Lidiar con una auditoría de un fabricante de software puede llevar mucho tiempo, ser estresante y costoso. La preparación es clave, al igual que las prácticas formales de auditoría de software, los procesos subyacentes de gestión de activos de TI (ITAM) y administración de activos de software (SAM).
Este artículo ofrece algunas pautas prácticas sobre cómo gestionar una situación de auditoría de software sin entrar en pánico, ni esconderte debajo de tu escritorio o gritar desde tu ventana.
Lee los siguientes siete consejos:
- Comenzar con el fin en mente
- Comprender los diferentes tipos de licencias
- Conocer las intenciones de tu proveedor
- Vivir según el mantra "la práctica hace al maestro"
- Organizarte
- Facilitar el gran día
- Llevar a cabo revisiones formales posteriores a la auditoría
1. Comenzar con el fin en mente
Al diseñar tu(s) proceso(s) SAM, comienza con la idea de que podrías ser auditado por un fabricante de software mañana. Por lo tanto, es importante establecer verificaciones en tu proceso desde el principio (en lugar de dejarlo para "más adelante").
Define también el proceso de auditorías en tus procedimientos de SAM. Crea un banco de plantillas para cosas como correos electrónicos de respuesta, solicitudes de reuniones y comunicaciones para que cualquier auditor o fabricante tenga una experiencia profesional consistente.
2. Comprender los diferentes tipos de licencias
A nivel de proceso, asegúrate de que puedes atender las diversas estructuras de licenciamiento aplicables a tu organización. Y donde sea posible, busca los tipos de licencia que mejor se adapten a la misma.
Ejemplos de tales estructuras de licencia incluyen:
- Licencias de usuario único/por asiento
- Múltiples licencias de usuario
- Licencias por sitio
- Licencias por región
- Licencias enterprise wide
- Licencias de suscripción
- Licencias por capacidad
Una empresa con procesos maduros de SAM y un conjunto de herramientas automatizado (para discovery y administración) puede encontrar más efectivo, para evitar el exceso de licencias, tener una estructura de licencia por usuario o por asiento en lugar de licencias por sitios/ubicaciones/negocios.
En una empresa con un proceso menos maduro, y donde las PC no están bloqueadas, puede ser mejor utilizar licencias de la organización o de sitio para evitar un déficit.
Al establecer tu(s) proceso(s) SAM, asegúrate de considerar los derechos de auditoría de los fabricantes de software. Si bien los derechos de auditoría son estándar en cualquier acuerdo de software empresarial, es mucho más fácil negociar los comportamientos y límites de auditoría de la licencia durante la etapa de compra en lugar de inmediatamente antes de una auditoría. Las cosas de qué hablar (con los fabricantes/proveedores de software) podrían incluir la frecuencia de auditoría, la intrusión y las disposiciones para cumplir con cualquier déficit inadvertido.
3. Conoce la intención de tus proveedores
Cuando recibes una notificación de auditoría, el primer paso debe ser ponerte en contacto con el proveedor y solicitar el alcance de la auditoría. ¿Es solo de producción? ¿De un sitio en particular? ¿De un solo producto? Pide el alcance de la auditoría por escrito para que pueda prepararse correctamente. Por ejemplo, es posible que el fabricante solo esté interesado en determinados productos, ubicaciones específicas, períodos definidos o un determinado departamento o subconjunto de usuarios. Si sabes esto, puedes planificar en consecuencia y enfocar tus esfuerzos en lo que importará.
Otra pregunta es: ¿quién llevará a cabo la auditoría? ¿El proveedor mismo? ¿Una asociación de vigilancia como FAST (Federación contra el robo de software, por sus siglas en inglés) o BSA (Business Software Alliance)? ¿O una empresa de contabilidad o consultoría de terceros?
Asegúrate de que haya documentación disponible, como NDA (acuerdos de confidencialidad). Puede ser útil sugerir un enfoque de lista de verificación en esta etapa. Por ejemplo, el alcance, las restricciones y los matices de confidencialidad particulares para evitar que se publiquen errores o información confidencial de forma inadvertida.
4. Vive según el mantra "la práctica hace al maestro"
Primero ejecuta una auditoría de prueba interna, con el apoyo de otros departamentos o equipos cuando estén disponibles. Si tienes un departamento de auditoría interna, cumplimiento o riesgo, recurre a ellos. De esta forma, si te has perdido algo, puedes arreglarlo de inmediato y en privado.
Llevar a cabo un control interno de cumplimiento de las licencias también ayudará a garantizar que esté familiarizado con los procedimientos de auditoría; y, asignando el hardware al software en cuestión, tanto tú como tu organización comprenderán mejor cómo encaja todo.
En última instancia, la incertidumbre sobre qué software se asigna a qué hardware puede verse como una señal de alerta durante una auditoría, así que asegúrate de que tu registro de activos o base de datos de la gestión de configuración (CMDB) esté actualizado para que haya un punto central preciso que verificar.
5. Organízate
Asegúrate de que toda tu documentación de proceso, procedimiento e instrucciones de trabajo esté actualizada, haya sido revisada recientemente y se encuentre en una ubicación central.
Confirma que las cosas como los encabezados, los pies de página y la información de control de versión sean correctos, ya que la falta de atención a los detalles podría aumentar las preocupaciones de los proveedores en otras áreas. Cuida también de que todos sepan a dónde recurrir para obtener la documentación y para cualquier pregunta.
Una última pieza del trabajo de preparación es considerar tener un congelamiento de cambios alrededor del software para ser auditado. Proteger el software significa que no se pueden realizar cambios que podrían afectar inadvertidamente las licencias de software.
6. Facilita el gran día
Garantiza que los auditores tendrán un lugar que pueda servirles de centro de operaciones. Quizás suene básico, pero cualquier auditoría puede potencialmente cubrir información sensible. De esta manera, ten en cuenta esto al reservar la sala de reuniones o el lugar donde trabajen.
Solo el personal autorizado y con el nivel de expertise adecuado en el software de auditoría debe tratar con los proveedores del software y auditores externos.
Esto ayudará a prevenir cualquier confusión o malentendido, por ejemplo, mezclar sistemas de desarrollo con los sistemas de producción.
Además, informa a todos que se está llevando a cabo una auditoría de software. Antes del comienzo de la misma, es útil comunicar su naturaleza, qué hacer si se formula una pregunta y a quién remitir al auditor si no lo sabes o no estás seguro. Recuerda, la regla de oro para el equipo debe ser: en caso de duda, chequea la documentación del proceso o pide ayuda.
7. Lleva a cabo revisiones formales posteriores a la auditoría
Una vez que la auditoría finalizó, asegúrate de que cualquier reunión de revisión incluya una oportunidad para revisar los hallazgos antes del acuerdo, y valide que el auditor haya incluido todas las licencias a las que tiene derecho su organización.
También, ten en cuenta cualquier observación o potencial mejora en los procesos para hacer más fácil tus actividades de gestión de licencias de software y las próximas auditorías.
¿Qué opinas de nuestros consejos para una auditoría de software? ¿Qué más agregarías? Por favor, ¡cuéntanos en los comentarios!