en esta Guía de Auditoría Software Original
Transcript of en esta Guía de Auditoría Software Original
Todas las respuestas en estaGuía de
Auditoría Software
Original
¿Quiere saber cómo hacerse su propia auditoría de software original?
GUIA AUDITORIA 3/3/00 10:44 Página 2
1
¿Es usted responsable de una organización o entidad empresarial o elmáximo responsable de la compra y gestión de ordenadores y programasen su organización?
Si es así, es probable que:
• Desee que su organización utilice los ordenadores y programas deforma creativa.
• Quiera evitar serios problemas legales y de negocios, que podríaconllevar la copia y uso de programas no autorizados.
¿Utiliza individualmente el ordenador y los programas en su trabajo deforma habitual?
Si es así, es probable que:
• Quiera tener plena libertad para usar el programa original quenecesita -no copias ilegales- para hacer su trabajo.
• Quiera estar provisto de una documentación de alta calidad ysoportes únicamente disponibles con la legítima adquisición delprograma original.
Esta guía de gestión de programas ofrece:
• Definiciones, técnicas y datos para ayudarle a identificar losproblemas de las copias y usos no autorizados de los programas.
• Conocer los beneficios derivados del uso de programas autorizados.• Criterios y procedimientos para ayudar a su organización en el uso
productivo de programas originales.
ejecutivos
usuarios
QUIÉN NECESITA ESTA GUÍA
GUIA AUDITORIA 3/3/00 10:44 Página 1
2
A los auditores informáticos o financieros les será de gran utilidad usar estaguía como una directriz para el cumplimiento de la Ley de PropiedadIntelectual. Eliminando riesgos en las empresas auditadas como son:multas, deterioro de imagen de la empresa, virus y una falta de control dela gestión informática, dándole además un valor añadido a una buenagestión informática. Siguiendo el concepto de Value for Auditing Moneyde la ISACA (Information System Audit Control Asociation) para unamejor gestión y control de las licencias de software.
Datos sobre los programas: como entenderlos
Los derechos de autor sobre un programa de ordenador no estánrestringidos exclusivamente al lenguaje de la programación, sino tambiénse refieren a la gestión y uso del programa original. Estos son algunostérminos de uso común en la Ley de Propiedad Intelectual:
Propiedad intelectual: un programa original de ordenador estáprotegido por la Ley de Propiedad Intelectual que defiende losderechos de autor de la persona o compañía que lo ha creado. Portanto, los programas de ordenador están protegidos por la Ley dePropiedad Intelectual, que dispone que cualquier copia sinautorización es ilegal.
Contrato de licencia de programas:establece los límites de su usoa quien lo ha adquirido. El contrato de licencia que acompaña alprograma se encuentra está localizado explícitamente en ladocumentación del programa o en la pantalla del ordenador alcomienzo del programa. El precio del programa cubre la adquisiciónlegal del uso del programa y obliga al comprador a usarlo sólo segúnlos límites y contratos establecidos en ella.
Copia no autorizada:a menos que se establezca de otra forma, laadquisición de una licencia de uso de programa permite alcomprador hacer una sola copia de seguridad, para ser usadaexclusivamente en caso de que el disco original no funcioneadecuadamente o sea destruido. Cualquier otra copia del programaoriginal es considerada como ilegal y como una infracción delcontrato de licencia y de la Ley de Propiedad Intelectual, así comola Ley de Protección Jurídica de Programas de Ordenadores, queprotege el programa y rige su uso.
Piratería de software:es un término usado para describir la copiano autorizada o el uso de un programa de ordenador de cualquierforma no permitida por la Ley de la Propiedad Intelectual o porel autor, según lo establecido en el contrato de licencia delprograma. Cualquier persona que practique la piratería deprogramas de ordenador comete un acto ilegal, según la Ley dePropiedad Intelectual y el Código Penal.
auditores
GUIA AUDITORIA 3/3/00 10:44 Página 2
3
El desarrollo de software requiere, para apoyar la gestión de actividades,aumentando la efectividad, la eficacia y las prestaciones en cualquierentorno una labor creativa importante en el uso de las tecnologías, yasímismo un profundo conocimiento de estas.
Por lo tanto, la realización de copias de software sin la correspondienteautorización del propietario del software original está considerada por lalegislación mundial y en España como una acción ilegal. Se está ante un hechoque es una transgresión de las leyes, que es penal y moralmente sancionable,y que puede acarrear coincidentemente graves problemas técnicos.
En España el software original está protegido especialmente en la Ley dePropiedad Intelectual, Real Decreto Legislativo 1/1996 del 12 de abril.Esta ley es muy clara con respecto al alcance de la protección: Título VII- Artículo 95.3 “La protección prevista en la presente ley se aplicará acualquier forma de expresión de un programa de ordenador”. Asímismoesta protección se extiende a cualesquiera versiones sucesivas delprograma así como a los programas derivados.
