4 conceptos erróneos sobre la auditoría de software

HIXSA

12 noviembre, 2020

Las auditorías de software son inevitables sin importar el tamaño de nuestra empresa. En ocasiones esto puede representar estrés, gastos e interrupciones en nuestro negocio. Sin embargo, debemos estar preparados y analizar qué factores pueden ayudarnos a superar la auditoria sin ningún problema y erradicar mitos sobre lo que implican. En esta ocasión analizaremos cuatro conceptos erróneos sobre las auditorías de software.

Las auditorías de software son una realidad. Incluso las empresas con licencias de software en sus manos probablemente se someterán a una auditoría en algún momento. Es un aspecto estresante y, a menudo, que provoca ansiedad al hacer negocios. Después de todo, los términos de la licencia cambian, se lanzan nuevas versiones de software, las plataformas tecnológicas evolucionan; y no olvidemos la proliferación de dispositivos móviles utilizados en el entorno empresarial.

¿Cuáles de estos factores influyen en el potencial de una auditoría de software? Al volver a visitar un informe de la industria de auditoría de software publicado en 2014, queremos resaltar algunos conceptos erróneos comunes que tienen las empresas sobre la probabilidad de ser auditadas y qué proveedores realizan la auditoría. Por lo que hemos visto en los últimos años, tenemos pocas razones para creer que nuestros hallazgos han cambiado mucho, si es que lo han hecho. Los resultados pueden sorprenderte.

Concepto erróneo 1: Solo las empresas grandes son auditadas

Es fácil ver por qué tantos creen que las empresas más pequeñas son inmunes a una auditoría. Parece lógico: las grandes empresas tienen más licencias de las que realizar un seguimiento y el potencial de ingresos para los ISV es mayor. No hay duda de que las empresas con 25,000 empleados o más están siendo objeto de una tasa mucho más alta que las empresas de menor tamaño (46 por ciento).

La verdad es que no solo las grandes empresas son atacadas ferozmente. Entre las empresas que habían sido auditadas durante el año anterior, aquellas con entre 5000 y 10,000 empleados ocuparon un segundo lugar cercano (42 por ciento), y aquellas con 500 a 1000 empleados un tercio no muy lejano (36 por ciento).

Concepto erróneo 2: Mi empresa probablemente solo será auditada por Microsoft

Si bien muchas empresas dicen que han sido auditadas por Microsoft más que cualquier otro ISV, el riesgo de auditoría de una empresa en particular se subestima significativamente: Autodesk. Según el estudio, de las empresas que fueron auditadas, casi el 30 por ciento fueron auditadas por Autodesk, pero solo el uno por ciento de las empresas que no habían sido auditadas creían que Autodesk representaba un riesgo. Y otro proveedor, The Attachmate Group, que al parecer auditó al siete por ciento de los encuestados, ni siquiera estaba en el radar.

Por otro lado, en este mismo estudio, los encuestados sobreestimaron en gran medida la probabilidad de ser auditados por VMware. Solo el cinco por ciento de las compañías experimentó una auditoría de la compañía en los últimos dos años, mientras que el 18 por ciento de los encuestados espera que VMware las audite.

Concepto erróneo 3: Comprender los acuerdos de licencia significa que es fácil mantener el cumplimiento

El informe de auditoría de software indica que una gran cantidad de encuestados califica su propia comprensión de los acuerdos de licencia de sus organizaciones como “decente” o “muy sólida”. Sin embargo, los participantes de la encuesta afirmaron que el desafío más importante relacionado con el mantenimiento del cumplimiento es comprender los acuerdos de licencia. Al considerar esto, está claro que los profesionales de TI no están enterrando la cabeza en la arena; saben que el cumplimiento es un desafío y hacen un esfuerzo valiente para dominar los matices y complejidades de las licencias de software. Pero simplemente comprender los acuerdos de licencia no es suficiente.

Las mayores barreras para el cumplimiento son la complejidad de los entornos de TI y la dificultad para conciliar lo que está instalado con lo que se usa. Si bien no es probable que los entornos de TI se vuelvan menos complejos, parecería que si las empresas pudieran cerrar la brecha entre lo que está instalado y lo que se está utilizando, el rompecabezas de cumplimiento sería significativamente más fácil de resolver.

Además, los datos sugieren que quienes trabajan en empresas que no han sido auditadas identifican los dispositivos móviles emitidos por la empresa, los dispositivos móviles propiedad de los empleados y un entorno de escritorio mixto dificultan el cumplimiento de las licencias. Sin embargo, aquellos que trabajan en empresas que han sido auditadas no clasifican a aquellos tan altos en la escala “desafiante”, lo que sugiere que los ISV no pueden (todavía) poner un énfasis significativo en estos factores cuando realizan auditorías.

Concepto erróneo 4: Solo cuestión de tiempo antes de que nuestra empresa sea auditada

Los encuestados de empresas que no han sido auditadas creen abrumadoramente que una auditoría es inevitable. Si bien los datos anecdóticos de los ISV sugieren que esto puede ser cierto, los datos de la encuesta sugieren que se pueden hacer cosas para minimizar el riesgo. Si bien las razones para ser objeto de una auditoría son, en algunos casos, una incógnita, la principal razón por la que los encuestados creen que fueron auditados fue porque sus contratos de licencia estaban desactualizados. Esto sugeriría que si las empresas siguen siendo diligentes a la hora de evaluar y actualizar sus acuerdos de licencia con sus principales proveedores anualmente, sería lógico pensar que su riesgo de auditoría disminuiría.

En segundo lugar, las empresas que habían implementado herramientas de gestión de activos de software tenían un 32% menos de probabilidades de ser auditadas. Si bien sería una tontería suponer que existe una relación de causa-efecto entre la presencia de una herramienta y la probabilidad de una auditoría, es lógico asumir lo siguiente:

  1. Si tu proveedor es consciente de que está haciendo un esfuerzo de buena fe para cumplir, es menos probable que lo auditen.
  2. 2. Si puedes producir un informe que muestre una posición de licencia favorable al recibir una carta de auditoría o consulta inicial, es posible que puedas evitar una auditoría en toda regla.

Recuerda, los proveedores de software auditan a los clientes por una razón: generar ingresos. Si sospechan que no es probable que tenga un déficit significativo de licencias, es muy posible que concentren sus esfuerzos en otra parte.

Cherwell® Asset Management es una herramienta de gestión de activos de software diseñada para organizaciones que desean reducir el gasto en licencias de software, los gastos generales de TI y el riesgo de auditoría de software. Cherwell permite consolidar las licencias de hardware y software, el uso y los datos de inventario para rastrear y administrar las inversiones en TI. Inicie su transformación digital. Consulte a nuestros expertos que lo guiaran en la búsqueda de una herramienta que se ajuste a su negocio.

Consulte la información original en inglés.

Guía del CIO para la evaluación de soluciones RPA

En esta guía para CIO’s compartimos las claves para evaluar soluciones de RPA para tu negocio.

Guía de AI Service Desk y Automatización

En este documento te compartimos un modelo probado de automatización de la mesa de servicio de TI, que ayuda a analizar desafíos, evaluar soluciones y elegir el mejor enfoque de automatización.

10 consejos de lectura obligada para seleccionar un sistema ECM

En este eBook te mostramos cómo un sistema ECM y la gestión inteligente de la información puede hacer tu negocio más competitivo

Business Case para la Gestión de Contenido Empresarial

En este eBook te compartimos como la afluencia de contenido muy diverso de una variedad de sistemas y repositorios apunta a la urgente necesidad de las empresas invertir en la gestión de contenidos para tomar control de su contenido.