IDSystems Administracion Centros de Computo 8.

8.5.1 AUDITORIA DE SOFTWARE

INTRODUCCION

Tradicionalmente, en el entorno de proceso de datos,

cuando se habla de software, de un modo genérico, se
está haciendo referencia a los programas que se
ejecutan en el ordenador. Cuando se trata a todos
aquellos elementos que tienen que ver con la parte
“blanda”, con la parte “que no se ve” de una
instalación de proceso de datos.

Este capítulo, pasara revista, sobre la base de la

generalización comentada, a todos estos aspectos
lógicos de la informática: software del sistema,
utilidades, datos, programas, bases de datos, etc.

EL CONTROL DE LOS DATOS

Una frase muy utilizada en informática viene a decir que "a un sistema al que se le
proporcione basura a la entrada, nos dará basura a la salida". El tratamiento automático
de los datos ignora su significado y atiende tan solo a su contenido y estructura. Ello
implica que el control informático debe vigilar no solo el valor de la información sino
también su forma.

El control de los datos a la entrada es, por tanto, fundamental y en la auditoria se

examinara la forma en que se han establecido los programas de control de datos en las
diferentes aplicaciones productivas, verificando que, al menos, estos programas permiten
detectar:

-Inverosimilitudes en los datos, con lo que se captan algunas posibilidades de error. Por
ejemplo, así se detecta la incorrección de un dato si este sobrepasa un umbral máximo
fijado para ese tipo de datos. Pero no se puede concluir nada fiable si este dato se
encuentra por debajo de la cota. En definitiva, se trata de establecer unos filtros que
permiten una primera depuración de datos.

-Errores en los indicativos que están aportando falsa información sobre un ítem erróneo o
una falta de información sobre el verdadero. Son muchos los métodos que se utilizan para
la detección de este tipo de errores pero, de cualquier forma, todos se basan en la
utilización de una letra o digito de control que se añade al indicativo a depurar.

-Errores en zona de enunciado que, al no ser muy graves, en la mayoría de los casos
puede no ser necesaria su detección por el excesivo coste de las redundancias necesarias
para tal fin. El criterio del auditor dilucidara sobre la necesidad de este tipo de control.

1
 IDSystems Administracion Centros de Computo 8.5

-Errores en campos de importe que por su naturaleza deben cuidarse sobremanera.

Desgraciadamente, como ocurre en la detección de los otros errores que se vienen
comentando, no existen procedimientos infalibles que estén exentos de rechazar datos
que si son correctos o que, por el contrario, permitan el paso a los incorrectos. Se pueden
establecer test programados basándose en la experiencia previa y utilizando, por ejemplo,
técnicas estadísticas, pero sin perder de vista en ningún momento la falibilidad de estos
procedimientos.

-Errores por pérdida de información. Estos fallos son más fáciles de detectar y prevenir
dado que se puede programar la obligatoriedad de relleno de campos, o se pueden
establecer totales de control, etc.

Unas eficientes medidas de detección no deben quedarse solo ahí, en la detección, sino
que deben complementarse con unos procedimientos automáticos de corrección, siempre
que sea posible establecer ese automatismo. La corrección se puede hacer por un simple
procedimiento de sustitución del dato erróneo, o bien por anulación de este o adición del
dato correcto. También se pueden incorporar registros en los que figuren las diferencias
observadas respecto de los valores iniciales.

CONTROL PERIODICO DE ARCHIVOS Y PROGRAMAS

Dentro del marco de seguridad integral de la instalación hay que contemplar una revisión
regular de archivos y programas, detectando por ejemplo, que procesos que concluyan
anormalmente alteren información contenida en los archivos, o que las versiones
disponibles de los programas fuente son las adecuadas y no han sufrido modificación
alguna.

Al objeto de limitar este tipo de problemas es conveniente que en la auditoria se revisen al

menos puntos como los siguientes:

* La auditabilidad de las aplicaciones, lo que se consigue proporcionando cuadros de

valores numéricos, totales de registros, con indicación de su tipo y, en suma, toda una
serie de medidas que permitan un mejor seguimiento.

* El procesamiento regular de los archivos, investigando cualquier tipo de información que

proporcione una noción del estado de los mismos.

* El cotejo aleatorio de la coherencia entre los datos contenidos en los archivos antes y
después de su procesamiento.

* Implantación de un software que permita un control de las versiones de los programas,

impidiendo que se obtenga copia de un programa mientras no se "devuelva" otra copia
previa y manteniendo un archivo histórico de las modificaciones.

* La recopilación de los programas fuente cuando estos pasan a las librerías de

producción. Una medida optima sería la de instalar una rutina que compile
automáticamente el programa cuando este se incorpore a alguna de las librerías oficiales.
De esta forma se garantiza que no haya errores en las versiones de módulos objetos que
pudieran existir.