Los riesgos que conlleva la realización de copias no autorizadas de softwareoriginal son diversos para las empresas o entidades de cualquier tipo:
1. Sanciones y multas: las sanciones resultantes de demandasjudiciales pueden significar para las empresas unas pérdidaseconómicas sustanciales, dependiendo de la gravedad de lainfracción y de los daños que provoque esta acción.
La mencionada ley de propiedad intelectual establece en su artículo102 aquellas situaciones que pueden considerarse una infracción delos derechos protegidos por esta ley, y por lo tanto denunciables: "a)quienes pongan en circulación una o más copias de un programa deordenador conociendo o pudiendo presumir su naturaleza ilegítima,b) quienes tengan con fines comerciales una o más copias de unprograma de ordenador, conociendo o pudiendo presumir sunaturaleza ilegítima, y c) quienes pongan en circulación o tengan confines comerciales cualquier instrumento cuyo único uso sea facilitarla supresión o neutralización no autorizadas de cualquier dispositivotécnico utilizado para proteger un programa de ordenador."
GUÍA DE AUDITORÍADE SOFTWARE ORIGINAL
introducción
riesgos
GUIA AUDITORIA 3/3/00 10:44 Página 3
4
2. Problemas técnicos: la uttilización de copias incompletas o sinactualizar pueden provocar innumerables fallos y deficienciasdifíciles de prever en los sistemas de información. Estos perjuiciospueden concretarse en una interrupción del sistema, producción deinformación inexacta, pérdida de datos, y muchas otras situacionessimilares difícil de predecir.
3. Inexistencia de asistencia técnica: la posesión y uso de software nooriginal tiene como contrapartida la imposibilidad de recurrir osolicitar la asistencia técnica del fabricante o proveedor autorizado,al no poder demostrar que se tiene una licencia legal.
4.No actualización tecnológica: el crecimiento tecnológico ycompatibilidad de la plataforma informática pueden versecomprometidos. Las actualizaciones de determinado software sepueden obtener a precios reducidos cuando se demuestra que se tieneuna copia autorizada del software.
5. Impacto negativo en la calidad del software: ésta es una restricciónya que los usuarios de copias ilegales no se recibirán lasinnovaciones, correcciones o mejoras del software distribuido por losfabricantes a los clientes debidamente acreditados.
6. Deterioro de la imagen empresarial: la divulgación potencial de lautilización de software no original puede acarrear a la empresapérdidas en la confianza de sus proveedores o clientes.
7. Ataques intencionales: la actualización de software no originalexpone a una empresa a que se realicen modificaciones dañinas, obien a la omisión de controles de seguridad y protección.
Para evitar los riesgos expuestos en el apartado anterior, la dirección de unaempresa deberá establecer controles de gestión y supervisión adecuados,entre los que se encuentran básicamente:
1. Políticas y normativas generales para el software original: debenestablecerse a nivel de políticas generales, los parámetros deactuación de la empresa en este sentido. El objetivo básico de estos esprevenir la adquisición y utilización de software sin la debida licenciade uso. Entre estas políticas es primordial la definición de las res-ponsabilidades de los usuarios, técnicos y responsables de compras.Asímismo, es recomendable que se establezca la figura de un res-ponsable del software original, como coordinador de la implantaciónde las políticas de la empresa para este ámbito de la actividad.
2. Políticas de concienciación y formación del personal: la direcciónde la empresa debe establecer a través de planes específicos ladifusión de las políticas de la empresa que prohiben el uso de
control de la gestión del software original
GUIA AUDITORIA 3/3/00 10:44 Página 4
5
software no original, y asímismo de los riesgos que su uso implica,y la existencia de controles para asegurar el cumplimiento de laspolíticas de la empresa en este tema.
3.Mantenimiento de un inventario permanente: es convenientemantener actualizado un registro del software utilizado, respectivaslicencias, y demás evidencias de la legalidad del software adquirido. Elprocedimiento de actualización periódica del inventario debe permitirdetectar el software no autorizado. Cuando los paquetes de softwarede microordenadores son compartidos por diferentes usuarios esrecomendable establecer un registro de la actividad de los usuarioscon respecto al software utilizado. En el Anexo 1 se incluye unmodelo para la realización de estos inventarios.
4.Normativas para el desarrollo o adquisición de software. Entreestas deberá reflejarse la obligación de obtener siempre al realizaruna compra la obtención del documento de licencia original.Procedimientos para la evaluar la adquisición de varias licenciasmediante acuerdos especiales.
5. Realización de auditorías independientes y auto-auditorías: comoparte de los procedimientos que aseguren el cumplimiento de laspolíticas de la empresa en materia de software original, esconveniente establecer un sistema periódico de auditorías, comocontrol preventivo y detectivo.
Alcance
Se debe establecer el alcance de la auditoría a realizar indicando las plata-formas y arquitectura tecnológicas incluidas en la revisión, identificación deordenadores (centrales, servidores, clientes y ordenadores sin conexiones deningún tipo), y áreas de usuarios de los mismos.
