Quiere saber cómo hacerse su propia auditoría de software original? Todas las respuestas en esta Guía de Auditoría Software Original
QUIÉN NECESITA ESTA GUÍA Es usted responsable de una organización o entidad empresarial o el máximo responsable de la compra y gestión de ordenadores y programas en su organización? Si es así, es probable que: Desee que su organización utilice los ordenadores y programas de forma creativa. Quiera evitar serios problemas legales y de negocios, que podría conllevar la copia y uso de programas no autorizados. Utiliza individualmente el ordenador y los programas en su trabajo de forma habitual? Si es así, es probable que: Quiera tener plena libertad para usar el programa original que necesita -no copias ilegales- para hacer su trabajo. Quiera estar provisto de una documentación de alta calidad y soportes únicamente disponibles con la legítima adquisición del programa original. Esta guía de gestión de programas ofrece: ejecutivos usuarios Definiciones, técnicas y datos para ayudarle a identificar los problemas de las copias y usos no autorizados de los programas. Conocer los beneficios derivados del uso de programas autorizados. Criterios y procedimientos para ayudar a su organización en el uso productivo de programas originales. 1
auditores A los auditores informáticos o financieros les será de gran utilidad usar esta guía como una directriz para el cumplimiento de la Ley de Propiedad Intelectual. Eliminando riesgos en las empresas auditadas como son: multas, deterioro de imagen de la empresa, virus y una falta de control de la gestión informática, dándole además un valor añadido a una buena gestión informática. Siguiendo el concepto de Value for Auditing Money de la ISACA (Information System Audit Control Asociation) para una mejor gestión y control de las licencias de software. Datos sobre los programas: como entenderlos Los derechos de autor sobre un programa de ordenador no están restringidos exclusivamente al lenguaje de la programación, sino también se refieren a la gestión y uso del programa original. Estos son algunos términos de uso común en la Ley de Propiedad Intelectual: Propiedad intelectual: un programa original de ordenador está protegido por la Ley de Propiedad Intelectual que defiende los derechos de autor de la persona o compañía que lo ha creado. Por tanto, los programas de ordenador están protegidos por la Ley de Propiedad Intelectual, que dispone que cualquier copia sin autorización es ilegal. Contrato de licencia de programas: establece los límites de su uso a quien lo ha adquirido. El contrato de licencia que acompaña al programa se encuentra está localizado explícitamente en la documentación del programa o en la pantalla del ordenador al comienzo del programa. El precio del programa cubre la adquisición legal del uso del programa y obliga al comprador a usarlo sólo según los límites y contratos establecidos en ella. Copia no autorizada: a menos que se establezca de otra forma, la adquisición de una licencia de uso de programa permite al comprador hacer una sola copia de seguridad, para ser usada exclusivamente en caso de que el disco original no funcione adecuadamente o sea destruido. Cualquier otra copia del programa original es considerada como ilegal y como una infracción del contrato de licencia y de la Ley de Propiedad Intelectual, así como la Ley de Protección Jurídica de Programas de Ordenadores, que protege el programa y rige su uso. 2 Piratería de software: es un término usado para describir la copia no autorizada o el uso de un programa de ordenador de cualquier forma no permitida por la Ley de la Propiedad Intelectual o por el autor, según lo establecido en el contrato de licencia del programa. Cualquier persona que practique la piratería de programas de ordenador comete un acto ilegal, según la Ley de Propiedad Intelectual y el Código Penal.
