2. INDICE
INTRODUCCIÓN .....................................................................................................i
1. Generalidades de la Auditoría de Sistemas ..................................................... 1
1.1. Definición .................................................................................................. 1
1.2. Objetivos de la auditoría de sistemas........................................................ 2
1.3. Beneficios puede obtener la empresa ....................................................... 3
1.4. Justificativos para efectuar una Auditoría de Sistemas ............................. 4
1.5. Tipos de Auditoria de Sistemas................................................................. 5
1.5.1. Auditoría con la computadora ............................................................. 5
1.5.2. Auditoria sin la computadora .............................................................. 6
1.5.3. Auditoría de la gestión informática...................................................... 6
1.5.4. Auditoría alrededor de la computadora............................................... 7
1.5.5. Auditoría de seguridad de sistemas.................................................... 7
1.5.6. Auditoría a los sistemas de redes....................................................... 7
2. Licenciamientos del Software .......................................................................... 8
2.1. Características de las licencias de software.............................................. 9
2.2. Tipos de licencias de software ................................................................ 10
2.2.1. Software Libre o Free Software ........................................................ 10
2.2.2. Copyleft ............................................................................................ 10
2.2.3. GPL.................................................................................................. 11
2.2.4. Debian.............................................................................................. 11
2.2.5. BSD.................................................................................................. 12
2.2.6. X.org................................................................................................. 12
2.2.7. Software con Dominio Público .......................................................... 12
2.2.8. Software Semi-libre .......................................................................... 12
2.2.9. Freeware .......................................................................................... 12
2.2.10. Shareware..................................................................................... 13
2.2.11. Software Propietario...................................................................... 13
2.2.12. Software Comercial ....................................................................... 13
3. 2.3. Licencias de software extrañas o muy poco utilizadas ............................ 14
2.3.1. Careware.......................................................................................... 14
2.3.2. Postcardware (o cardaware)............................................................. 14
2.4. Diferencias entre Software Libre y Software Comercial........................... 14
2.5. ¿Qué es Código Abierto?........................................................................ 15
3. El inventario del Software .............................................................................. 16
3.1. Importancia del inventario para la empresa............................................. 18
3.2. Tipos de inventarios de Software ............................................................ 19
3.3. Elaboración de un inventario de software................................................ 19
3.4. Programas para el inventario de Software .............................................. 20
3.4.1. WinAudit........................................................................................... 20
3.4.2. Free PC Audit................................................................................... 21
3.4.3. Belarc Advisor .................................................................................. 21
3.4.4. Fast Software Audit .......................................................................... 22
3.4.5. Open-AudIT...................................................................................... 22
4. Ejemplos........................................................................................................ 23
4.1. Formulario Utilizado en la Auditoría de Sistemas .................................... 23
4.2. Contrato de Licencia del Software........................................................... 26
4.2. Formato para inventario de software....................................................... 30
CONCLUSIONES ...................................................................................................ii
GLOSARIO ............................................................................................................iii
4. i
INTRODUCCIÓN
En la actualidad todas las empresas, requieren implementar sistemas de
información que facilite la administración de los datos, esto debido a los enormes
cambios sufridos con la incorporación de tecnologías informáticas. Esto brinda la
posibilidad de obtener grandes ventajas y contribuye al avance de las labores.
Actualmente ninguna empresa puede funcionar sin informática, porque a través de
ella, todo se resuelve con mayor facilidad.
El sistema de información es un elemento primordial para reunir datos y analizarlos.
Es muy importante evaluar las técnicas y la tecnología disponible para
desarrollar sistemas que brinden eficiencia y eficacia de la gestión de la información
relevante.
Es aquí donde entra la Auditoría de sistemas, porque se encarga de revisar y
evaluar los controles y sistemas de informática, así como su utilización, eficiencia y
seguridad en la empresa.
Es importante tener en cuenta que quien realice la auditoria debe ser una persona
capacitada, con experiencia en el área de informática y conocimiento de los
sistemas más relevantes.
A continuación se presenta una explicación más detallada acerca de la función e
importancia de la Auditoría de sistemas y otros temas relacionados como; el
licenciamiento y el inventario de software.
5. 1
1. Generalidades de la Auditoría de Sistemas
La palabra auditoría viene del latín “auditorius” y de esta proviene auditor, que tiene
la virtud de oír y revisar cuentas, pero debe estar encaminado a
un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está
operando para que, por medio del señalamiento de cursos alternativos de acción,
se tomen decisiones que permitan corregir los errores, en caso de que existan, o
bien mejorar la forma de actuación.