Este apartado debe también identificar claramente el objetivo de larevisión, indicando los aspectos de riesgo legal, revisión de la adecuaciónde las normas y procedimientos internos para la prevención de utilizarsoftware no legal, vigencia del inventario, adecuación de los contratos delicencias, etc.
Revisión preliminar
En función del objetivo de la auditoría se adaptará el cuestionario que se adjuntaen el anexo 2. Este cuestionario básico debe permitir obtener la informaciónsuficiente para evaluar de forma preliminar el nivel de control sobre el softwareoriginal. Este cuestionario también es adaptable para llevar a cabo auto-auditorías periódicas a realizar por el responsable del software original.
auditoría de la gestión software original
realización de la auditoría
GUIA AUDITORIA 3/3/00 10:44 Página 5
6
En base a los resultados obtenidos, el auditor identificará aquellosprocedimientos de control considerados como adecuados para el objetivode control del software original, con el fin de diseñar sus pruebasde cumplimiento.
Pruebas de cumplimiento
Las pruebas de cumplimiento tienen como objetivo obtener evidencias delcumplimiento de los controles identificados mediante el cuestionarioanteriormente citado. En el anexo 3 se incluyen una serie de posiblespruebas de cumplimiento que también pueden utilizarse como mecanismosde seguimiento y control del cumplimiento de las políticas generales.
Informe de Auditoría
El informe de auditoría tiene como objetivo presentar las deficienciasdetectadas tanto a través de los resultados del cuestionario completado enla revisión preliminar, como de las pruebas de cumplimiento. En el anexo4 se incluye un modelo como guía para realizar un informe de auditoría..
Herramientas de Auditoría
Las herramientas de auditoría, básicamente software de auditoría y de controlde inventario, son en muchos casos esenciales para realizar las pruebas decumplimiento. En el anexo 5, se incluye una lista de estas herramientasdisponibles en el mercado.
anexos
Inventario . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Cuestionario básico/Auto-auditorías . . . . . . .2
Pruebas de cumplimiento/Seguimiento de controles . . . . . . . . . . . . . . . . . . . . . . . . .3
Modelo Informe . . . . . . . . . . . . . . . . . . . . . .4
Programas de inventario de software/WEB de empresas . . . . . . . . . . . . .5
GUIA AUDITORIA 3/3/00 10:44 Página 6
7
INVENTARIO DE SOFTWAREanexo 1
obje
tivo
de e
ste m
odelo
La in
form
ació
n qu
e se
sug
iere
a c
ontin
uaci
ón p
ara
un in
vent
ario
, es
la m
ínim
a qu
e de
berí
a es
tar
disp
onib
le p
ara
un a
decu
ado
segu
imie
nto
y co
ntro
l del
sof
twar
e or
igin
al.
Ord
enad
or/
Iden
tific
ació
n(2)
So
ftw
are
Lice
ncia
(4)
Fec
ha d
e F
actu
raF
echa
Res
ulta
do
P
lata
form
a(1)
utili
zad
o(3
)in
stal
ació
nLi
cenc
ia(5
)R
ealiz
ació
nd
el in
vent
ario
Núm
ero
de
Inve
ntar
ious
uari
os
(1)
Iden
tific
ació
n de
l ord
enad
or (
cent
ral/s
ervi
dor/
clie
nte/
orde
nado
r ai
slad
o/po
rtát
il, e
tc.)
, in
cluy
endo
las
refe
renc
ias
esta
blec
idas
en
laem
pres
a pa
ra la
iden
tific
ació
n de
est
os.
Indi
car
espe
cial
men
te s
i est
e so
ftwar
e es
tá s
iend
o ut
iliza
do e
n un
a in
stal
ació
n de
otr
aem
pres
a, p
or e
jem
plo
un e
mpr
esa
prov
eedo
ra d
e se
rvic
ios
info
rmát
icos
("o
utso
urci
ng")
.(2
)Á
rea
dond
e se
enc
uent
ra,
pers
ona
o fu
nció
n re
spon
sabl
e.(3
)D
escr
ipci
ón d
el n
ombr
e té
cnic
o, f
abric
ante
, pr
ovee
dor,
y b
reve
des
crip
ción
del
ser
vici
o pa
ra e
l cua
l se
usa.
Inc
luir
tam
bién
el
núm
ero
de u
suar
ios
que
lo u
tiliz
a.(4
)Li
cenc
ia d
el s
oftw
are,
tip
o de
lice
ncia
, ub
icac
ión
del o
rigin
al,
y co
ndic
ione
s es
peci
ales
, si
pro
cede
.(5
)R
evis
ión
de la
fac
tura
cor
resp
ondi
ente
, fe
cha
fact
ura
y fe
cha
de p
ago.
Rev
isió
n úl
timo
pago
seg
ún c
ondi
cion
es d
e la
lice
ncia
.
