Auditorías de Software – Mitos y Realidades
Si bien hace una década las auditorías de Software solo empezaban a generar ruido en las compañías españolas, hoy en día estas se tratan de un proceso más que conocido y por las que toca pasar en varias ocasiones. De todas formas, me gustaría incluir una definición “Una auditoría de software es una comprobación de lo que realmente está utilizando y consumiendo en comparación con lo que ha acordado en los términos y condiciones o el contrato o el contrato de licencia, sea cual sea su uso para comprar software.”
Dentro de las auditorías de Software se pueden diferenciar varios tipos:
- Auditoría Externa Dura: Revisiones donde se ejercita el derecho a auditor mediante el clausulado contractual. Se trata de una auditoria que cuesta dinero al fabricante.
- Auditoría Externa Blanda: Revisiones que se realizan por áreas comerciales, terceros o partners del fabricante con un enfoque de auto revisión, chequeo puntual u otros argumentos. Se trata de revisiones “sugeridas” sin un enfoque estricto y legal.
- Auditoría Interna: Revisión interna del cumplimiento de licenciamiento, promovida por la propia área de IT o por áreas de control interno como auditoría interna.
¿Quién está auditando?
Actualmente la práctica totalidad de fabricantes de Software de alcance global, realizan algún tipo de auditoría de Software.
Según diferentes estudios publicados en el último año, los fabricantes que más auditorías realizan actualmente en el mercado serían; Microfocus, Microsoft, IBM, Oracle, SAP, Quest y Adobe. Si bien esta distribución puede variar por zonas geográficas y no tiene en cuenta a revisiones realizadas por organismos como por ejemplo la BSA que tienen detrás a los principales fabricantes de Software a nivel mundial.
¿Cómo auditan?
El formato de las auditorías puede variar mucho entre unos y otros, partiendo de la existencia de un área de compiliance dedicada, a la apuesta por auditorías más Blandas o Duras. En general el formato de la auditoría también afecta a la nota media de satisfacción que los clientes tienen sobre las mismas. Es por ello por lo que en otro estudio que publica la ITAM review en su página web[1], se pone nota a varios fabricantes de Software en función de como de útil te ha parecido el proceso de auditoría de Software y se penaliza a aquellos fabricantes que más claramente han apostado por las auditorías Duras.
Las auditorías Duras tienden a seguir completamente los términos contractuales aplicables de manera estricta y esto puede producir algunos escenarios que resultan poco razonables para las compañías auditadas. En mi opinión, es esto último lo que puede generar una mayor sensación negativa y de falta de utilidad al cliente.
[1] https://www.itassetmanagement.net/2021/01/06/which-publishers-are-auditing/
¿Cuando?
Las auditorías no se han detenido por la situación excepcional de pandemia global, sino que se han adaptado para poder realizarse sin visitas insitu a las instalaciones del cliente. Además, la percepción general es que, en algunos casos e industrias, la cantidad de notificaciones de auditoría ha aumentado en este último año. Mientras que una auditoría blanda trata de alcanzar un acuerdo con el cliente revisado para buscar la mejor fecha para realizar la revisión (está además suele coincidir con periodos previos a renovaciones contractuales), las auditorías Duras pueden ejercer las condiciones contractuales que normalmente estipulan un periodo concreto para atender al proceso de auditoría y que no suele ser mayor de 90 días.
¿Por que?
Al contrario de lo que se suele pensar, no tiene porque haber un motivo concreto detrás de un proceso de auditoría. Esta puede ocurrir por la conjunción de varios motivos como son el calendario de auditorías periódicas que el fabricante tiene y cierta sensación de que pueda haber alguna situación de no compiliance. Por ejemplo, compañías donde el crecimiento del negocio relacionado con el uso de ese Software ha sido claro y no así su inversión en el mismo.
Lo que en mi opinión refleja todo lo anterior, es la necesidad de las compañías de mejorar el control existente sobre sus activos IT de cara a poder entender mejor los consumos de Software de terceros en la compañía y responder más ágilmente ante cualquier proceso de auditoría de Software de cualquier tipo. En cualquier caso, transmitir esta percepción de control de los activos de TI revierte inevitablemente en una mejora de la imagen que la compañía mantiene con sus proveedores de tecnología.
Team member Grupo de Expertos itsm4ITAM
Comité de Estándares de itSMF España.