2
 IDSystems Administracion Centros de Computo 8.5

* La separación entre los entornos de producción y desarrollo siempre que el tamaño del
centro y los recursos disponibles así lo permitan. En instalaciones de cierto tamaño y
prestigio se puede disponer de una segunda computadora que se utilizara para las tareas
de desarrollo, dejando al principal exclusivamente para las funciones de exploración. De
esta forma se optimiza la carga de trabajo del ordenador principal que mejorara en tiempo
de respuesta. Se minimiza también el riesgo de manipulaciones de programas por
personal ajeno al departamento de informática, además de conseguir una inmejorable
disgregación, basada en la separación física, de los archivos y programas en desarrollo y
los productivos. Una ventaja adicional de esta solución es la de disponer de un ordenador
de back-up que posibilite una continuidad, al menos reducida, ante contingencias del
ordenador principal.

* La adecuada concienciación ante la importancia de registros y documentos de forma que

estos estén clasificados al menos en las siguientes categorías:

-Vitales: por lo que deberá existir una copia exterior, es decir, almacenada en un local
diferente a aquel en el que se asiente el centro de informática.

-Importantes: en este caso su salvaguarda se almacenara en una sala diferente de

aquellas utilizadas por informática.

-Útiles: estos registros necesitaran también de una copia de seguridad que se puede
guardar en la propia sala del servicio informático.

COPIAS DE SEGURIDAD

Un elemento clave en la auditoria del entorno de datos y programas lo constituye la

revisión de los procedimientos de obtención de copias de seguridad.

La necesidad de la obtención de copias de archivos y programas es más que evidente y

cualquier instalación ha de invertir unos minutos del tiempo de los operadores al final de
la jornada para obtener tales copias, al menos de los archivos y/o programas que hayan
sufrido alguna modificación a lo largo del día. Además de estas copias diarias se obtendrá
otra con una periodicidad marcada.

En definitiva, se trata de que el auditor se fije en la forma en que se está utilizando el

software evolucionado y como puede esto repercutir en el nivel de eficiencia y seguridad
general de datos y programas de la instalación.

SEGURIDADES EN BASES DE DATOS

Los sistemas de bases de datos soportan hoy día los sistemas de información de la
mayoría de las empresas mecanizadas. Son, por tanto, un elemento a tener en cuenta a la
hora de dictaminar sobre la situación de la informática en una empresa. En las siguientes
líneas se fijaran algunos de los aspectos a verificar por el auditor sobre la integridad,
seguridad y precisión de las bases de datos.

El establecer una tipología de los fraudes puede resultar una tarea ardua, ya que la
imaginación, especialmente aplicada a la picaresca, es casi ilimitada. Por ello, la política
de prevención de fraudes debe intentar cubrir el amplio abanico de riesgos con que se

3
 IDSystems Administracion Centros de Computo 8.5

enfrenta. Como primera medida para la prevención se ha de fijar claramente lo que hay
que proteger. En el entorno que nos ocupa los programas, archivos... deben ser
inventariados y dotados de procedimientos que permitan su localización en todo
momento. Es un tanto estéril intentar la protección de algo que no se tienen
perfectamente delimitado y localizado.

La política de protección se completa con una adecuada sensibilización de toda la

organización implicada y con el establecimiento de controles en todos aquellos puntos
sensibles de la informática de la compañía. La implantación de estos controles enlaza
directamente con la detección de los fraudes.

Para la detección el auditor puede servirse de unas herramientas que son aplicables
directamente sobre los puntos críticos. Algunas de estas son:

-La utilización de programas para auditoria que fundamentalmente facultan al auditor para
hacer extracciones selectivas de datos, o comparar contenidos de archivos, entre otras
cosas. De esta forma se puede hacer una rápida comparación entre "lo que hay" y "lo que
se espera que haya".

-La introducción de datos erróneos, la utilización de procedimientos prohibidos, la

provocación de anormalidades, son todas ellas formas de comprobar, controladamente,
como reaccione el sistema o un determinado programa o aplicación ante situaciones
extrañas o ilícitas, diferentes de aquellas para las que se pensó.

-El examen detenido del log y su comparación con el diario de explotación permite
conocer los errores ocurridos en programación, los procedimientos utilizados, las posibles
manipulaciones, etc. con lo que el auditor está en condiciones de detectar los fraudes en
la explotación.

En suma, se trata de apreciar el grado de accesibilidad de datos y programas mediante

técnicas de fácil uso incluso por personas sin excesiva experiencia en proceso de datos.

INVENTARIANDO EL SOFTWARE

Asi como en la Auditoria de Hardware, tambien existen muchos programas para el

inventario de software sobre los equipos que se ejecutan, a traves de la red, de manera
centralizados en un servidor o incluso a traves de Internet.