GUIA AUDITORIA 3/3/00 10:44 Página 7
8
obje
tivo
s del
cuest
ionari
o
• E
l obj
etiv
o de
est
e cu
estio
nario
es
bási
cam
ente
incl
uir
todo
s aq
uello
s as
pect
os e
n re
laci
ón a
l sof
twar
e or
igin
al q
ue d
eber
ían
revi
sars
epa
ra ll
evar
a c
abo
una
auto
-aud
itorí
a.
No
tiene
el c
arác
ter
met
odol
ógic
o re
quer
ido
para
la r
ealiz
ació
n de
una
Aud
itorí
a de
Sis
tem
asde
Inf
orm
ació
n.
Si,
a es
tos
efec
tos
podr
ía s
er ú
til c
omo
obte
nció
n de
info
rmac
ión
prel
imin
ar.
• E
l cum
plim
ient
o de
l cue
stio
nario
no
conl
leva
en
sí,
un m
ecan
ism
o de
eva
luac
ión
punt
ual.
Las
eva
luac
ione
s de
berá
rea
lizar
las
laor
gani
zaci
ón a
la v
ista
de
los
resu
ltado
s co
ncre
tos
que
se o
bten
gan.
•
Las
preg
unta
s tr
atan
de
indu
cir
a po
sibl
es p
roce
dim
ient
os d
e co
ntro
l que
deb
ería
n co
nsid
erar
se p
ara
el c
ontr
ol d
el s
oftw
are
orig
inal
,ad
aptá
ndos
e, e
n ca
da c
aso
a la
dim
ensi
ón y
nec
esid
ades
con
cret
as d
e la
em
pres
a•
Est
e cu
estio
nario
inte
nta
cont
empl
ar la
may
oría
de
las
preg
unta
s qu
e un
a or
gani
zaci
ón d
eber
ía p
lant
ears
e co
n re
spec
to a
l sof
twar
eor
igin
al.
Por
lo t
anto
se
reco
mie
nda
que,
se
adpt
e a
cada
situ
ació
n es
pecí
fica
de la
s T
IC,
su d
imen
sión
, a
las
prác
ticas
adm
inis
trat
ivas
y de
con
trol
de
empr
esa.
• E
ste
cues
tiona
rio c
onte
mpl
a, d
e fo
rma
deta
llada
, to
dos
los
riesg
os y
con
trol
es e
nunc
iado
s en
la p
rimer
a pa
rte
de e
sta
guía
.
Co
ncep
to/
Pre
gun
taR
esul
tad
os
Acc
ión
a to
mar
Res
po
nsab
ilid
ad/
Asp
ecto
de
Áre
aco
ntro
lI.
In
ven
tari
o¿
Exi
ste
un in
vent
ario
del
sof
twar
e in
stal
ado,
util
izad
o y
adqu
irido
en
la e
mpr
esa?
¿S
e re
aliz
a su
act
ualiz
ació
n de
for
ma
perió
dica
, ca
da
vez
que
se a
dqui
ere
softw
are,
y a
l men
os d
e fo
rma
sem
i-anu
al s
e re
aliz
a un
a re
visi
ón d
e la
exa
ctitu
d de
la
info
rmac
ión
que
brin
da e
l inv
enta
rio?
¿S
e co
mpr
ueba
que
se
han
incl
uido
todo
s lo
s or
dena
dore
sex
iste
ntes
, en
la r
ealiz
ació
n de
l inv
enta
rio d
e so
ftwar
e?
CUESTIONARIO BÁSICO/AUTO-AUDITORÍASanexo 2
GUIA AUDITORIA 3/3/00 10:44 Página 8
9
¿S
e co
mpr
ueba
que
se
han
incl
uido
todo
s lo
s or
dena
dore
sex
iste
ntes
, en
la r
ealiz
ació
n de
l inv
enta
rio d
e so
ftwar
e?
¿S
e ut
iliza
alg
una
herr
amie
nta
softw
are
para
com
prob
ar
el s
oftw
are
inst
alad
o en
cad
a or
dena
dor
o re
d?
¿S
e gu
arda
n lo
s re
gist
ros
y ev
iden
cias
obt
enid
as c
on
esta
her
ram
ient
a?
¿S
e m
antie
ne e
vide
ncia
de
los
inve
ntar
ios
real
izad
os,
sus
actu
aliz
acio
nes,
así
com
o de
los
resu
ltado
s y
acci
ones
tom
adas
par
a re
solv
er d
efic
ienc
ias
dete
ctad
as?
¿S
e co
mun
ica
opor
tuna
men
te a
la D
irecc
ión
o G
eren
cia
resp
onsa
ble
de lo
s te
mas
rel
acio
nado
s co
n el
sof
twar
eor
igin
al,
de lo
s re
sulta
dos
del i
nven
tario?
¿S
e re
aliz
an e
stos
inve
ntar
ios
perió
dico
s de
for
ma
sorp
resi
va,
o se
com
unic
an a
ntic
ipad
amen
te la
fec
ha
de r
ealiz
ació
n?