Las empresas, cada vez en mayor medida, necesitan la tecnología para trabajar,
precisando complejos softwares y equipos informatizados para desarrollar su
actividad de manera optimizada y eficiente. Esa presencia imperante de softwares
y tecnología, provoca la necesidad de la auditoría de sistemas. En primer lugar, se
precisa garantizar la seguridad a la hora de tratar los datos, dotándolos de
privacidad y buen uso. En segundo lugar, para hacer del sistema informático, un
proceso mucho más eficiente y rentable, permitiendo detectar errores y tomando
decisiones de manera inmediata.
1.1. Definición
La auditoría de sistemas puede ser definida como el “proceso de recoger, agrupar
y evaluar evidencias para determinar si un sistema informatizado salvaguarda los
activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos”.
La auditoría de sistemas supone la revisión y evaluación de los controles y sistemas
de informática, así como su utilización, eficiencia y seguridad en la empresa, la cual
procesa la información. Gracias a la auditoría de sistemas como alternativa de
control, seguimiento y revisión, el proceso informático y las tecnologías se emplean
de manera más eficiente y segura, garantizando una adecuada toma de decisiones.
6. 2
En los últimos tiempos, la auditoría de sistemas ha tenido un gran desarrollo, debido
a un entorno cada vez más complejo, a la globalización y a la rapidez de los cambios
tecnológicos, lo que han convertido a la información en un elemento clave para la
gestión de toda empresa.
La auditoría de sistemas tiene como principal objetivo validar la integridad de la
información y datos almacenados en las bases de datos de los sistemas de
información y su procesamiento. Se trata de uno de los tipos de auditoría que van
más allá del factor económico.
En definitiva, la auditoría de sistemas consiste en:
La verificación de controles en el procesamiento de la información e
instalación de sistemas, con el objetivo de evaluar su efectividad y presentar
también alguna recomendación y consejo.
Verificar y juzgar de manera objetiva la información.
Examen y evaluación de los procesos en cuanto a informatización y trato de
datos se refiere. Además, se evalúa la cantidad de recursos invertidos, la
rentabilidad de cada proceso y su eficacia y eficiencia.
El análisis y evaluación realizados a través de la auditoría de sistemas debe ser
objetivo, crítico, sistemático e imparcial. El informe de auditoría final deberá ser un
claro ejemplo de la realidad de la empresa en cuanto a los procesos y la
informatización se refiere, para tomar mejores decisiones y mejorar en el negocio.
1.2.Objetivos de la auditoría de sistemas
a. Mejorar la relación coste-beneficio de los sistemas de información.
b. Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas
informatizados.
c. Garantizar la confidencialidad e integridad a través de sistemas de seguridad
y control profesionales.
d. Minimizar la existencia de riesgos, tales como virus o hackers.
7. 3
e. Optimizar y agilizar la toma de decisiones.
f. Educar sobre el control de los sistemas de información, puesto que se trata
de un sector muy cambiante y relativamente nuevo, por lo que es preciso
educar a los usuarios de estos procesos informatizados.
Por tanto, la auditoría de sistemas es un modo de control y evaluación no sólo de
los equipos informáticos en sí. Su ámbito de actuación gira también en torno al
control de los sistemas de entrada a dichos equipos (pensemos por ejemplo en
claves y códigos de acceso), archivos y seguridad de los mismos, etc.
La auditoría de sistemas es fundamental para garantizar el desempeño y seguridad
de los sistemas informáticos de una empresa, que sean confiables a la hora de
usarlos y garanticen la máxima privacidad posible.
Esta auditoría puede ser interna o externa. En el primer caso es llevada adelante
por profesionales que pertenecen a la empresa; mientras que en el segundo se
contratan profesionales independientes, que no forman parte de la estructura de
personal.
1.3.Beneficios puede obtener la empresa
Mejora la imagen pública.
Mejora la confianza en los usuarios.
Optimiza las relaciones internas y del clima de trabajo.
Favorece la rentabilidad, ayudando a evitar costos perdidos por información
inoportuna e inexacta.
Permite conocer los riesgos por el uso de la tecnología que tiene la empresa.
Al igual que otros trabajos de auditoría, la Auditoría de Sistemas atravesará tres
etapas: planeamiento, ejecución y tareas de cierre.
En particular en la etapa de ejecución, encontraremos una serie de controles
generales que, se pueden clasificar en controles sobre:
8. 4
Operaciones de los centros de información.
Seguridad de acceso.
Adquisición y mantenimiento del software del sistema.
Desarrollo y mantenimiento de sistemas de aplicación.
Los controles de operaciones sobre los centros de información se refieren a los
procedimientos de respaldo y recuperación de datos, medidas de seguridad física
de los sistemas así como los planes disponibles para la protección de datos ante
eventuales contingencias.
Los controles de seguridad de acceso a la información son realizados con el objetivo
de evitar accesos no autorizados (asignación preestablecida de accesos basada en
una adecuada segregación de funciones, claves individuales y confidenciales
modificadas periódicamente, revisión periódica de derechos asignados).