Sin embargo, dependiendo del software de que se trate, puede que no solo baste con que
nos indique QUE programas tenemos instalados (el propio Microsoft Windows por ejemplo,
tiene esta funcion), o su ubicación dentro de nuestra computadora, sino tambien incluso
los numeros de serie, versiones, etc.

Y al igual que con el hardware, estos programas hacen su funcion de manera automatica o
de manera manual. En la forma manual tenemos que incluir donde se encuentran las
licencias, donde se adquirio, fecha, quien lo utiliza, o incluso para que se utiliza.

Dentro del capitulo de Administracion Local, tenemos algunas recomendaciones de este

tipo de software. En la actualidad, buscando a traves de Internet por los distintos
buscadores, encontraremos cientos de este tipo.

4
 IDSystems Administracion Centros de Computo 8.5

Sin embargo, tal como indicamos en el Hardware, ComputerAdmin, es un sencillo

programa de HelpDesk (Mesa de Ayuda) que cuenta con una base de datos para
almacenar toda la informacion respecto a nuestros equipos de manera manual:

Por ejemplo, como vemos en el software en cuestion, divimos algunas caracteristicas

tecnicas del software con las financieras y fiscales/legales. Es decir, tenemos el nombre
del software, su version, para que plataforma se usara, la empresa creadora, el sitio web
del producto, precio, telefono de soporte tecnico y de lo mas importante, la licencia del
software que comprende su numero de serie y a que computadora pertenece.

5
 IDSystems Administracion Centros de Computo 8.5

En esta pantalla, por ejemplo, vemos que podemos asignar un software a todos nuestros
equipos, crear licencias no asignadas o borrarlas. Podemos incluso buscar un software y
mostrar a que equipo esta incorporada. Tener en regla nuestro software, descubrir
software no autorizado en equipos de los usuarios es una de las metas importantes de la
Auditoria de Software. Y no solamente por las repercusiones legales que puede acarrear a
la empresa o centro de computo, sino para descubrir que usuario o usuarios instalaron
software no autorizado y porque lo estan usando.

6
 IDSystems Administracion Centros de Computo 8.5

Y tal como mencionabamos, anotar los datos referentes a la compra nos da los elementos
completos en nuestro informe, para generar las estadisticas adecuadas y hacer las
sugerencias que se necesiten.

GUIA DE ADMINISTRACION DE LICENCIAMIENTO DE SOFTWARE SEGÚN

MICROSOFT

A continuacion mostraremos algunas recomendaciones que hace el gigante de software

Microsoft para los profesionales IT y realicen auditorias internas. Documento de 1997

Introducción
La Auditoría de Software es un término general que se refiere a la investigación y al
proceso de entrevistas que determina cómo se adquiere, distribuye y usa el software en la
organización.

Conducir la auditoría es una de las partes más críticas de un Programa de Administración

de Software, porque la auditoría ayuda a la organización a tomar decisiones que optimicen
sus activos de software.

Un estudio de Print UK Limited, firma de Administración de auditoría, descubrió que una

organización típica con más de 500 PCs muchas veces tiene un 20% más de

7
 IDSystems Administracion Centros de Computo 8.5

computadoras de lo que cree. El Gartner Group también descubrió que más de un 90% de
las organizaciones han incrementado su base de activos de TI sin haber hecho ningún
proceso para su seguimiento.

Una de las razones por las que las organizaciones no maximizan su inversión en activos
de software es que no hay información exacta disponible. La recopilación de toda la
información necesaria es un proceso intenso, especialmente cuando se hace por primera
vez. Otro problema es que la perspectiva de una auditoría puede ser vista con algunas
reservas por algunos directivos de la organización, preocupados porque pueda interrumpir
el flujo de trabajo, y por algunos usuarios finales que pueden ser forzados a abandonar
sus programas o procedimientos favoritos.

Una de las formas de evitar las objeciones y dejar de lado estos problemas es planificar
cuidadosamente la Auditoría de Software y comunicar su valor por adelantado.

Los siguientes factores favorecerán la colaboración entre la gerencia y el personal a través

del proceso de planificación, el cual es una llave para el éxito de cualquier auditoría de
software.

• Establecer y acordar una serie clara de objetivos y comunicarla a todos los

empleados asociados con la auditoría.
• Focalizarse en los resultados que se requieran de la auditoría y discutir las áreas
donde se crea pueda haber problemas.
• Identificar las áreas simples pero muchas veces olvidadas que necesitan ser
consideradas, tales como:
o Acceso a sitios y creación de mapas de esas locaciones
o Conocer con anticipación los log-on scripts de seguridad o claves.
o Horario de la auditoría (durante el día, noche o fin de semana).
• Diseñar el plan y el cronograma de la auditoría, así como también las herramientas
de auditoría que serán usadas.
• Asignar recursos para cada elemento específico de la auditoría.

Este capítulo se focaliza en la selección de recursos necesarios para conducir la auditoría.

