Un paso adelante de la Auditoría de Software

Es muy difícil, sino imposible, encontrar hoy una organización que no haya recibido al menos una auditoría de algún fabricante de Software en los últimos años. La pregunta que cualquier Gerente o Director de IT debe hacerse no es si le harán una auditoría sino más bien cuando sucederá. Es inevitable. Y para esto,  no hay mejor estrategia que estar preparado y de esa manera llevar el proceso adelante de manera controlada y sin encontrarse con sorpresas que generen costos no planificados, más allá de las explicaciones y justificaciones que habrá que elaborar para quedar más o menos bien parados en la organización.

En principio me parece útil entender que tipos de auditorías se encuentran entre las más comunes:

1.- Auditorías que están previstas en los contratos de licenciamiento y que no deberían traernos ninguna sorpresa porque se sabe cuando suceden. Si tenemos procesos y herramientas de gestión de software bien implementados no debería ser más que un trámite.

2.- Auditorías internas, que sirven para controlar como se llevan adelante los procesos, si se encuentra alguna situación irregular en la cuál debemos tomar medidas rápidamente y con el objetivo de mantener el entorno de hardware y software de manera prolija y en consecuencia que las operaciones sean predecibles.

3.- Auditorías de los fabricantes. En este punto es donde me quiero focalizar. Estás auditorías suelen ser las más complejas, entran en juego las áreas de legales y en general se realizan porque se sospecha que hay un sublicenciamiento importante. ¿ Cuáles son, entonces, las acciones que deberemos llevar a cabo previamente para mitigar riesgos y que el daño sea menor ?:

            A.- Poseer las pruebas de licenciamiento ( ya sean contratos, licencias, facturas)  al día, accesibles y en lo posible en formato físico como electrónico. Todo el Software instalado debe estar licenciado con sus correspondientes actualizaciones.

           B.- Disponer de una herramienta de inventario para saber que productos hay instalados. La misma no sólo debe detectar versiones sino ediciones. Más de una vez me encontré con instalaciones de productos professional y licenciados como standard.

           C.- Disponer de una política de uso de software que los empleados firmen cuando comienzan a trabajar en la organización y un mecanismo que prohíba la instalación de software si no es a través de un área como IT.

            D.- Saber los términos de licenciamiento y como se licencian los productos instalados. Existen muchas variantes: por usuario, por dispositivo, por core, procesador, físicos, virtuales .....

            E.- Definir responsables para llevar adelante las tareas de gestión de software de manera periódica.

           F.- Contratar empresas especialistas en este tema que puedan proveer una mirada externa y a través de procesos de consultoría puedan brindar asesoramiento y recomendaciones.

Teniendo en cuenta estos 6 puntos probablemente la Auditoría de parte del Fabricante sea un proceso al menos un poco más relajado que lo que suele serlo, ya que muchos se hacen la pregunta si les tocará cuando en realidad hay que estar preparando para cuando suceda.