INTRODUCCION
Una frase muy utilizada en informática viene a decir que "a un sistema al que se le
proporcione basura a la entrada, nos dará basura a la salida". El tratamiento automático
de los datos ignora su significado y atiende tan solo a su contenido y estructura. Ello
implica que el control informático debe vigilar no solo el valor de la información sino
también su forma.
-Inverosimilitudes en los datos, con lo que se captan algunas posibilidades de error. Por
ejemplo, así se detecta la incorrección de un dato si este sobrepasa un umbral máximo
fijado para ese tipo de datos. Pero no se puede concluir nada fiable si este dato se
encuentra por debajo de la cota. En definitiva, se trata de establecer unos filtros que
permiten una primera depuración de datos.
-Errores en los indicativos que están aportando falsa información sobre un ítem erróneo o
una falta de información sobre el verdadero. Son muchos los métodos que se utilizan para
la detección de este tipo de errores pero, de cualquier forma, todos se basan en la
utilización de una letra o digito de control que se añade al indicativo a depurar.
-Errores en zona de enunciado que, al no ser muy graves, en la mayoría de los casos
puede no ser necesaria su detección por el excesivo coste de las redundancias necesarias
para tal fin. El criterio del auditor dilucidara sobre la necesidad de este tipo de control.
1
IDSystems Administracion Centros de Computo 8.5
-Errores por pérdida de información. Estos fallos son más fáciles de detectar y prevenir
dado que se puede programar la obligatoriedad de relleno de campos, o se pueden
establecer totales de control, etc.
Unas eficientes medidas de detección no deben quedarse solo ahí, en la detección, sino
que deben complementarse con unos procedimientos automáticos de corrección, siempre
que sea posible establecer ese automatismo. La corrección se puede hacer por un simple
procedimiento de sustitución del dato erróneo, o bien por anulación de este o adición del
dato correcto. También se pueden incorporar registros en los que figuren las diferencias
observadas respecto de los valores iniciales.
Dentro del marco de seguridad integral de la instalación hay que contemplar una revisión
regular de archivos y programas, detectando por ejemplo, que procesos que concluyan
anormalmente alteren información contenida en los archivos, o que las versiones
disponibles de los programas fuente son las adecuadas y no han sufrido modificación
alguna.
* El cotejo aleatorio de la coherencia entre los datos contenidos en los archivos antes y
después de su procesamiento.
2
IDSystems Administracion Centros de Computo 8.5
* La separación entre los entornos de producción y desarrollo siempre que el tamaño del
centro y los recursos disponibles así lo permitan. En instalaciones de cierto tamaño y
prestigio se puede disponer de una segunda computadora que se utilizara para las tareas
de desarrollo, dejando al principal exclusivamente para las funciones de exploración. De
esta forma se optimiza la carga de trabajo del ordenador principal que mejorara en tiempo
de respuesta. Se minimiza también el riesgo de manipulaciones de programas por
personal ajeno al departamento de informática, además de conseguir una inmejorable
disgregación, basada en la separación física, de los archivos y programas en desarrollo y
los productivos. Una ventaja adicional de esta solución es la de disponer de un ordenador
de back-up que posibilite una continuidad, al menos reducida, ante contingencias del
ordenador principal.
-Vitales: por lo que deberá existir una copia exterior, es decir, almacenada en un local
diferente a aquel en el que se asiente el centro de informática.
-Útiles: estos registros necesitaran también de una copia de seguridad que se puede
guardar en la propia sala del servicio informático.
COPIAS DE SEGURIDAD
Los sistemas de bases de datos soportan hoy día los sistemas de información de la
mayoría de las empresas mecanizadas. Son, por tanto, un elemento a tener en cuenta a la
hora de dictaminar sobre la situación de la informática en una empresa. En las siguientes
líneas se fijaran algunos de los aspectos a verificar por el auditor sobre la integridad,
seguridad y precisión de las bases de datos.
El establecer una tipología de los fraudes puede resultar una tarea ardua, ya que la
imaginación, especialmente aplicada a la picaresca, es casi ilimitada. Por ello, la política
de prevención de fraudes debe intentar cubrir el amplio abanico de riesgos con que se
3
IDSystems Administracion Centros de Computo 8.5
enfrenta. Como primera medida para la prevención se ha de fijar claramente lo que hay
que proteger. En el entorno que nos ocupa los programas, archivos... deben ser
inventariados y dotados de procedimientos que permitan su localización en todo
momento. Es un tanto estéril intentar la protección de algo que no se tienen
perfectamente delimitado y localizado.