II.
Polít
icas
y¿
Exi
sten
pol
ítica
s di
seña
das
espe
cial
men
te p
ara
aseg
urar
la a
dqui
sici
ón d
e so
ftwar
e or
igin
al,
y ev
itar
copi
as n
o au
toriz
adas
?
¿E
xist
en u
na d
efin
ició
n de
las
resp
onsa
bilid
ades
de
los
usua
rios,
téc
nico
s y
resp
onsa
bles
de
com
pras
de
softw
are,
con
resp
ecto
al s
oftw
are
orig
inal
, y
su a
dqui
sici
ón?
¿E
xist
e un
a no
rmat
iva
gene
ral d
e co
mun
icac
ión
a lo
sem
plea
dos
que
utili
zan
un o
rden
ador
, so
bre
los
riesg
osde
no
tene
r so
ftwar
e or
igin
al,
y so
bre
las
polít
icas
yno
rmat
ivas
gen
eral
es d
e la
em
pres
a al
res
pect
o?
norm
ati
vas
gen
era
les
de
la e
mp
resa
para
el
soft
ware
ori
gin
al
GUIA AUDITORIA 3/3/00 10:44 Página 9
10
¿S
e in
cluy
e en
los
cont
rato
s de
l per
sona
l alg
una
cláu
sula
que
se p
ueda
apl
icar
en
caso
de
utili
zaci
ón d
e so
ftwar
eno
orig
inal
, o
real
izac
ión
de c
opia
s no
aut
oriz
adas
?
¿E
xist
e un
res
pons
able
des
igna
do p
ara
real
izar
el
segu
imie
nto
del s
oftw
are
orig
inal
?
¿E
xist
e un
pro
cedi
mie
nto
para
uni
ficar
las
com
pras
de
softw
are,
y o
bten
er la
s ve
ntaj
as d
e ad
quiri
r lic
enci
aspa
ra v
ario
s us
uario
s?
¿La
s co
mpr
as d
e so
ftwar
e se
con
solid
an y
con
cret
an e
nun
dep
arta
men
to,
área
o r
espo
nsab
le c
entr
al?
¿P
uede
n lo
s us
uario
s re
aliz
ar c
ompr
as d
e or
dena
dore
s y
softw
are
dire
ctam
ente
? S
i est
e es
el c
aso,
¿de
ben
esto
sco
mun
icar
est
as c
ompr
as a
un
depa
rtam
ento
de
tecn
olog
ía o
per
sona
coo
rdin
ador
a o
resp
onsa
ble
por
elso
ftwar
e or
igin
al?
¿S
e pe
rmite
que
los
usua
rios
real
icen
sus
pro
pias
inst
alac
ione
s de
sof
twar
e?
¿E
xist
e un
pro
cedi
mie
nto
de c
ontr
ol p
ara
la in
stal
ació
nde
l sof
twar
e or
igin
al e
n lo
s di
stin
tos
orde
nado
res?
CUESTIONARIO BÁSICO/AUTO-AUDITORÍASanexo 2
Co
ncep
to/
Pre
gun
taR
esul
tad
os
Acc
ión
a to
mar
Res
po
nsab
ilid
ad/
Asp
ecto
de
Áre
aco
ntro
l
GUIA AUDITORIA 3/3/00 10:44 Página 10
11
¿S
e pe
rmite
que
los
usua
rios
real
icen
sus
pro
pias
inst
alac
ione
s de
sof
twar
e?
¿E
xist
e un
pro
cedi
mie
nto
de c
ontr
ol p
ara
la in
stal
ació
nde
l sof
twar
e or
igin
al e
n lo
s di
stin
tos
orde
nado
res?
¿E
xist
e un
pro
cedi
mie
nto
para
la c
usto
dia
y pr
otec
ción
de
los
sopo
rtes
mag
nétic
os o
rigin
ales
del
sof
twar
e y
man
uale
s re
cibi
dos
en e
l mom
ento
de
real
izar
la c
ompr
a?
¿E
xist
e un
pro
cedi
mie
nto
de c
ontr
ol b
asad
o en
un
regi
stro
de la
act
ivid
ad d
e lo
s us
uario
s co
n re
spec
to a
l sof
twar
eut
iliza
do,
que
es r
evis
ado
por
una
pers
ona
inde
pend
ient
e,pa
ra a
segu
rar
que
no s
e ut
iliza
n co
pias
no
auto
rizad
as?
¿E
xist
e al
gún
proc
edim
ient
o de
con
trol
par
a ev
itar
que
sere
alic
en c
opia
s de
sof
twar
e si
n la
ade
cuad
a au
toriz
ació
n, y
de a
cuer
do a
l con
trat
o de
lice
ncia
s co
n el
pro
veed
or?
¿S
e re
aliz
a un
a re
visi
ón in
depe
ndie
nte
del c
umpl
imie
nto
de lo
s pr
oced
imie
ntos
de
cont
rol a
nter
iore
s?
