Procedimientos de auditoría de software

La auditoría de software es una evaluación que se hace en las empresas o unidades de negocio sobre las aplicaciones informáticas utilizadas en sus procesos operativos y administrativos. Su objetivo es revisar la validez de las licencias, niveles de seguridad en el resguardo de las aplicaciones y equipos, pericia del personal encargado y eficiencia en el uso de las plataformas tecnológicas, entre otras cosas relacionadas.

Una auditoría de software es necesaria para cumplir con las reglamentaciones y evitar inspecciones, multas e incluso demandas por parte de organizaciones que representan los intereses de los productores de software de uso comercial y empresarial, como puede ser la Bussiness Software Alliance (BSA).

Ejecutar regularmente un conjunto bien diseñado de procedimientos de auditoría de software permite detectar cualquier falla y eliminar las discrepancias respecto al uso del software de la organización.

Lee también: ¿Cómo hacer dinero a través del desarrollo de software desde tu casa?

Existen varios procedimientos de auditoría de software que se realizan en el marco de estas evaluaciones.

Al igual que las realizadas en el área contable, financiera, operativa o ambiental, en toda empresa llegará el momento en que deba realizarse una auditoría de software con el objetivo de garantizar que la empresa posee y opera un sistema adecuado para competir en el mundo moderno, altamente tecnológico.

Se auditan todos los sistemas y programas de computadora usados en la empresa, haciendo un control de todos los componentes que conforman la red interna y externa, programas instalados, estado de legalidad o caducidad de las licencias adquiridas y número de usuarios que operan estos programas.

También se revisa el estado de actualización o antigüedad (o incluso obsolescencia) de los programas usados.

Con esto se busca recoger una imagen de las fortalezas y carencias de la empresa y luego poder elaborar un plan para ajustarla a la normativa legal y necesidades de la organización.

La auditoría de software puede ser interna, realizada por los empleados de la propia empresa, o externa, a través de la contratación de una empresa especializada que revisará hasta el más mínimo detalle y dará un informe final con sus recomendaciones.

Además, se pueden realizar auditorías del software de toda la empresa, o solo de algunas áreas de interés. Por ejemplo, se puede requerir una auditoría para el área contable o uno que cubra solo el área de seguridad, entre otros.

Vamos a explicar cuáles son los procedimientos usados en las auditorías de software y la función de cada uno.

Todos los procesos de auditoría de software deben comenzar con la realización de un inventario de los programas informáticos usados por la organización.

Se revisará si el software es mantenido o no en un área centralizada segura, es decir, donde no haya acceso a personas no autorizadas que pudieran alterar los programas o datos manejados por estos.

Esta área debe tener además controles ambientales adecuados, lo que significa que se debe contar con condiciones ideales de temperatura y humedad para el buen funcionamiento de los equipos.

La auditoría en este caso analizará si la organización posee o no un área centralizada para el manejo de sus programas informáticos y en caso negativo, señalará esta situación en un informe posterior.

La interrogación de archivos es un procedimiento de auditoría en el que se inspeccionan físicamente los equipos para verificar el estatus de los programas OEM (Original Equipment Manufacturer) que pudieron traer de fábrica y de las licencias de los programas de uso privativo que se hayan adquirido e instalado posteriormente.

Los programas de auditoría de software se pueden insertar en cualquier sistema informático para comprobar el número de registro del software instalado en este, comparándolo luego con las claves principales correspondientes a la licencia del software que se examina y que ha sido presentado por la empresa a los auditores.

Si la interrogación de archivos determina que el software instalado no corresponde con las licencias presentadas por la empresa, se supone que se trata de un programa ilegal.

La auditoría de software deberá señalar entonces la obligación de eliminar estos programas de los equipos donde se hayan detectado, además de investigar su origen y por qué están instalados allí.

Otro procedimiento usado en las auditorías de software es la revisión del uso de los programas informáticos para verificar si se respetan las condiciones estipuladas en la licencia de uso de los mismos.

