tiempo los riesgos asociados a las auditorías.

En cualquier proceso de auditoría interna, la fase inicial es controlar el estado real de la

empresa a través del análisis de los derechos de uso adquiridos. Las auditorías internas de
software están encaminadas a optimizar la gestión del uso del software, mitigando riesgos
con la certeza de que el objetivo último no consiste en facilitar la adquisición de nuevos
productos del fabricante en cuestión.

Una vez inventariados los derechos de uso, se clasifican las diferentes tecnologías para
analizar el uso objetivo que se está haciendo de los productos de software en la empresa. A
partir de este grado de conocimiento, los responsables de la empresa conocen si el uso del
software que se está llevando a cabo es el más adecuado según los términos de la licencia.

La elección de un software en detrimento de otro o de cualquier otro elemento

tecnológico, ha comenzado a llevarse a cabo siguiendo criterios de licenciamiento o
considerando los riesgos potenciales que implican las auditorías de software. También puede
ocurrir lo mismo con el hardware, y es que cada vez es más frecuente que se tenga en cuenta
su impacto en licenciamiento a la hora de optar por un determinado modelo o tecnología.

Beneficios del control de las licencias de software

Durante el proceso de auditoría interna y las auto-revisiones continuas, los responsables de la

empresa, o en su caso expertos independientes, analizan el grado de cumplimiento del uso
del software con relación a los términos contractuales de licencia para poder afrontar con
seguridad las auditorías de software que anuncien los fabricantes, redundando en el beneficio
para la empresa.

Hasta este conocimiento se llega analizando las estrategias de los fabricantes para realizar sus
auditorías e identificando qué medios tecnológicos utilizar para determinar el uso que se
está haciendo de los productos. A partir de ahí se podrán introducir en la organización
nuevos procedimientos para reducir al máximo los riesgos asociados a las auditorías, y tener
la seguridad y previsibilidad necesarias a la hora de utilizar los diferentes programas
informáticos.

Como en cualquier proceso, la idea que rodea a la auditoría tecnológica interna es la mejora
continua. Mediante el conocimiento de las distintas tendencias de auditoría software que
llevan a cabo los fabricantes, los procesos de gestión de activos de software pueden irse
adaptando progresivamente a las diferentes prácticas de la industria. Esto debe ir acompañado
además del objetivo de optimizar el gasto.
Mediante esta mejora de los procesos de gestión de activos de software, se consigue
igualmente un avance en los procesos estratégicos de la empresa. De hecho, la
optimización en la gestión de activos de software suele acabar ofreciendo nuevas
oportunidades de crecimiento en el mercado, lo que conlleva irremediablemente a poder
introducir cambios en la estrategia empresarial.

Auditorías de software y los procesos participativos

Un último detalle en el que profundizar es el de la participación. Para que una auditoría

interna de software sea completa y productiva en la empresa, cuantas más personas y
departamentos intervengan en el análisis y contribuyan, mejores resultados se obtendrán.

En este tipo de control es imprescindible que participen los mandos ejecutivos así como las
personas que vehiculan el proceso, pero también mandos intermedios y expertos que
formalicen un inventario de todo el patrimonio tecnológico a analizar.

En este sentido, empresas independientes de consultores y auditores de tecnología son de

gran utilidad para examinar y reconducir las estrategias tecnológicas de las empresas,
reforzando la inversión en tecnología e innovación.

¿Cuáles son las fases de una Auditoría de Software?

1. Entender por qué se está llevando a cabo la auditoría

Debe tener muy presente cuáles son los objetivos de la auditoría para que su proceso atienda
a cada uno de ellos. Puede que lo que busque la empresa sea optimizar la gestión y
contratación de nuevas licencias o tener una guía sobre el correcto uso del software. También
es posible que lo que quiera sea evitar sanciones graves de la asociación de fabricantes de
software. En cualquier caso debe tener claro la finalidad.

2. Escalas de tiempo

Conocer los objetivos ayudará a que los tiempos de las propuestas sean realistas. Si la
auditoría es urgente necesitará todos los recursos al alcance para cumplirlos en el menor
tiempo posible. Si se emplean todos estos recursos cuando no existe urgencia se
desmoralizará el proceso.

3. Administración de la gerencia

La administración no siempre es consciente del código abierto y el código para terceros que
su compañía está usando. Incluso puede que no sepa por qué es necesario realizar una
auditoría. Así que obtener el apoyo del ejecutivo para llevarla a cabo será fundamental para
que salga bien.

4. Identificar los roles del equipo

Conformar un equipo multidisciplinar ayudará a minimizar los inconvenientes que se puedan

derivar de una Auditoría de Software. Por lo tanto, el equipo debería incluir un abogado, para
que resuelva todo lo relativo a la concesión de licencias, un comercial y al menos una persona
técnica.

5. Elija la herramienta de análisis correcta

Para identificar el código abierto y el código para terceros en el código base tendrá que
ejecutar la herramienta técnica contra su repositorio. Es relevante elegirla de manera
adecuada para la auditoría. Dicha elección hará que sea más sencillo entender los objetivos y
las escalas de tiempo que se han propuesto.

6. Propiedad del análisis

Piensa quién debe tener la propiedad de emisión del código de su auditoría. La hoja de
cálculo de resultados de ésta será un documento muy importante. Así que tenlo en cuenta
antes de establecer el contrato con un proveedor de herramientas de auditoría.

7. Obtener la información técnica y jurídica necesaria de su negocio

Reúne toda la información necesaria tanto a nivel técnico como legal para entender la salida
de la herramienta de auditoría y para poder tomar decisiones al respecto. Comprende desde el
código fuente abierto hasta los certificados o licencias. Puede que el equipo interno de la
empresa necesite añadir alguno de los datos recabados para la salida de una herramienta de
auditoría.

8. Crear una política

En caso de que no tenga una política de código abierto interno, utiliza el resultado del
proceso de una auditoría para ayudar a realizar una. Evidentemente cada política es única y
no se puede extrapolar al resto de empresas. Variarán dependiendo de las distintas unidades
de negocio.

9. Garantías, cartas de divulgación, etc

Si una meta de su auditoría implica a terceros puedes preguntar sobre firmar declaraciones
legales en referencia al uso del software de código abierto y la propia auditoría. Debes
asegurarte de que las garantías avalen el trabajo realizado de forma exacta y realista.

10. Establecer un proceso de cumplimiento y gobernabilidad en curso

Aprende todo sobre las auditorías para crear los procesos adecuados para un uso continuo de
código abierto. También te servirá para asegurar el cumplimiento de las licencias de su
negocio. Así que capacita a todas las personas de la empresa. De esta manera se seguirán las
nuevas políticas y procesos.

Conclusión
La auditoría en software es la revisión y la evaluación de los controles, sistemas,
procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y
seguridad, de la organización que participan en el procesamiento de la información, a fin de
que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y
segura de la información que servirá para una adecuada toma de decisiones.
La auditoría en informática deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.
 WebGrafías

https://es.scribd.com/doc/24994061/Conclusion-La-Auditoria-de-
Sistemas-de-Informacion

https://www.gadae.com/blog/guia-para-hacer-una-auditoria-
informatica-en-tu-empresa/

https://www.monografias.com/trabajos/maudisist/maudisist.shtml

http://spi1.nisu.org/recop/al01/thyric/index