Decisiones de "Compra" Versus "Desarrollo interno"

Determinar quien conducirá físicamente la auditoría es la primera decisión a tomar en
cuanto a los recursos. Existen ciertas ventajas y desventajas al decidir "desarrollar" (una
auditoría conducida por personal interno) o "comprar" (una auditoría conducida por
consultores externos). La organización puede querer ahorrar dólares de su presupuesto al
usar el personal de TI, personal administrativo o voluntario.

Datos compilados por el Gartner Group indican que para cualquier organización de más de
1.000 estaciones de trabajo, una auditoría interna no es de costo efectivo. El
planeamiento de proyecto para la auditoría puede demorar tanto como 20 horas por 100
equipos si lo lleva a cabo personal interno sin entrenamiento, y el proceso de inventario
típicamente lleva 30 minutos o más por estación de trabajo. La compilación de datos y

8
 IDSystems Administracion Centros de Computo 8.5

conciliación tomará horas adicionales. Globalmente, para 1.000 estaciones de trabajo, la

investigación ha demostrado que una auditoría interna será prácticamente el doble de
onerosa que una auditoría conducida por una firma de consultoría externa.

Parte de este costo diferencial es que los auditores externos ya tienen los formularios,
herramientas y plantillas para llevar a cabo la tarea, mientras que el personal de TI tendrá
que seleccionar o crear las herramientas, especialmente si esta es la primera auditoría
que se lleva a cabo en la organización.

Hay tres maneras de conducir una auditoría:

• Llevar a cabo la auditoría internamente usando la información de esta guía y otros

recursos sugeridos.
• Llevar a cabo la auditoría internamente, pero contratar un consultor externo para
que asista en el proceso y provea herramientas esenciales.
• Contratar una firma de consultoría externa para que tome a su cargo todos los
servicios.

Recursos para la Auditoría: Compañías Consultoras y

Auditorías Externas
Hay una gran cantidad de empresas de servicios de auditoría y consultoría que ofrecen
diversos servicios. La siguiente lista no es exhaustiva y tanto las empresas como sus
ofertas pueden cambiar sin previo aviso. De todos modos, esta lista ofrece un buen punto
de partida.

En general, los servicios de administración de activos de software se pueden contratar

entre las siguientes empresas:

Compañías de leasing de equipamiento.

Las mayores compañías de leasing, tales como AT&T, GE Capital, IBM Credit Corp. y otras
han extendido sus servicios al incluir administración de activos y auditoría. A pesar de que
su actividad principal sigue siendo el leasing de equipamiento, pueden ofrecer contratos
de servicio (especialmente si en ese momento están suministrando leasing de
equipamiento para las organizaciones).

Vendedores de software.
El proveedor, a través del cual la empresa está comprando su software puede ser otra
fuente de recursos. Vendedores tales como Micro Age, Inacom, Entex y CompuCom, así
como proveedores de software como Software Spectrum y Steam International ofrecen
estos servicios como un incentivo. Estas organizaciones ofrecen una gran ventaja: tienen
registros de compra y otra documentación que puede reducir drásticamente el tiempo y el
costo de la auditoría.

9
 IDSystems Administracion Centros de Computo 8.5

Sugerencia de Gestión: Aunque el vendedor del software no sea contratado para conducir la auditoría, se le
debería pedir si fuera posible, el registro de todas las compras.

Consultores de auditoría de software.

Existe un pequeño pero creciente número de empresas que se dedican a estos servicios.
Son las siguientes:

• Micropath, Inc., una compañía de Bellevue, WA que ofrece servicios de

administración de activos de software. Asigna un equipo de técnicos para
inventariar manualmente cada estación de trabajo y documentar el hardware
residente, software, detalles de compra, ubicación de las estaciones de trabajo y
detalles del usuario. Estos datos se ingresan en una base de datos a elección del
cliente.
• Corporate Resources International, un integrador de redes de Detroit, MI, que
ofrece administración de redes y servicios de inventario.
• M.F. Smith & Associates, firma de Morristown, NJ, que ofrece asistencia gerencial y
servicios de re-ingeniería.
• Prism, una consultora de Charlotte, NC, especializada en la instalación y
configuración de administración de activos y herramientas de administración de
redes.

Vendedores de herramientas de auditoría de sotware.

Las herramientas de software que pueden determinar el software que está en uso en una
PC o en la red, no solo son fundamentales sino que las compañías que las proveen
también ofrecen servicios de auditoría adicionales. El beneficio del uso de alguna de estas
firmas es su familiaridad con el proceso y sus productos. La desventaja es que usarán sus
propias herramientas, lo que puede o no ser adecuado para hacer todos los trabajos.

