Qué Esperar de una Auditoría de Software

En los últimos años, ha aumentado el número de auditorías de software realizadas por los editores de software. Hay dos razones para ello: la primera es un intento de combatir la piratería de software. La segunda razón es que las multas impuestas a las organizaciones incumplidoras actúan como fuente de ingresos para los proveedores de software.

No obstante, las empresas con licencias pueden no estar preparadas para descubrir que están siendo auditadas por su proveedor de software. Si esto ocurre en su empresa, esto es lo que debe saber y esperar sobre el inminente proceso de auditoría.

Una auditoría de software es realizada cuando un proveedor de software cree que una empresa está violando su acuerdo de usuario. La auditoría la realiza un tercero independiente e imparcial que revisa el uso del software, el número de licencias y los contratos para determinar si hay alguna violación que hayan resultado en la piratería de software (definida por la BSA). Esto puede incluir, por ejemplo, la compra de una copia del software y instalarla en múltiples dispositivos, hacer copias del software o el uso de la virtualización con un tipo de licencia incorrecto. Si se determina que la empresa viola sus contratos, entonces el proveedor del software puede cobrar tasas o tomar otras acciones legales.

Cuando una empresa recibe una notificación de auditoría por parte de un proveedor de software, es probable que el informe incluya detalles sobre el software que está siendo auditado y un período de tiempo para responder a las alegaciones. Esta notificación puede alterar los planes a largo plazo y los acuerdos de gasto, ya que los recursos se reasignan para hacer frente al proceso de auditoría, haya o no violaciones. Saber qué esperar antes de que llegue la carta de auditoría de software y cómo manejarla ayudará a que el proceso se desarrolle de la forma más fluida posible.

In the meantime, in preparation for the actual audit to begin, there are a few things you can do:

No es probable que el proveedor de software se olvide de que le han entregado un aviso de auditoría, así que lo mejor es simplemente cooperar y comunicarse con el proveedor. Asegúrese de revisar el cronograma de la auditoría y comunicar su plan de acción. Esto asegura que usted tiene cierto control en el proceso, al tiempo que afirma la proactividad de su empresa. Revise también con su equipo legal las políticas en torno a la compartición de datos, y sea abierto con el proveedor cuando esté investigando esto. Si el momento es realmente malo para su empresa debido a la congelación de los cambios o a actividades estacionales importantes en su sector, solicite al proveedor una prórroga. La comunicación es fundamental en este caso, y debe provenir de un único punto de contacto designado dentro de su organización. Todas las demás comunicaciones deben interrumpirse con ese proveedor, si es posible.

Cree su propio grupo de trabajo compuesto por las partes interesadas más importantes de su empresa. Estas personas deben ser de los departamentos de TI, legal y de adquisición de software, y necesitarán de una alineación ejecutiva. Reúnase con su grupo de trabajo para definir una estrategia para el proceso de auditoría, como plazos o funciones y responsabilidades. Esto le ahorrará tiempo y recursos más adelante.

Haga que los servicios jurídicos revisen toda la información pertinente, como:

Los contratos/acuerdos existentes con la empresa de software, incluyendo:

• Acuerdo de Licencia de Usuario Final (EULA).
• ¿Qué constituye una prueba de licencia?
• Definir claramente los derechos de uso de la licencia del software.
• ¿Están permitidas las copias del software? (copias de seguridad y recuperación de desastre)
• ¿Los entornos de prueba necesitan una licencia?
• ¿Cuáles son las consecuencias del sub-cumplimiento?
• ¿En qué circunstancias (si las hay) la organización será responsable por el coste de realizar la auditoría?

Disposiciones de auditoría:

• ¿La organización exige que el auditor firme acuerdos de confidencialidad?
• ¿Se permite a los auditores retirar algo de la organización?

¿Podrá seguir utilizándose el software auditado si se descubre que la organización es incumplidora?

Si su empresa nunca ha sido auditada, entonces este proceso puede resultarle extraño. Normalmente, una vez que se le ha notificado de una auditoría, usted puede esperar que ocurran las siguientes cosas:

• Reunión para explicar las fases de la auditoría – los auditores contratados por el proveedor se reunirán con su empresa para discutir y explicar cada fase de la auditoría.
• Recogida de datos – los auditores recogerán los datos pertinentes a su auditoría, como número de las licencias de software, lista de aplicaciones instaladas en los dispositivos, los usuarios que tienen acceso al software y las pruebas de las licencias.
• Informe de los resultados – los auditores elaborarán un informe en el que explicarán sus conclusiones y programarán una reunión con su empresa para abordar cualquier problema. Después de la reunión, los auditores le dejan sus conclusiones a usted y al proveedor para que decidan cómo seguir adelante.