GUÍA DE AUDITORÍA DE SOFTWARE ORIGINAL introducción El desarrollo de software requiere, para apoyar la gestión de actividades, aumentando la efectividad, la eficacia y las prestaciones en cualquier entorno una labor creativa importante en el uso de las tecnologías, y asímismo un profundo conocimiento de estas. Por lo tanto, la realización de copias de software sin la correspondiente autorización del propietario del software original está considerada por la legislación mundial y en España como una acción ilegal. Se está ante un hecho que es una transgresión de las leyes, que es penal y moralmente sancionable, y que puede acarrear coincidentemente graves problemas técnicos. En España el software original está protegido especialmente en la Ley de Propiedad Intelectual, Real Decreto Legislativo 1/1996 del 12 de abril. Esta ley es muy clara con respecto al alcance de la protección: Título VII - Artículo 95.3 La protección prevista en la presente ley se aplicará a cualquier forma de expresión de un programa de ordenador. Asímismo esta protección se extiende a cualesquiera versiones sucesivas del programa así como a los programas derivados. riesgos Los riesgos que conlleva la realización de copias no autorizadas de software original son diversos para las empresas o entidades de cualquier tipo: 1. Sanciones y multas: las sanciones resultantes de demandas judiciales pueden significar para las empresas unas pérdidas económicas sustanciales, dependiendo de la gravedad de la infracción y de los daños que provoque esta acción. La mencionada ley de propiedad intelectual establece en su artículo 102 aquellas situaciones que pueden considerarse una infracción de los derechos protegidos por esta ley, y por lo tanto denunciables: "a) quienes pongan en circulación una o más copias de un programa de ordenador conociendo o pudiendo presumir su naturaleza ilegítima, b) quienes tengan con fines comerciales una o más copias de un programa de ordenador, conociendo o pudiendo presumir su naturaleza ilegítima, y c) quienes pongan en circulación o tengan con fines comerciales cualquier instrumento cuyo único uso sea facilitar la supresión o neutralización no autorizadas de cualquier dispositivo técnico utilizado para proteger un programa de ordenador." 3
2. Problemas técnicos: la uttilización de copias incompletas o sin actualizar pueden provocar innumerables fallos y deficiencias difíciles de prever en los sistemas de información. Estos perjuicios pueden concretarse en una interrupción del sistema, producción de información inexacta, pérdida de datos, y muchas otras situaciones similares difícil de predecir. 3. Inexistencia de asistencia técnica: la posesión y uso de software no original tiene como contrapartida la imposibilidad de recurrir o solicitar la asistencia técnica del fabricante o proveedor autorizado, al no poder demostrar que se tiene una licencia legal. 4. No actualización tecnológica: el crecimiento tecnológico y compatibilidad de la plataforma informática pueden verse comprometidos. Las actualizaciones de determinado software se pueden obtener a precios reducidos cuando se demuestra que se tiene una copia autorizada del software. 5. Impacto negativo en la calidad del software: ésta es una restricción ya que los usuarios de copias ilegales no se recibirán las innovaciones, correcciones o mejoras del software distribuido por los fabricantes a los clientes debidamente acreditados. 6. Deterioro de la imagen empresarial: la divulgación potencial de la utilización de software no original puede acarrear a la empresa pérdidas en la confianza de sus proveedores o clientes. 7. Ataques intencionales: la actualización de software no original expone a una empresa a que se realicen modificaciones dañinas, o bien a la omisión de controles de seguridad y protección. control de la gestión del software original Para evitar los riesgos expuestos en el apartado anterior, la dirección de una empresa deberá establecer controles de gestión y supervisión adecuados, entre los que se encuentran básicamente: 1. Políticas y normativas generales para el software original: deben establecerse a nivel de políticas generales, los parámetros de actuación de la empresa en este sentido. El objetivo básico de estos es prevenir la adquisición y utilización de software sin la debida licencia de uso. Entre estas políticas es primordial la definición de las responsabilidades de los usuarios, técnicos y responsables de compras. Asímismo, es recomendable que se establezca la figura de un responsable del software original, como coordinador de la implantación de las políticas de la empresa para este ámbito de la actividad. 4 2. Políticas de concienciación y formación del personal: la dirección de la empresa debe establecer a través de planes específicos la difusión de las políticas de la empresa que prohiben el uso de
Alcance software no original, y asímismo de los riesgos que su uso implica, y la existencia de controles para asegurar el cumplimiento de las políticas de la empresa en este tema. 3. Mantenimiento de un inventario permanente: es conveniente mantener actualizado un registro del software utilizado, respectivas licencias, y demás evidencias de la legalidad del software adquirido. El procedimiento de actualización periódica del inventario debe permitir detectar el software no autorizado. Cuando los paquetes de software de microordenadores son compartidos por diferentes usuarios es recomendable establecer un registro de la actividad de los usuarios con respecto al software utilizado. En el Anexo 1 se incluye un modelo para la realización de estos inventarios. 4. Normativas para el desarrollo o adquisición de software. Entre estas deberá reflejarse la obligación de obtener siempre al realizar una compra la obtención del documento de licencia original. Procedimientos para la evaluar la adquisición de varias licencias mediante acuerdos especiales. 