Recursos para la Auditoría: Herramientas de la

Auditoría
Las herramientas de auditoría ofrecen una gran cantidad de servicios diseñados para
asistir en la auditoría de software. Hay cuatro grandes tipos de herramientas de auditoría:

• Programas de Inventario, que están diseñados para tomar un inventario del

software existente instalado y generar un reporte.
• Programas de Medición, que monitorean el uso del software en una red, asistiendo
a la administración de las licencias de red.
• Programas de Administración de Redes, que combinan la medición, inventario y
otras tareas en un conjunto de software.
• Programas de Administración de Software, que incluyen el inventario, medición y
administración y también asisten con la instalación de software, distribución,
protección anti-virus, mesa de ayuda y otras funciones de administración.

10
 IDSystems Administracion Centros de Computo 8.5

La lista siguiente presenta información comparativa de paquetes de software líderes en

cada categoría. Las tablas son representativas. No incluyen todo. Toda la información fue
provista por los vendedores. La información de contacto lo ayudará para evaluar o
comprar programas específicos. Hay muchos vendedores de estos productos, tanto
Microsoft como otros editores de software. El objetivo y efectividad de estos productos
varía ampliamente, y deberían evaluarse varios antes de tomar la decisión final.

Información de contacto para Herramientas de

Auditoría
Aladdin Knowledge Systems ON Technology Corporation
ESB--350 Fifth Avenue, Suite 6614 One Cambridge Center
New York, NY 10118 Cambridge, MA 02142
212-564-5678 (voice) 617-374-1400 (voice)
212-564-3377 (fax) 617-374-1433 (fax)
sales@us.aks.com (e-mail) info@on.com (e-mail)
http:/ /www.aks.com (internet) http://www.on.com (Internet)

Attest Systems, Inc. Pathfinder

165 North Redwood Drive, Suite 150 138 Compstall Road, Romiley
San Rafael, CA 94903 Stockport Cheshire, SK6 4 EW
800-471-4277 (voice) United Kingdom
415-491-7805 (fax) +44 (0) 161-406-7399 (voice)
info@attest-gasp.com (e-mail) +44 (0) 161-406-7410 (fax)
http://www.attest-gasp.com (Internet) info@pathfind.demon.co.uk (e-mail)
http://www.u-net.com/pathfinder (Internet)
Business Software Alliance
1150 18th Street NW, Suite 700 Software Publishers Association
Washington, DC 20036 1730 M Street NW, Suite 700
202-872-5500 (voice) Washington, DC 20036-4510
202-872-5501 (fax) 800-388-7478 (voice)
software@bsa.org (e-mail) 202-223-8756 (fax)
http://www.bsa.org (Internet) 800-637-6823 (fax-on-demand)
piracy@spa.org (e-mail)
Dr. Solomon's Software Ltd. http://www.spa.org (Internet)
Alton House
Gatehouse Way Symantec Corp.
Aylesbury, Buckinghamshire 11020 Torre Avenue
HP19 3 XU England Cupertino CA 95014-2132
+44 (0) 1296 318700 (voice) 800-441-7234 (voice)
+44 (0) 1296 318777 (fax) 408-252-5101 (fax)
info@uk.drsolomon.com (e-mail) info@symantec.com (e-mail)
http://www.symantec.com (Internet)
Funk Software
222 Third Street Systems and Synchronous, Inc.
Cambridge, MA 02142 900 East Diehl Road, Suite 110
800-828-4146 (voice) Naperville, IL 60563-1403
617-547-1031 (fax) 708-505-3900 (voice)
sales@funk.com (e-mail) 708-505-5701 (fax)
http://www.funk.com (Internet) http://www.ssinc.com (Internet)

11
 IDSystems Administracion Centros de Computo 8.5

Horizons Technology, 1nc. Tally Systems Corporation

3990 Ruffin Road PO Box 70
San Diego, CA 92123 Hanover, NH 03755-0070
800-828-3808 (voice) 800-262-3877 (voice)
619-292-9439 (fax) 603-448-9243 (fax)
info@horizons.com (e-mail)
http:/ /www.horizons.com (Internet) WRQ, Inc.
1500 Dexter Avenue North
McAfee Associates, Inc. Seattle, WA 98109
2710 Walsh Avenue, Suite 200 206-217-7500 (voice)
Santa Clara, CA 65051-0963 206-217-0293 (fax)
800-332-9966 (voice) info@wrq.com (e-mail)
408-970-9727 (fax) http://www.wrq.com (Internet)
support@mcafee.com (e-mail)
http://www.mcafee.com (Internet)

Microsoft Corporation
One Microsoft Way
Redmond, WA 98052-6399
United States of America
800-426-9400 (voice)
http://www.microsoft.com (Internet)

Herramientas de Inventario/Auditoría

Producto Systems G A S P v4.0 SPAudit/ NetCensus

Management Keyaudit
Server(SMS)
Compañía de Software Microsoft Attest Systems Software Tally Systems
Publishers
Association
Soporte de Sistema Operativo:
Server
Windows® NT Server X X X X
Novell Netware 2.x/3.x/4.x X X X X
IBM OS/2 Lan Server X X X
Otros World Wide Web Banyan Vines
Soporte de Cliente:
Windows® 95 X X* X X
Windows 3.x X X X X
Windows for Workgroups 3.x X X X X