Para la detección el auditor puede servirse de unas herramientas que son aplicables
directamente sobre los puntos críticos. Algunas de estas son:
-La utilización de programas para auditoria que fundamentalmente facultan al auditor para
hacer extracciones selectivas de datos, o comparar contenidos de archivos, entre otras
cosas. De esta forma se puede hacer una rápida comparación entre "lo que hay" y "lo que
se espera que haya".
-El examen detenido del log y su comparación con el diario de explotación permite
conocer los errores ocurridos en programación, los procedimientos utilizados, las posibles
manipulaciones, etc. con lo que el auditor está en condiciones de detectar los fraudes en
la explotación.
INVENTARIANDO EL SOFTWARE
Sin embargo, dependiendo del software de que se trate, puede que no solo baste con que
nos indique QUE programas tenemos instalados (el propio Microsoft Windows por ejemplo,
tiene esta funcion), o su ubicación dentro de nuestra computadora, sino tambien incluso
los numeros de serie, versiones, etc.
Y al igual que con el hardware, estos programas hacen su funcion de manera automatica o
de manera manual. En la forma manual tenemos que incluir donde se encuentran las
licencias, donde se adquirio, fecha, quien lo utiliza, o incluso para que se utiliza.
4
IDSystems Administracion Centros de Computo 8.5
5
IDSystems Administracion Centros de Computo 8.5
En esta pantalla, por ejemplo, vemos que podemos asignar un software a todos nuestros
equipos, crear licencias no asignadas o borrarlas. Podemos incluso buscar un software y
mostrar a que equipo esta incorporada. Tener en regla nuestro software, descubrir
software no autorizado en equipos de los usuarios es una de las metas importantes de la
Auditoria de Software. Y no solamente por las repercusiones legales que puede acarrear a
la empresa o centro de computo, sino para descubrir que usuario o usuarios instalaron
software no autorizado y porque lo estan usando.
6
IDSystems Administracion Centros de Computo 8.5
Y tal como mencionabamos, anotar los datos referentes a la compra nos da los elementos
completos en nuestro informe, para generar las estadisticas adecuadas y hacer las
sugerencias que se necesiten.
Introducción
La Auditoría de Software es un término general que se refiere a la investigación y al
proceso de entrevistas que determina cómo se adquiere, distribuye y usa el software en la
organización.
7
IDSystems Administracion Centros de Computo 8.5
computadoras de lo que cree. El Gartner Group también descubrió que más de un 90% de
las organizaciones han incrementado su base de activos de TI sin haber hecho ningún
proceso para su seguimiento.
Una de las razones por las que las organizaciones no maximizan su inversión en activos
de software es que no hay información exacta disponible. La recopilación de toda la
información necesaria es un proceso intenso, especialmente cuando se hace por primera
vez. Otro problema es que la perspectiva de una auditoría puede ser vista con algunas
reservas por algunos directivos de la organización, preocupados porque pueda interrumpir
el flujo de trabajo, y por algunos usuarios finales que pueden ser forzados a abandonar
sus programas o procedimientos favoritos.
Una de las formas de evitar las objeciones y dejar de lado estos problemas es planificar
cuidadosamente la Auditoría de Software y comunicar su valor por adelantado.
Datos compilados por el Gartner Group indican que para cualquier organización de más de
1.000 estaciones de trabajo, una auditoría interna no es de costo efectivo. El
planeamiento de proyecto para la auditoría puede demorar tanto como 20 horas por 100
equipos si lo lleva a cabo personal interno sin entrenamiento, y el proceso de inventario
típicamente lleva 30 minutos o más por estación de trabajo. La compilación de datos y
8
IDSystems Administracion Centros de Computo 8.5
Parte de este costo diferencial es que los auditores externos ya tienen los formularios,
herramientas y plantillas para llevar a cabo la tarea, mientras que el personal de TI tendrá
que seleccionar o crear las herramientas, especialmente si esta es la primera auditoría
que se lleva a cabo en la organización.
Vendedores de software.
El proveedor, a través del cual la empresa está comprando su software puede ser otra
fuente de recursos. Vendedores tales como Micro Age, Inacom, Entex y CompuCom, así
como proveedores de software como Software Spectrum y Steam International ofrecen
estos servicios como un incentivo. Estas organizaciones ofrecen una gran ventaja: tienen
registros de compra y otra documentación que puede reducir drásticamente el tiempo y el
costo de la auditoría.