¿S
e re
aliz
a un
seg
uim
ient
o de
la s
oluc
ión
de la
sde
ficie
ncia
s de
tect
adas
por
las
auto
-aud
itorí
as ú
ltim
as?
III.
Cop
ias
de
¿E
xist
en r
espo
nsab
les
desi
gnad
os p
ara
real
izar
esta
s co
pias
?
¿E
xist
en p
roce
dim
ient
os p
ara
aseg
urar
que
est
as c
opia
ses
tán
adec
uada
men
te p
rote
gida
s y
sólo
dis
poni
bles
par
ael
per
sona
l esp
ecia
lmen
te a
utor
izad
o?
IV. E
xist
enci
a¿
Se
disp
onen
de
licen
cias
ade
cuad
as p
ara
todo
el
softw
are
utili
zado
por
ord
enad
ores
con
ecta
dos?
de
Lice
nci
as
segu
rid
ad
GUIA AUDITORIA 3/3/00 10:44 Página 11
12
CUESTIONARIO BÁSICO/AUTO-AUDITORÍASanexo 2
¿E
stán
est
as li
cenc
ias
adec
uada
s al
núm
ero
real
de
usu
ario
s?
¿S
e co
mpr
ueba
que
la c
antid
ad d
e co
pias
det
ecta
das
dura
nte
la r
ealiz
ació
n o
actu
aliz
ació
n de
l inv
enta
rio d
eso
ftwar
e co
inci
de, p
or p
rodu
cto,
con
las
licen
cias
de
los
mis
mos
?¿
Se
han
reci
bido
pet
icio
nes
de in
form
ació
n de
Aso
ciac
ione
sP
rofe
sion
ales
de
Fab
rican
tes
y P
rove
edor
es d
e S
oftw
are?
¿S
e ha
n co
ntes
tado
?
¿La
con
test
ació
n la
ha
real
izad
o un
a pe
rson
a au
toriz
ada
espe
cial
men
te p
or la
em
pres
a?
¿E
stán
esp
ecifi
cada
s en
las
licen
cias
las
cond
icio
nes
para
real
izar
cop
ias
de s
egur
idad
?
¿E
stá
la r
espe
ctiv
a id
entif
icac
ión
de la
s lic
enci
as a
disp
onib
ilida
d de
l per
sona
l téc
nico
, pa
ra p
oder
acre
dita
rse
com
o cl
ient
e ad
ecua
dam
ente
con
los
serv
icio
s té
cnic
os d
el f
abric
ante
o p
rove
edor
?E
n el
cas
o de
util
izar
ser
vici
os e
xter
nos
info
rmát
icos
tale
s co
mo
el "
outs
ourc
ing"
, ¿
se h
an r
evis
ado
los
cont
rato
s de
lice
ncia
par
a as
egur
ar q
ue s
e ha
pre
vist
oad
ecua
dam
ente
est
a si
tuac
ión,
y q
ue e
xist
e la
auto
rizac
ión
corr
espo
ndie
nte?
¿E
l ase
sor
o de
part
amen
to le
gal h
a re
visa
do lo
s co
ntra
tos
con
empr
esas
ext
erna
s de
ser
vici
os in
form
átic
os, p
ara
aseg
urar
se q
ue s
e co
ntem
plan
ade
cuad
amen
te la
util
izac
ión
de s
oftw
are
adqu
irido
por
la e
mpr
esa,
en
cuan
to a
resp
onsa
bilid
ad le
gal y
con
trol
del
sof
twar
e or
igin
al?
V. N
ueva
s¿
Exi
ste
un p
roce
dim
ient
o de
con
trol
par
a as
egur
ar q
ue la
snu
evas
ver
sion
es o
act
ualiz
acio
nes
se in
stal
an d
e ac
uerd
o a
las
licen
cias
orig
inal
es, o
últi
ma
reno
vaci
ón d
e la
s m
ism
as?
¿E
xist
e un
pro
cedi
mie
nto
de c
ontr
ol p
ara
aseg
urar
que
las
nuev
as v
ersi
ones
se
inst
alan
en
todo
s lo
sor
dena
dore
s, y
que
las
antig
uas
son
desi
nsta
lada
s, e
n el
caso
de
no m
ante
ner
esas
lice
ncia
s co
n el
pro
veed
or?
VI.
Au
dit
orí
as
¿S
e re
aliz
an a
udito
rías
ext
erna
s de
l sof
twar
e or
igin
al?
¿Se
han
impla
ntad
o la
s re
com
enda
cion
es r
ealiz
adas
po
r
Co
ncep
to/
Pre
gun
taR
esul
tad
os
Acc
ión
a to
mar
Res
po
nsab
ilid
ad/
Asp
ecto
de
Áre
aco
ntro
l
GUIA AUDITORIA 3/3/00 10:44 Página 12
13
serv
icio
s té
cnic
os d
el f
abric
ante
o p
rove
edor
?E
n el
cas
o de
util
izar
ser
vici
os e
xter
nos
info
rmát
icos
tale
s co
mo
el "
outs
ourc
ing"
, ¿
se h
an r
evis
ado
los
cont
rato
s de
lice
ncia
par
a as
egur
ar q
ue s
e ha
pre
vist
oad
ecua
dam
ente
est
a si
tuac
ión,
y q
ue e
xist
e la
auto
rizac
ión
corr
espo
ndie
nte?