12
 IDSystems Administracion Centros de Computo 8.5

NT Workstation X X* X X
MS-DOS® X X X X
OS/2 2.x/3.x (Warp)/4.x X X X
Macintosh X X X (KeyAudit) X
Funcionalidad:
Hardware X X X
Soporte de Aplicación X X X X
Búsqueda de archivos .exe X X ** X X
Búsqueda de Archivos Desconocidos X X X
- por tamaño X X X
- por fecha X X X
- por Checksum X X X
or CRC
Librería: cantidad de .EXE reconocibles X X *** X X
Capacidad para ser extendido X X X X
Identifica números de versión de software X X X X
Distribución de Software:
- distribución en X
server de red
- distribución vía X
Microsoft SMS
-instalación automática de software X

- actualización automática de software

-actualización automática de software en

base a la
información de
inventarios
- status de distribución de reportes X

Administración de archivos .INI X

Protección de Virus
- Server X
- Cliente X
Control de Cliente Remoto
- via Microsoft X
SMS
Genera:
- reportes X X X X

13
 IDSystems Administracion Centros de Computo 8.5

predefinidos
- reportes X X X
customizados
- reportes filtrados X X X
Otras funciones: X
-descripción: Puede recopilar y Mantiene una base Recopilación de
almacenar copias de software propio Interfase;
de archivos de y autorizado. Reconocimiento
clientes claves (por local del producto;
ej.: archivos vitales SMS compatible
.ini, .cfg, .sys)

* También vía e-mail

** También Com, Sys, Dll, Pcs, Bmp, Fnt, etc.
*** Actualizado mensualmente
Herramientas de Inventario/Auditoría, Continuación
Producto Barefoot Auditor LANAuditor Softscan Audit
Compañía de Software Pathfinder Horizon Business Dr. Solomon's
Technologies, Inc. Software Software
Alliance
Soporte Sistema Operativo:
Server X
Win NT Server X X X
Novell Netware 2.x/3.x/4.x X X X
IBM OS/2 Lan Server X X Q1 97
Otros UNIX Banyan Vines
Soporte de Cliente:
Windows 95 X X X X
Windows 3.x X X X X
Windows for Workgroups 3.x X X X X
Win NT Workstation X X X X
DOS X X X
OS/2 2.x/3.x (Warp)/4.x X X Q1 97
Macintosh X
Funcionalidad:
Hardware X X
Soporte de Aplicación X X X
Búsquedas de Archivos .exe Audita Contenidos X X X

14
 IDSystems Administracion Centros de Computo 8.5

de Archivo
Búsqueda de Archivos Desconocidos Audita Contenidos X X X
de Archivo
- por tamaño X X X
- por fecha X X
- por Checksum X X X
o CRC
Librería: cantidad de .EXE reconocibles Reconoce Producto X X X
Automáticamente
no necesita librería
Capacidad de ser Extendido X X X X
Identifica números de versión de software X X X X
Distribución de Software:
- distribución en
el server de red
- distribución vía
Microsoft SMS
-instalación automatica de software X

-actualización automática de software

-actualización automática de software en base a

la información de inventario

- status de X
distribución de reportes
Administración de Archivos .INI
Protección de Virus
- Server
- Cliente X
Control de Cliente Remoto
- vía Microsoft
SMS
Genera:
- reportes X X X X
predefinidos
- reportes X X X
customizados de
usuarios
- reportes filtrados X X X
Otras funciones: Exportar a SMS

15
 IDSystems Administracion Centros de Computo 8.5

-descripción: Exporta reportes en 60+ Campos

formato listo para definidos por el
importar en otras usuario
aplicaciones

Herramientas de Medición
Producto AppMeter CentaMeter Softrack Express Meter
3.5
Compañía de Software Funk Tally Systems ON WRQ, Inc.
Software Corp. Technology
Soporte de Sistema Operativo:
Server
Windows® NT Server X X X
Novell Netware 2.x/3.x/4.x X X X X
IBM OS/2 Lan Server X X
Otros Todas las redes y
NOSs
Soporte Cliente:
Windows® 95 X X X
Windows 3.x X X X X
Windows for Workgroups 3.x X X X
NT Workstation X X X
MS-DOS® X X X X
OS/2 2.x/3.x (Warp)/4.x X X
Macintosh X X
Funcionalidad:
Hardware
Software de Aplicación
Búsqueda de archivos .exe X X
Búsqueda de Archivos Desconocidos X
-por tamaño X
-por fecha X
-por Checksum o CRC X X
Librería: cantidad de .EXE reconocibles X (cientos)