5. Realización de auditorías independientes y auto-auditorías: como parte de los procedimientos que aseguren el cumplimiento de las políticas de la empresa en materia de software original, es conveniente establecer un sistema periódico de auditorías, como control preventivo y detectivo. Se debe establecer el alcance de la auditoría a realizar indicando las plataformas y arquitectura tecnológicas incluidas en la revisión, identificación de ordenadores (centrales, servidores, clientes y ordenadores sin conexiones de ningún tipo), y áreas de usuarios de los mismos. Este apartado debe también identificar claramente el objetivo de la revisión, indicando los aspectos de riesgo legal, revisión de la adecuación de las normas y procedimientos internos para la prevención de utilizar software no legal, vigencia del inventario, adecuación de los contratos de licencias, etc. Revisión preliminar auditoría de la gestión software original realización de la auditoría En función del objetivo de la auditoría se adaptará el cuestionario que se adjunta en el anexo 2. Este cuestionario básico debe permitir obtener la información suficiente para evaluar de forma preliminar el nivel de control sobre el software original. Este cuestionario también es adaptable para llevar a cabo autoauditorías periódicas a realizar por el responsable del software original. 5
anexos En base a los resultados obtenidos, el auditor identificará aquellos procedimientos de control considerados como adecuados para el objetivo de control del software original, con el fin de diseñar sus pruebas de cumplimiento. Pruebas de cumplimiento Las pruebas de cumplimiento tienen como objetivo obtener evidencias del cumplimiento de los controles identificados mediante el cuestionario anteriormente citado. En el anexo 3 se incluyen una serie de posibles pruebas de cumplimiento que también pueden utilizarse como mecanismos de seguimiento y control del cumplimiento de las políticas generales. Informe de Auditoría El informe de auditoría tiene como objetivo presentar las deficiencias detectadas tanto a través de los resultados del cuestionario completado en la revisión preliminar, como de las pruebas de cumplimiento. En el anexo 4 se incluye un modelo como guía para realizar un informe de auditoría.. Herramientas de Auditoría Las herramientas de auditoría, básicamente software de auditoría y de control de inventario, son en muchos casos esenciales para realizar las pruebas de cumplimiento. En el anexo 5, se incluye una lista de estas herramientas disponibles en el mercado. Inventario...........................1 Cuestionario básico/auto-auditorías.......2 Pruebas de cumplimiento/seguimiento de controles.........................3 Modelo Informe......................4 Programas de inventario de software/web de empresas.............5 6
anexo 1 INVENTARIO DE SOFTWARE objetivo de este modelo La información que se sugiere a continuación para un inventario, es la mínima que debería estar disponible para un adecuado seguimiento y control del software original. Ordenador/ Identificación (2) Software Licencia(4) Fecha de Factura Fecha Resultado Plataforma (1) utilizado (3) instalación Licencia (5) Realización del inventario Número de Inventario usuarios (1) Identificación del ordenador (central/servidor/cliente/ordenador aislado/portátil, etc.), incluyendo las referencias establecidas en la empresa para la identificación de estos. Indicar especialmente si este software está siendo utilizado en una instalación de otra empresa, por ejemplo un empresa proveedora de servicios informáticos ("outsourcing"). (2) Área donde se encuentra, persona o función responsable. (3) Descripción del nombre técnico, fabricante, proveedor, y breve descripción del servicio para el cual se usa. Incluir también el número de usuarios que lo utiliza. (4) Licencia del software, tipo de licencia, ubicación del original, y condiciones especiales, si procede. (5) Revisión de la factura correspondiente, fecha factura y fecha de pago. Revisión último pago según condiciones de la licencia. 7
anexo 2 CUESTIONARIO BÁSICO/AUTO-AUDITORÍAS 8 objetivos del cuestionario El objetivo de este cuestionario es básicamente incluir todos aquellos aspectos en relación al software original que deberían revisarse para llevar a cabo una auto-auditoría. No tiene el carácter metodológico requerido para la realización de una Auditoría de Sistemas de Información. Si, a estos efectos podría ser útil como obtención de información preliminar. El cumplimiento del cuestionario no conlleva en sí, un mecanismo de evaluación puntual. Las evaluaciones deberá realizarlas la organización a la vista de los resultados concretos que se obtengan. Las preguntas tratan de inducir a posibles procedimientos de control que deberían considerarse para el control del software original, adaptándose, en cada caso a la dimensión y necesidades concretas de la empresa Este cuestionario intenta contemplar la mayoría de las preguntas que una organización debería plantearse con respecto al software original. Por lo tanto se recomienda que, se adpte a cada situación específica de las TIC, su dimensión, a las prácticas administrativas y de control de empresa. Este cuestionario contempla, de forma detallada, todos los riesgos y controles enunciados en la primera parte de esta guía. Concepto/ Pregunta Resultados Acción a tomar Responsabilidad/ Aspecto de Área control I. Inventario Existe un inventario del software instalado, utilizado y adquirido en la empresa? Se realiza su actualización de forma periódica, cada vez que se adquiere software, y al menos de forma semi-anual se realiza una revisión de la exactitud de la información que brinda el inventario? Se comprueba que se han incluido todos los ordenadores existentes, en la realización del inventario de software?