¿E
l ase
sor
o de
part
amen
to le
gal h
a re
visa
do lo
s co
ntra
tos
con
empr
esas
ext
erna
s de
ser
vici
os in
form
átic
os, p
ara
aseg
urar
se q
ue s
e co
ntem
plan
ade
cuad
amen
te la
util
izac
ión
de s
oftw
are
adqu
irido
por
la e
mpr
esa,
en
cuan
to a
resp
onsa
bilid
ad le
gal y
con
trol
del
sof
twar
e or
igin
al?
V. N
ueva
s¿
Exi
ste
un p
roce
dim
ient
o de
con
trol
par
a as
egur
ar q
ue la
snu
evas
ver
sion
es o
act
ualiz
acio
nes
se in
stal
an d
e ac
uerd
o a
las
licen
cias
orig
inal
es, o
últi
ma
reno
vaci
ón d
e la
s m
ism
as?
¿E
xist
e un
pro
cedi
mie
nto
de c
ontr
ol p
ara
aseg
urar
que
las
nuev
as v
ersi
ones
se
inst
alan
en
todo
s lo
sor
dena
dore
s, y
que
las
antig
uas
son
desi
nsta
lada
s, e
n el
caso
de
no m
ante
ner
esas
lice
ncia
s co
n el
pro
veed
or?
VI.
Au
dit
orí
as
¿S
e re
aliz
an a
udito
rías
ext
erna
s de
l sof
twar
e or
igin
al?
¿S
e ha
n im
plan
tado
las
reco
men
daci
ones
rea
lizad
as p
orlo
s au
dito
res
exte
rnos
?
vers
ion
es
oactu
aliz
acio
nes
Ext
ern
as
GUIA AUDITORIA 3/3/00 10:44 Página 13
14
anexo 3
• Las siguientes pruebas tienen el objetivo de ilustrar de forma sencilla, unaserie de pruebas que se realizan o pueden realizar habitualmente en lasAuditorías de Sistemas de Información, en relación al software original.
• Cada auditor en función del alcance de la auditoría, de la informacióndisponible, dimensión y complejidad de las instalaciones informáticas,debería adaptarlas o bien establecer aquellas que puedan ser más útilespara obtener la evidencias requeridas para llevar a cabo la auditoría.
Ejemplo 1:Objetivo de la prueba. Comprobar que el software está siendoutilizado por el número de usuarios previstos en la licencia.
Obtener una muestra de.... (1)....copias de licencias de determinadosoftware, y revisar:
1. Número de usuarios autorizados y cotejar con los resultados de losinventarios realizados del software instalado.
2. Obtener evidencias de la actividad de usuarios de este software ycomprobar con la información del punto 1.
3. Realizar una revisión mediante la herramienta software disponiblepara la realización de la auditoría en varios ordenadores, ycomprobar que no existen otras copias no incluidas en elinventario.
(1) Dependerá del número potencial de usuarios y de ordenadores donde estáinstalado este software, a partir de la información obtenida en la etapapreliminar de la auditoría.
Ejemplo 2:Objetivo de la prueba. Comprobar que existe una formación adecuadade los empleados en cuanto a la obligación de usar software original, norealizar copias no autorizadas, o instalar software no adquirido por laempresa.
Obtener una muestra de.... (1)....usuarios de determinado software, y revisar:1. Realizar una revisión mediante la herramienta software disponible
para la realización de la auditoría del ordenador de este usuario ycomprobar el software instalado en su disco duro. Revisarposteriormente si todo el software detectado coincide tanto con elinventario de software como con las licencias respectivas.
PRUEBAS DE CUMPLIMIENTO/SEGUIMIENTODE CONTROLESobjetivo de estos ejemplos de pruebas
GUIA AUDITORIA 3/3/00 10:44 Página 14
15
2. Mediante una entrevista, que se deberá formalizar en unmemorándum con copia al entrevistado, obtener informaciónsobre las directivas recibidas al respecto del software original y sucumplimiento en sus tareas cotidianas.
3. Obtener información sobre la realización de copias de seguridad,hechas directamente por el usuario y bajo su control. Comprobarque estas copias están autorizadas y dentro de los extremosestablecidos en las licencias de uso aceptadas por la empresa.
(1) Dependerá del número potencial de usuarios y de ordenadores dondeestá instalado este software, a partir de la información obtenida en laetapa preliminar de la auditoría.