16
 IDSystems Administracion Centros de Computo 8.5

Capacidad para ser extendido X

Identifica números de versión de software
Distribución de Software:
-distribución en X
server de red
-distribución vía
Microsoft SMS
-instalación automática de software

- actualización automática de software

-actualización automática de software en

base a la
información de
inventarios
- status de distribución de reportes

Administración de archivos .INI

Protección de Virus
- Server X
- Cliente
Control de Cliente Remoto
- vía Microsoft
SMS
Genera:
-reportes X X X X
predefinidos
-reportes X X X X
customizados
-reportes filtrados X X
Otras funciones:
-descripción Bloqueo de Auto-Agrega;
Aplicación; Nueva aplicación
medición de disco Wizard; Alocación
local; compatible de licencia óptima
SMS dinámica; Avisos
de Uso; Controles
de Uso;
Administración de
colas avanzadas;
Integración con
SMS

17
 IDSystems Administracion Centros de Computo 8.5

Herramientas de Administración de Redes

Producto Norton Cenergy Saber LAN

Administrator Workstation
for Networks
Compañía de Software Symantec Tally McAfee
Systems Associates
Soporte Sistema Operativo:
Server X X X
Windows® NT Server X X X
Novell Netware 2.x/3.x/4.x X X X
IBM OS/2 Lan Server X
Otros Banyan Vines;
IBM; DEC
Soporte Cliente:
Windows® 95 X X X
Windows 3.x X X X
Windows for Workgroups 3.x X X X
Win NT Workstation X X X
MS-DOS® X X X
OS/2 2.x/3.x (Warp)/4.x X X for
NetCensus
Macintosh X X for X
NetCensus
Funcionalidad:
Hardware X X
Software de Aplicación X X
Búsqueda de archivos .exe X X X
Búsqueda de Archivos Desconocidos X X X
- portamaño X X X
- por fecha X X X
- por Checksum o CRC X X X
Librería: cantidad de .EXE X X X

18
 IDSystems Administracion Centros de Computo 8.5

reconocibles
Extendability (puede ser extendido) X X X
Identifica números de versión de X X X
software
Distribución de Software:
- distribución en server de red X X X
- distribución vía Microsoft SMS X X
- instalación automática de software X X X
- actualización automática de X X X
software
- actualización automática de X X X
software en
base a la
información de
inventarios
-status de distribución de reportes X X X
Administración de archivos .INI X X X
Protección de Virus
- Server X
- Cliente X
Control de Cliente Remoto
-vía Microsoft SMS
Genera:
- reportes predefinidos X X X
- reportes de usuario customizados X X X
- reportes filtrados X X X
Otras funciones:
-descripción: Disponible
en
conjunto o
solo

19
 IDSystems Administracion Centros de Computo 8.5

Herramientas de Aministración de Redes, Continuación

Producto Systems GASP LAN- Lan- Lan-

Manage- v4.0 Auditor Sleuth Sleuth+
ment
Server
Compañía de Microsoft Attest Horizon Systems Systems
Software Systems Tech- and Synch- and Synch-
nologies, ronous, ronous, Inc.
Inc. Inc.
Soporte Sistema Operativo:
Server X X X
Win NT Server X X X
Novell Netware X X X
2.x/3.x/4.x
IBM OS/2 Lan X X X
Server
Otro World Banyan
Wide Web Vines
Soporte Cliente:
Windows 95 X X* X
Windows 3.x X X X X X
Windows for X X X X X
Workgroups 3.x
Win NT X X* X X X
Workstation
DOS X X X X X
OS/2 2.x/3.x X X X
(Warp)/4.x
Macintosh X X X
Funcionalidad:

20
 IDSystems Administracion Centros de Computo 8.5

Hardware X X
Software de X X X
Aplicación
Búsquedas de X X ** X
Archivos .exe
Búsqueda de X X X
Archivos
Desconocidos
- por tamaño X X X
- por fecha X X X
-por Checksum o X X X
CRC
Librería: cantidad X X *** X
de .EXE
reconocibles
Extendibilidad X X X
(puede ser
extendido)
Identifica números X X X
de versión de
software
Distribución de Software:
-distribución en X
el server de red
- distribución vía X
Microsoft SMS
- instalación X X
automatica de
software
- actualización X
automática de
software
- actualización
automática de
software en base a
la información de
inventario
- status de X X
distribución de
reportes
Administración de
Archivos .INI
Protección de X
Virus
- Server X

21
 IDSystems Administracion Centros de Computo 8.5

- Cliente X
Control de Cliente
Remoto
- vía Microsoft X
SMS
Genera:
- reportes X X X
predefinidos
- reportes X X X
customizados de
usuarios
- reportes X X X
filtrados
Otras funciones: X
-descripción: Puede Mantiene 60+ Campos Analizador Analizador
recopilar y base de de Usuarios de de Protocolo
almacenar softare definidos Protocolo Token Rign
copias de propio y Ethernet
archivos autorizado.
claves de
clientes
(Por
ejemplo:
archivos
viatles
.ini .cfg
.sys)