Se utiliza alguna herramienta software para comprobar el software instalado en cada ordenador o red? Se guardan los registros y evidencias obtenidas con esta herramienta? Se mantiene evidencia de los inventarios realizados, sus actualizaciones, así como de los resultados y acciones tomadas para resolver deficiencias detectadas? Se comunica oportunamente a la Dirección o Gerencia responsable de los temas relacionados con el software original, de los resultados del inventario? Se realizan estos inventarios periódicos de forma sorpresiva, o se comunican anticipadamente la fecha de realización? II. Políticas y Existen políticas diseñadas especialmente para asegurar la adquisición de software original, y evitar copias no autorizadas? Existen una definición de las responsabilidades de los usuarios, técnicos y responsables de compras de software, con respecto al software original, y su adquisición? normativas generales de la empresa para el software original Existe una normativa general de comunicación a los empleados que utilizan un ordenador, sobre los riesgos de no tener software original, y sobre las políticas y normativas generales de la empresa al respecto? 9
anexo 2 CUESTIONARIO BÁSICO/AUTO-AUDITORÍAS 10 Concepto/ Pregunta Resultados Acción a tomar Responsabilidad/ Aspecto de Área control Se incluye en los contratos del personal alguna cláusula que se pueda aplicar en caso de utilización de software no original, o realización de copias no autorizadas? Existe un responsable designado para realizar el seguimiento del software original? Existe un procedimiento para unificar las compras de software, y obtener las ventajas de adquirir licencias para varios usuarios? Las compras de software se consolidan y concretan en un departamento, área o responsable central? Pueden los usuarios realizar compras de ordenadores y software directamente? Si este es el caso, deben estos comunicar estas compras a un departamento de tecnología o persona coordinadora o responsable por el software original? Se permite que los usuarios realicen sus propias instalaciones de software?