Por ejemplo, utilicemos el ejemplo de una empresa que en función del modelo de su organización requiere instalar determinado programa en 10 computadoras de uno de sus departamentos.

En la auditoría de software se deberá revisar si la empresa está respetando el número máximo de licencias por las que pagó a la compañía que elaboró el software privativo o a su distribuidora autorizada. En este caso, significa que no deberá haber más de 10 equipos con dicho programa instalado.

También deberá revisar si estas licencias están vigentes, en los casos en que requieran el pago de una renovación para poder seguir usando el software legalmente tras un determinado período de tiempo.

Sin embargo, uno de los aspectos más importantes que busca determinar la auditoría de software es si la empresa está gastando más de lo debido en licencias, basándose en sus necesidades concretas y en el número de empleados que realmente requieren utilizar determinada aplicación.

Por ejemplo, tenemos una empresa que pagó US$12.000 por 50 licencias de un programa de diseño asistido por computadora (CAD), pero que en la práctica solo es usado por 7 personas en su Departamento de Investigación y Desarrollo.

Una auditoría de software en esta empresa indicará sin duda que hay una ineficiencia en el gasto en recursos informáticos.

En el caso de programas basados en código abierto (Open Source) se hará un inventario de los mismos y de sus cualidades y aplicación práctica, como parte de este análisis de eficiencia. Aunque los programas de código abierto generalmente se pueden usar gratuitamente a nivel doméstico y en PYMES, podrían tener algún tipo de restricción de uso a nivel empresarial.

Además, pueden representar un gasto de horas-hombre en su instalación y configuración, además de resultar contraproducentes si no son adecuados para el trabajo de la empresa o requieren un reentrenamiento del personal para poder usarlos.

De hecho, al auditar las licencias privativas, software libre y usos, también se está evaluando el ahorro o despilfarro de recursos financieros relacionados con la gestión del software.

El software de utilidad proporciona soporte a los sistemas cuando estos son afectados por virus informáticos, troyanos u otro tipo de programas maliciosos que pudieron haber ingresado a la red interna de la empresa a través de internet o en un medio de almacenamiento usado por algún empleado.

En este caso, la auditoría de software buscará determinar si la empresa cuenta con herramientas adecuadas para atender estos casos y eliminar los programa dañinos en sus sistemas, así como también si posee en sus servidores mecanismos preventivos contra accesos no autorizados desde el exterior, denominados firewalls o cortafuegos, tanto físicos como virtuales.

Así mismo, la auditoría de software determinará el nivel de pericia y capacidad del personal que administra los sistemas informáticos de la empresa, así como su capacidad para implementar y mantener un programa continuo de seguridad de software.

La auditoría de software también revisará los procedimientos que utiliza la empresa para recuperarse de desastres relacionados con el software usado en sus diferentes áreas.

Esto incluye una revisión de los sistemas de respaldo de datos o copias de seguridad de las bases de datos fundamentales de la administración, producción e investigación.

Este tipo de desastres generalmente implican la posibilidad de un daño mayor físico en las instalaciones y redes, que afecten totalmente los equipos y bases de datos informáticos, como puede ser en el caso de un desastre natural o incendio.

Te recomendamos: Información sobre sistemas POS

Al respecto, se revisará también si la empresa aplica medidas preventivas para el resguardo de su software original, como puede ser la reubicación de los discos originales o medios de instalación en lugares seguros, donde estarán a salvo de cualquier contingencia y se podrán usar para reinstalar en equipos que hayan sufrido un problema grave.

Este tipo de procedimientos permitirá determinar un plan de acción para que la empresa implemente un mejor método de protección de sus aplicaciones clave.

Al respecto, una de las medidas recomendadas en la gran mayoría de empresas es resguardar los medios de instalación originales de los programas más importantes fuera de las instalaciones de la empresa, preferiblemente recurriendo a un acuerdo de reciprocidad con otra compañía que cuente con espacios físicos adecuados para este fin.