* También vía e-mail

** También Com, Sys, Dll, Pcs, Bmp, Fnt, etc.
*** Actualizado mensualmente

Herramientas de Administración de Software

Producto Systems Manage- GASP LAN- Norton Saber LAN

ment Server (SMS) v4.0 Auditor Admin- Work-
istrator station
Suite
Compañía de Microsoft Attest Systems Horizon Tech- Symantec McAfee
Software nologies, Inc. Associates

Soporte Sistema Operativo:

Server X X X X X
Windows® NT X X X X X

22
 IDSystems Administracion Centros de Computo 8.5

Server
Novell Netware X X X X X
2.x/3.x/4.x
IBM OS/2 Lan Server X X X X
Otros World Wide Web Banyan Vines Banyan
Vines
Soporte Cliente:
Windows® 95 X X* X X X
Windows 3.x X X X X X
Windows for X X X X X
Workgroups 3.x
NT Workstation X X* X X X
MS-DOS® X X X X X
OS/2 2.x/3.x X X X X
(Warp)/4.x
Macintosh X X X X X
Funcionalidad:
Hardware X X X X
Software de X X X X X
Aplicación
Búsqueda de archivos X X ** X X X
.exe
Búsqueda de X X X X X
Archivos
Desconocidos
- por tamaño X X X X X
- por fecha X X X X X
- por Checksum o X X X X X
CRC
Librería: cantidad X X *** X X X
de .EXE reconocibles
Capacidad para ser X X X X X
extendido
Identifica números de X X X X X
versión de software
Distribución de Software:
-distribución en X X X
server de red
-distribución vía X X X
Microsoft SMS
-instalación X X X X
automática de

23
 IDSystems Administracion Centros de Computo 8.5

software
-actualización X X
automática de
software
-actualización X X
automática de
software en
base a la
información de
inventarios
-status de X X X X
distribución de
reportes
Administración de X X X
archivos .INI
Protección de Virus
- Server X X
- Cliente X X
Control de Cliente X
Remoto
- vía Microsoft SMS X
Genera:
- reportes X X X X X
predefinidos
-reportes X X X X X
customizados
- reportes filtrados X X X X X
Otras funciones: X X
-descripción: Puede recopilar y almacenar Mantiene una base 60+ Campos
copias de archivos de clientes de software propio y definidos por el
claves (por ej.: archivos vitales autorizado. usuario
.ini, .cfg, .sys)

* También vía e-mail

** También Com, Sys, Dll, Pcs, Bmp, Fnt, etc.
*** Actualizada mensualmente

Resumen
La Auditoría de Software es la fase de investigación del Plan de Administración de
Software. En este paso, la organización recopila los datos necesarios para tomar sus
decisiones de inversión.

24
 IDSystems Administracion Centros de Computo 8.5

Prepararse para la auditoría requiere algunas decisiones críticas, tales como conducir la
auditoría internamente o contratar consultores para llevar a cabo la tarea y decidir qué
tipo de software de auditoría debería usarse para el inventario físico de las estaciones de
trabajo y los discos de la red.

Hay muchas posibilidades para elegir, por lo tanto es importante evaluar más de un
producto y elegir solo aquellos que estén alineados con las prioridades y propósitos de
auditoría de la organización.

La BSA en su pagina http://w3.bsa.org/puertorico-esp//antipiracy/Free-Software-Audit-

Tools.cfm nos muestra algunas herramientas gratuitas para la Auditoria de Software.

Herramientas gratuitas para la auditoría de software

GASP®, WebCensus® y Centennial Discovery han sido diseñados para ayudarle a

identificar y catalogar el software que tenga o no licencia que esté instalado en sus
computadoras y redes. Estas auditorías son un componente clave en cualquier plan para
la completa administración de sus activos de software. La BSA gratuitamente pone estos
programas a su disposición gracias a la cooperación de Attest Systems, Inc., Tally
Systems Corp. y Centennial Software. Le rogamos lea las licencias correspondientes o
cualquier otra información adicional para informarse sobre el uso permitido de estos
productos.

WebCensus: A web-based PC Centennial Discovery™: A

hardware and software audit
tool
WebCensus inventories
Windows 95/98, NT 4.0, 2000,
and XP.
Haga “click” aquí para
WebCensus
GASP: A software, hardware
and file audit tool
Versions of this tool are
available for Windows and Mac.
Haga “click” aquí para GASP
comprehensive network
discovery and audit tool.
This tool runs on Windows,
Mac, Unix and Linux platforms.
Haga “click” aquí
para Discovery

25
 IDSystems Administracion Centros de Computo 8.5

La BSA no recibe ni recauda ningún tipo de información sobre empresas que usen estos
programas gratuitos de auditoría de software.

26