9
IDSystems Administracion Centros de Computo 8.5
Sugerencia de Gestión: Aunque el vendedor del software no sea contratado para conducir la auditoría, se le
debería pedir si fuera posible, el registro de todas las compras.
10
IDSystems Administracion Centros de Computo 8.5
11
IDSystems Administracion Centros de Computo 8.5
Microsoft Corporation
One Microsoft Way
Redmond, WA 98052-6399
United States of America
800-426-9400 (voice)
http://www.microsoft.com (Internet)
Herramientas de Inventario/Auditoría
12
IDSystems Administracion Centros de Computo 8.5
NT Workstation X X* X X
MS-DOS® X X X X
OS/2 2.x/3.x (Warp)/4.x X X X
Macintosh X X X (KeyAudit) X
Funcionalidad:
Hardware X X X
Soporte de Aplicación X X X X
Búsqueda de archivos .exe X X ** X X
Búsqueda de Archivos Desconocidos X X X
- por tamaño X X X
- por fecha X X X
- por Checksum X X X
or CRC
Librería: cantidad de .EXE reconocibles X X *** X X
Capacidad para ser extendido X X X X
Identifica números de versión de software X X X X
Distribución de Software:
- distribución en X
server de red
- distribución vía X
Microsoft SMS
-instalación automática de software X
13
IDSystems Administracion Centros de Computo 8.5
predefinidos
- reportes X X X
customizados
- reportes filtrados X X X
Otras funciones: X
-descripción: Puede recopilar y Mantiene una base Recopilación de
almacenar copias de software propio Interfase;
de archivos de y autorizado. Reconocimiento
clientes claves (por local del producto;
ej.: archivos vitales SMS compatible
.ini, .cfg, .sys)
14
IDSystems Administracion Centros de Computo 8.5
de Archivo
Búsqueda de Archivos Desconocidos Audita Contenidos X X X
de Archivo
- por tamaño X X X
- por fecha X X
- por Checksum X X X
o CRC
Librería: cantidad de .EXE reconocibles Reconoce Producto X X X
Automáticamente
no necesita librería
Capacidad de ser Extendido X X X X
Identifica números de versión de software X X X X
Distribución de Software:
- distribución en
el server de red
- distribución vía
Microsoft SMS
-instalación automatica de software X
- status de X
distribución de reportes
Administración de Archivos .INI
Protección de Virus
- Server
- Cliente X
Control de Cliente Remoto
- vía Microsoft
SMS
Genera:
- reportes X X X X
predefinidos
- reportes X X X
customizados de
usuarios
- reportes filtrados X X X
Otras funciones: Exportar a SMS
15
IDSystems Administracion Centros de Computo 8.5
Herramientas de Medición
Producto AppMeter CentaMeter Softrack Express Meter
3.5
Compañía de Software Funk Tally Systems ON WRQ, Inc.
Software Corp. Technology
Soporte de Sistema Operativo:
Server
Windows® NT Server X X X
Novell Netware 2.x/3.x/4.x X X X X
IBM OS/2 Lan Server X X
Otros Todas las redes y
NOSs
Soporte Cliente:
Windows® 95 X X X
Windows 3.x X X X X
Windows for Workgroups 3.x X X X
NT Workstation X X X
MS-DOS® X X X X
OS/2 2.x/3.x (Warp)/4.x X X
Macintosh X X
Funcionalidad:
Hardware
Software de Aplicación
Búsqueda de archivos .exe X X
Búsqueda de Archivos Desconocidos X
-por tamaño X
-por fecha X
-por Checksum o CRC X X
Librería: cantidad de .EXE reconocibles X (cientos)
16
IDSystems Administracion Centros de Computo 8.5
17
IDSystems Administracion Centros de Computo 8.5
18
IDSystems Administracion Centros de Computo 8.5
reconocibles
Extendability (puede ser extendido) X X X
Identifica números de versión de X X X
software
Distribución de Software:
- distribución en server de red X X X
- distribución vía Microsoft SMS X X
- instalación automática de software X X X
- actualización automática de X X X
software
- actualización automática de X X X
software en
base a la
información de
inventarios
-status de distribución de reportes X X X
Administración de archivos .INI X X X
Protección de Virus
- Server X
- Cliente X
Control de Cliente Remoto
-vía Microsoft SMS
Genera:
- reportes predefinidos X X X
- reportes de usuario customizados X X X
- reportes filtrados X X X