Existe un procedimiento de control para la instalación del software original en los distintos ordenadores? Existe un procedimiento para la custodia y protección de los soportes magnéticos originales del software y manuales recibidos en el momento de realizar la compra? Existe un procedimiento de control basado en un registro de la actividad de los usuarios con respecto al software utilizado, que es revisado por una persona independiente, para asegurar que no se utilizan copias no autorizadas? Existe algún procedimiento de control para evitar que se realicen copias de software sin la adecuada autorización, y de acuerdo al contrato de licencias con el proveedor? Se realiza una revisión independiente del cumplimiento de los procedimientos de control anteriores? Se realiza un seguimiento de la solución de las deficiencias detectadas por las auto-auditorías últimas? III. Copias de Existen responsables designados para realizar seguridad estas copias? Existen procedimientos para asegurar que estas copias están adecuadamente protegidas y sólo disponibles para el personal especialmente autorizado? IV. Existencia Se disponen de licencias adecuadas para todo el de Licencias software utilizado por ordenadores conectados? 11
anexo 2 CUESTIONARIO BÁSICO/AUTO-AUDITORÍAS Concepto/ Pregunta Resultados Acción a tomar Responsabilidad/ Aspecto de Área control Están estas licencias adecuadas al número real de usuarios? Se comprueba que la cantidad de copias detectadas durante la realización o actualización del inventario de software coincide, por producto, con las licencias de los mismos? Se han recibido peticiones de información de Asociaciones Profesionales de Fabricantes y Proveedores de Software? Se han contestado? La contestación la ha realizado una persona autorizada especialmente por la empresa? Están especificadas en las licencias las condiciones para realizar copias de seguridad? Está la respectiva identificación de las licencias a disponibilidad del personal técnico, para poder acreditarse como cliente adecuadamente con los servicios técnicos del fabricante o proveedor? En el caso de utilizar servicios externos informáticos 12
tales como el "outsourcing", se han revisado los contratos de licencia para asegurar que se ha previsto adecuadamente esta situación, y que existe la autorización correspondiente? El asesor o departamento legal ha revisado los contratos con empresas externas de servicios informáticos, para asegurarse que se contemplan adecuadamente la utilización de software adquirido por la empresa, en cuanto a responsabilidad legal y control del software original? V. Nuevas Existe un procedimiento de control para asegurar que las nuevas versiones o actualizaciones se instalan de acuerdo a las licencias originales, o última renovación de las mismas? Existe un procedimiento de control para asegurar que las nuevas versiones se instalan en todos los ordenadores, y que las antiguas son desinstaladas, en el caso de no mantener esas licencias con el proveedor? versiones o actualizaciones VI. Auditorías Se realizan auditorías externas del software original? Externas Se han implantado las recomendaciones realizadas por los auditores externos? 13
anexo 3 PRUEBAS DE CUMPLIMIENTO/SEGUIMIENTO DE CONTROLES objetivo de estos ejemplos de pruebas Las siguientes pruebas tienen el objetivo de ilustrar de forma sencilla, una serie de pruebas que se realizan o pueden realizar habitualmente en las Auditorías de Sistemas de Información, en relación al software original. Cada auditor en función del alcance de la auditoría, de la información disponible, dimensión y complejidad de las instalaciones informáticas, debería adaptarlas o bien establecer aquellas que puedan ser más útiles para obtener la evidencias requeridas para llevar a cabo la auditoría. Ejemplo 1: Objetivo de la prueba. Comprobar que el software está siendo utilizado por el número de usuarios previstos en la licencia. Obtener una muestra de... (1)...copias de licencias de determinado software, y revisar: 1. Número de usuarios autorizados y cotejar con los resultados de los inventarios realizados del software instalado. 2. Obtener evidencias de la actividad de usuarios de este software y comprobar con la información del punto 1. 3. Realizar una revisión mediante la herramienta software disponible para la realización de la auditoría en varios ordenadores, y comprobar que no existen otras copias no incluidas en el inventario. (1) Dependerá del número potencial de usuarios y de ordenadores donde está instalado este software, a partir de la información obtenida en la etapa preliminar de la auditoría. Ejemplo 2: Objetivo de la prueba. Comprobar que existe una formación adecuada de los empleados en cuanto a la obligación de usar software original, no realizar copias no autorizadas, o instalar software no adquirido por la empresa. Obtener una muestra de... (1)...usuarios de determinado software, y revisar: 1. Realizar una revisión mediante la herramienta software disponible para la realización de la auditoría del ordenador de este usuario y comprobar el software instalado en su disco duro. Revisar posteriormente si todo el software detectado coincide tanto con el inventario de software como con las licencias respectivas. 14