GUIA AUDITORIA 3/3/00 10:44 Página 15
Alcance
Los Auditores XXX han realizado la revisión de software original en laempresa ZZZZZZ, en los entornos de.....(descripción de las instalaciones alas cuales se realizado la presente auditoría)
El objetivo de esta auditoría fue establecido según la ...............(oferta deun auditor externo, contrato de la auditoría, plan de auditorías internas,etc.), en (objetivo: cumplimiento de las políticas al respecto de laempresa, cumplimiento de los acuerdos concretos de licencia con unproveedor determinado, cumplimiento de procedimientos de control, etc.)
La metodología de trabajo ha consistido en la aplicación de las normasaceptadas de Auditoría de Sistemas de Información (se puede hacerreferencia en concreto a un tipo de metodología, como por ejemplo lasemitidas por la ISACA), que consiste básicamente en la evaluación de losriesgos relacionados con el software original, tanto desde el punto de vistalegal como operativo, y de disponibilidad de los SI, y de la adecuación aeste respecto de las políticas y directivas establecidas por la empresa.
Los resultados de la auditoría indican que:
Ejemplos1. No se han observado ninguna incidencia significativa en el
cumplimiento de la normativa legal en cuanto al software legal. Noobstante, recomendamos que se implante un proceso de inventariopermanente para asegurar un control más eficiente del softwareoriginal, y su cumplimiento por parte de los usuarios del mismo.
2. No se han observado desviaciones en el cumplimiento de losprocedimientos de control establecidos por la empresa con respectoal software original. No obstante, se recomienda aumentar lainformación sobre estos procedimientos de control, y de los riesgosque implica su incumplimiento a todos los empleados que utilicenlos sistemas de información. El resultado de la pruebas de auditoríaindican que un 60% aproximadamente de los empleados cumplencon estos procedimientos pero desconocen su fundamento y losriesgos asociados a la realización de copias no autorizadas.
16
anexo 4
MODELO INFORME
conclusiones
auditores
metodología de trabajo
GUIA AUDITORIA 3/3/00 10:44 Página 16
17
3. No existen procedimientos de control adecuados y fiables queimpidan la instalación de software no original por parte de losusuarios en sus ordenadores cliente conectados a la red. En algúncaso se ha detectado que este ha sido el origen de la propagaciónde virus en la red.No se mantiene un control de protección adecuado sobre lossoportes magnéticos originales del software adquirido, y de susmanuales. Estos están situados en armarios abiertos en pasillos decirculación tanto de personal de la empresa como ajeno. Laspruebas de auditoría han permitido comprobar que para un 20% deeste material se desconoce su ubicación y que persona puedetenerlo en este momento.
GUIA AUDITORIA 3/3/00 10:44 Página 17
18
ABC Systems & Development http://www.abcsystems.com
Attest Systems, Inchttp://www.gasp.com/default.asp
BSAhttp://www.bsa.org/index.html
Funk Softwarehttp://www.funk.com
GlobeTrotterhttp://www.globetrotter.com
Isogonhttp://www.isogon.com
MacAfeehttp://www.mcafee.com
Microsofthttp://www.microsoft.com
NIC-NZhttp://www.nic-nz.com
Novellhttp://www.novell.com
Rainbow Technologies Inc.http://www.rainbow.com/spanish/ index.html
Sassafrashttp://www.sassafras.com
System Integratorshttp://www.sintegrators.com
Tally Systemshttp://www.tallysys.com
WRQhttp://www.wrq.com
anexo 5
PROGRAMAS DE INVENTARIO DESOFTWARE/WEB DE EMPRESAS
A continuación incluimos una serie de programas que realizan uninventario del software instalado en uno o varios PCs. La finalidad de estos programas es ayudar el auditor de software ensu labor cotidiana.
GUIA AUDITORIA 3/3/00 10:44 Página 18
19
ADOBEwww.adobe.com
APPLEwww.apple.com
ATTACHMATEwww.attachmate.com
AUTODESKwww.autodesk.com
BSA (Business Software Alliance)www.bsa.org/es
CORELwww.corel.com
FAST (Federation Against Software Theft)www.fast.org.uk
FILEMAKERwww.filemaker.com
MACROMEDIAwww.macromedia.com
Microsoftwww.microsoft.com
PANDAwww.pandasoftware.es
POWERQUESTwww.powerquest.com
SIIA (Software & InformationIndustry Association)www.siia.net/piracy/
SPA (Software Publishers Association)www.spa.org
El contenido y funcionamiento del software incluidos en las diferentesdirecciones, es competencia exclusiva de cada compañía.
Pueden consultarse además las siguientes direcciones, que se considerande interés.
GUIA AUDITORIA 3/3/00 10:44 Página 19
Con la adhesión de:
Para la difusión de las ingenieríasInformática y de Telecomunicación
ORGANIZACION DE AUDITORIA INFORMATICAASOCIACION DE LICENCIADOS
EN INFORMATICA
UNIVERSIDAD PONTIFICIA DESALAMANCA EN MADRID
GUIA AUDITORIA 3/3/00 10:44 Página 1