Otras funciones:
-descripción: Disponible
en
conjunto o
solo
19
IDSystems Administracion Centros de Computo 8.5
20
IDSystems Administracion Centros de Computo 8.5
Hardware X X
Software de X X X
Aplicación
Búsquedas de X X ** X
Archivos .exe
Búsqueda de X X X
Archivos
Desconocidos
- por tamaño X X X
- por fecha X X X
-por Checksum o X X X
CRC
Librería: cantidad X X *** X
de .EXE
reconocibles
Extendibilidad X X X
(puede ser
extendido)
Identifica números X X X
de versión de
software
Distribución de Software:
-distribución en X
el server de red
- distribución vía X
Microsoft SMS
- instalación X X
automatica de
software
- actualización X
automática de
software
- actualización
automática de
software en base a
la información de
inventario
- status de X X
distribución de
reportes
Administración de
Archivos .INI
Protección de X
Virus
- Server X
21
IDSystems Administracion Centros de Computo 8.5
- Cliente X
Control de Cliente
Remoto
- vía Microsoft X
SMS
Genera:
- reportes X X X
predefinidos
- reportes X X X
customizados de
usuarios
- reportes X X X
filtrados
Otras funciones: X
-descripción: Puede Mantiene 60+ Campos Analizador Analizador
recopilar y base de de Usuarios de de Protocolo
almacenar softare definidos Protocolo Token Rign
copias de propio y Ethernet
archivos autorizado.
claves de
clientes
(Por
ejemplo:
archivos
viatles
.ini .cfg
.sys)
22
IDSystems Administracion Centros de Computo 8.5
Server
Novell Netware X X X X X
2.x/3.x/4.x
IBM OS/2 Lan Server X X X X
Otros World Wide Web Banyan Vines Banyan
Vines
Soporte Cliente:
Windows® 95 X X* X X X
Windows 3.x X X X X X
Windows for X X X X X
Workgroups 3.x
NT Workstation X X* X X X
MS-DOS® X X X X X
OS/2 2.x/3.x X X X X
(Warp)/4.x
Macintosh X X X X X
Funcionalidad:
Hardware X X X X
Software de X X X X X
Aplicación
Búsqueda de archivos X X ** X X X
.exe
Búsqueda de X X X X X
Archivos
Desconocidos
- por tamaño X X X X X
- por fecha X X X X X
- por Checksum o X X X X X
CRC
Librería: cantidad X X *** X X X
de .EXE reconocibles
Capacidad para ser X X X X X
extendido
Identifica números de X X X X X
versión de software
Distribución de Software:
-distribución en X X X
server de red
-distribución vía X X X
Microsoft SMS
-instalación X X X X
automática de
23
IDSystems Administracion Centros de Computo 8.5
software
-actualización X X
automática de
software
-actualización X X
automática de
software en
base a la
información de
inventarios
-status de X X X X
distribución de
reportes
Administración de X X X
archivos .INI
Protección de Virus
- Server X X
- Cliente X X
Control de Cliente X
Remoto
- vía Microsoft SMS X
Genera:
- reportes X X X X X
predefinidos
-reportes X X X X X
customizados
- reportes filtrados X X X X X
Otras funciones: X X
-descripción: Puede recopilar y almacenar Mantiene una base 60+ Campos
copias de archivos de clientes de software propio y definidos por el
claves (por ej.: archivos vitales autorizado. usuario
.ini, .cfg, .sys)
Resumen
La Auditoría de Software es la fase de investigación del Plan de Administración de
Software. En este paso, la organización recopila los datos necesarios para tomar sus
decisiones de inversión.
24
IDSystems Administracion Centros de Computo 8.5
Prepararse para la auditoría requiere algunas decisiones críticas, tales como conducir la
auditoría internamente o contratar consultores para llevar a cabo la tarea y decidir qué
tipo de software de auditoría debería usarse para el inventario físico de las estaciones de
trabajo y los discos de la red.
Hay muchas posibilidades para elegir, por lo tanto es importante evaluar más de un
producto y elegir solo aquellos que estén alineados con las prioridades y propósitos de
auditoría de la organización.
25
IDSystems Administracion Centros de Computo 8.5
La BSA no recibe ni recauda ningún tipo de información sobre empresas que usen estos
programas gratuitos de auditoría de software.
26