2. Mediante una entrevista, que se deberá formalizar en un memorándum con copia al entrevistado, obtener información sobre las directivas recibidas al respecto del software original y su cumplimiento en sus tareas cotidianas. 3. Obtener información sobre la realización de copias de seguridad, hechas directamente por el usuario y bajo su control. Comprobar que estas copias están autorizadas y dentro de los extremos establecidos en las licencias de uso aceptadas por la empresa. (1) Dependerá del número potencial de usuarios y de ordenadores donde está instalado este software, a partir de la información obtenida en la etapa preliminar de la auditoría. 15
anexo 4 MODELO INFORME auditores Alcance Los Auditores XXX han realizado la revisión de software original en la empresa ZZZZZZ, en los entornos de...(descripción de las instalaciones a las cuales se realizado la presente auditoría) El objetivo de esta auditoría fue establecido según la...(oferta de un auditor externo, contrato de la auditoría, plan de auditorías internas, etc.), en (objetivo: cumplimiento de las políticas al respecto de la empresa, cumplimiento de los acuerdos concretos de licencia con un proveedor determinado, cumplimiento de procedimientos de control, etc.) metodología de trabajo La metodología de trabajo ha consistido en la aplicación de las normas aceptadas de Auditoría de Sistemas de Información (se puede hacer referencia en concreto a un tipo de metodología, como por ejemplo las emitidas por la ISACA), que consiste básicamente en la evaluación de los riesgos relacionados con el software original, tanto desde el punto de vista legal como operativo, y de disponibilidad de los SI, y de la adecuación a este respecto de las políticas y directivas establecidas por la empresa. conclusiones Los resultados de la auditoría indican que: Ejemplos 1. No se han observado ninguna incidencia significativa en el cumplimiento de la normativa legal en cuanto al software legal. No obstante, recomendamos que se implante un proceso de inventario permanente para asegurar un control más eficiente del software original, y su cumplimiento por parte de los usuarios del mismo. 2. No se han observado desviaciones en el cumplimiento de los procedimientos de control establecidos por la empresa con respecto al software original. No obstante, se recomienda aumentar la información sobre estos procedimientos de control, y de los riesgos que implica su incumplimiento a todos los empleados que utilicen los sistemas de información. El resultado de la pruebas de auditoría indican que un 60% aproximadamente de los empleados cumplen con estos procedimientos pero desconocen su fundamento y los riesgos asociados a la realización de copias no autorizadas. 16
3. No existen procedimientos de control adecuados y fiables que impidan la instalación de software no original por parte de los usuarios en sus ordenadores cliente conectados a la red. En algún caso se ha detectado que este ha sido el origen de la propagación de virus en la red. No se mantiene un control de protección adecuado sobre los soportes magnéticos originales del software adquirido, y de sus manuales. Estos están situados en armarios abiertos en pasillos de circulación tanto de personal de la empresa como ajeno. Las pruebas de auditoría han permitido comprobar que para un 20% de este material se desconoce su ubicación y que persona puede tenerlo en este momento. 17
anexo 5 PROGRAMAS DE INVENTARIO DE SOFTWARE/WEB DE EMPRESAS A continuación incluimos una serie de programas que realizan un inventario del software instalado en uno o varios PCs. La finalidad de estos programas es ayudar el auditor de software en su labor cotidiana. ABC Systems & Development http://www.abcsystems.com Attest Systems, Inc http://www.gasp.com/default.asp BSA http://www.bsa.org/index.html Funk Software http://www.funk.com GlobeTrotter http://www.globetrotter.com Isogon http://www.isogon.com MacAfee http://www.mcafee.com Microsoft http://www.microsoft.com NIC-NZ http://www.nic-nz.com Novell http://www.novell.com Rainbow Technologies Inc. http://www.rainbow.com/spanish/ index.html Sassafras http://www.sassafras.com System Integrators http://www.sintegrators.com Tally Systems http://www.tallysys.com WRQ http://www.wrq.com 18
Pueden consultarse además las siguientes direcciones, que se consideran de interés. ADOBE www.adobe.com APPLE www.apple.com ATTACHMATE www.attachmate.com AUTODESK www.autodesk.com BSA (Business Software Alliance) www.bsa.org/es COREL www.corel.com FAST (Federation Against Software Theft) www.fast.org.uk FILEMAKER www.filemaker.com MACROMEDIA www.macromedia.com Microsoft www.microsoft.com PANDA www.pandasoftware.es POWERQUEST www.powerquest.com SIIA (Software & Information Industry Association) www.siia.net/piracy/ SPA (Software Publishers Association) www.spa.org El contenido y funcionamiento del software incluidos en las diferentes direcciones, es competencia exclusiva de cada compañía. 19
Con la adhesión de: Para la difusión de las ingenierías Informática y de Telecomunicación ORGANIZACION DE AUDITORIA INFORMATICA ASOCIACION DE LICENCIADOS EN INFORMATICA UNIVERSIDAD PONTIFICIA DE SALAMANCA EN MADRID