Muchas empresas también contratan a auditores de software subcontratados para que realicen auditorías internas de sus activos y revelen cualquier riesgo legal, operativo o de seguridad en el uso de su software.

Consideraciones especiales:

• Acciones de TI:
• Informar a los servicios jurídicos si la herramienta puede funcionar en un entorno de prueba.
• Informar a los servicios jurídicos el plazo para realizar las pruebas adecuadas.
• Probar la herramienta/script.
• Alertar a la dirección de los posibles riesgos.
• Los servicios jurídicos preparan una respuesta al auditor:
• Informar al auditor el tiempo necesario para probar su herramienta/script.
• Organizar un contrato para los daños consecuentes si la herramienta/script impacta en el entorno de producción de la organización.
• Solicitar acuerdos de confidencialidad y la devolución de cualquier documentación a la organización.

Si se descubre que su empresa se encuentra en incumplimiento de su contrato de software, usted probablemente empezará a negociar con el proveedor sobre lo que le pagará en concepto de honorarios o penalidades. Muchos proveedores de software están dispuestos a trabajar con su organización para establecer un plan financiero realista. Con el enfoque en el consumo de la nube de la mayoría de los proveedores de software, puede haber una oportunidad para negociar el resultado final basado en los tipos de licencias que son adquiridas.

Es importante señalar que a menudo, debido a la complejidad de las licencias, los resultados del auditor no siempre son 100% precisos. Siempre se recomienda que un experto en licencias de software de confianza revise los resultados.

En la experiencia de SoftwareONE con algunos proveedores hemos visto una reducción media de los resultados iniciales de más del 60%. La recomendación es realizar su propia auditoría interna y comparar los dos conjuntos de datos para proporcionar pruebas durante cualquier negociación o para poder rechazar el primer borrador de resultados proporcionado por la parte auditora.

Por ejemplo, se descubrió que los Servicios Tecnológicos de la Ciudad de Denver tenían licencias para el software de Oracle por un total de alrededor de 1 millón de dólares al año, aunque su uso de los recursos de Oracle era en realidad de unos 10 millones de dólares. Oracle aceptó resolver la auditoría por 3 millones de dólares con un contrato de 5 años por 4 millones de dólares al año.

Para evitar el incumplimiento y las multas en futuras auditorías, usted debe hacer un seguimiento de sus activos de software implementando un plan de gestión de activos de software. Este plan le ayudará a gestionar las licencias y el uso del software para que pueda seguir en cumplimiento. Un programa de gestión de activos de software deberá:

• Ayudar a controlar los costes del gasto en software y consolidar el software que hace lo mismo
• Gestionar los riesgos legales y de seguridad derivados del uso incorrecto del software
• Permitir el crecimiento de TI al determinar qué software se necesita y anticipar las necesidades futuras de software

Recibir una notificación de auditoría puede ser ciertamente alarmante. Sin embargo, si usted ha tomado las medidas necesarias para asegurarse de que su organización esté en cumplimiento, entonces ella utilizará menos recursos y, en última instancia, proporcionará seguridad financiera.

Es importante realizar auditorías internas de software de forma regular, quizás una o dos veces al año o lo que sea mejor para su ciclo de negocio. Las auditorías periódicas ayudan a minimizar los riesgos de seguridad, legales y operativos asociados a las licencias de software. SoftwareONE puede ayudar a su empresa tanto con una Evaluación de Madurez de SAM como con una evaluación del cumplimiento del software que identifique los riesgos y proporcione planes de acción.

También puede haber un motivo de preocupación si usted no está siendo auditado, con especial énfasis en el software que se está utilizando en la nube. Nuestra experiencia es que la mayoría de las empresas no tiene las herramientas adecuadas para gestionar su gasto en la nube en lo que respecta a la visibilidad de dónde se está utilizando el consumo dentro de la empresa, pero también para permitir una previsión de futuro precisa. SoftwareONE ha ayudado a muchas empresas a tener acceso a estos datos, eliminando el riesgo de un gasto excesivo en la nube, resultando en un desperdicio de presupuesto.

El consejo, como siempre, es ser proactivo. Tómese el tiempo para comprender sus derechos, sus implantaciones en las instalaciones y su consumo en la nube. Una pequeña inversión en este sentido puede generar dividendos con un rápido y amplio retorno de la inversión.