Los controles sobre la adquisición y el mantenimiento del sistema permitirán
determinar la estructura necesaria para su diseño así como las aplicaciones
requeridas de acuerdo a la estructura de la empresa.
Dentro de los controles de aplicación podemos enumerar en forma no taxativa los
controles de edición relacionados con el ingreso de datos, de autorización en lo que
refiere al acceso, de validación de datos previo al procesamiento de la transacción,
control de cálculos automáticos realizados por el sistema y los controles de interfaz
en lo que respecta a la transferencia de datos automáticamente entre aplicaciones.
Al finalizar el trabajo, el auditor evaluará si la evidencia obtenida es adecuada y
suficiente, elaborando conclusiones que contendrán recomendaciones para mejorar
la eficacia y la eficiencia en el uso de los sistemas.
1.4.Justificativos para efectuar una Auditoría de Sistemas
Aumento considerable e injustificado del presupuesto del PAD
(Departamento de Procesamiento de Datos).
9. 5
Desconocimiento en el nivel directivo de la situación informática de la
empresa.
Falta total o parcial de seguridades lógicas y físicas que garanticen la
integridad del personal, equipos e información.
Descubrimiento de fraudes efectuados con el computador.
Falta de una planificación informática.
Organización que no funciona correctamente, falta de políticas, objetivos,
normas, metodología, asignación de tareas y adecuada administración del
Recurso Humano.
Descontento general de los usuarios por incumplimiento de plazos y
mala calidad de los resultados.
Falta de documentación o documentación incompleta de sistemas que revela
la dificultad de efectuar el mantenimiento de los sistemas en producción.
1.5.Tipos de Auditoria de Sistemas
Según (s.a., Auditoría de sistemas, 2012), tenemos los siguientes tipos de
auditorías de sistemas:
1.5.1. Auditoría con la computadora
Es la auditoria que se realiza con el apoyo de los equipos de cómputos y sus
programas para evaluar cualquier tipo de actividades y operaciones no
necesariamente computarizadas, pero si susceptibles de ser automatizadas; dicha
auditoria se realizara también a las actividades del centro de sistemas y a sus
componentes.
La principal característica de este tipo de auditoria es que, sea en un caso o en otro
caso, o en ambos, se aprovecha la computadora y sus programas para la evaluación
de las actividades a realizar, de acuerdo a las necesidades concretas del auditor,
utilizando en cada caso las herramientas especiales del sistema y las tradicionales
de la propia auditoría.
10. 6
1.5.2. Auditoria sin la computadora
Es la auditoria cuyos métodos, técnicas y procedimientos están orientados
únicamente a la evaluación tradicional del comportamiento y valides de la
transacciones económicas, administrativas y operacionales de un área de computo,
y en si de todos los aspectos que afectan a las actividades que se utilizan sistemas
informáticos, pero dicha evaluación se realiza sin el uso de sistemas
computacionales.
Es también la evaluación tanto la estructura de organización, funciones y
actividades de funcionarios de personal de un centro de cómputo, así como a los
perfiles de sus puestos, como el de los reportes, informes y bitácoras de los
sistemas, de la existencia y aplicación de planes, programas y presupuestos en
dichos centro así como del uso aprovechamientos informáticos para la realización
de actividades, operaciones y tareas. Así mismo en la evaluación de los sistemas
de actividad y prevención de contingencia de la adquisición y el uso hardware,
software y personal informático, y en si en todo lo relacionado con el centro de
cómputo, pero sin el uso directos computacionales.
1.5.3. Auditoría de la gestión informática
Es la auditoría cuya aplicación se enfoca exclusivamente a las revisiones de las
funciones y actividades de tipo administrativo que se realizaran dentro de un centro
de cómputo, tales como la planeación, organización, dirección de dicho centro. Esta
auditoria se realizara también con el fin de verificar el cumplimiento de las
funciones asignadas a los funcionarios, empleados y usuarios de las tareas de
sistematización, así como para revisar y evaluar las evaluaciones de sistemas.
El uso y protección de los sistemas de procesamiento, los programas y la
información. Se aplica también para verificar el correcto desarrollo, instalación,
mantenimiento y explotación de los sistemas de computo así como sus equipos e
instalaciones.
11. 7
Todo esto se lleva a cabo con el propósito de dictaminar sobre la adecuada gestión
administrativa de los sistemas computacionales de una empresa y del propio centro
informático.
1.5.4. Auditoría alrededor de la computadora
Es la revisión específica que se realiza a todo lo que está alrededor de un equipo,
como son sus sistemas, actividades y funcionamiento. Haciendo una evaluación de
sus métodos y procedimientos de acceso y procesamiento de datos, la emisión y
almacenamiento de datos, las actividades de planeación y presupuestario del
equipo del centro de cómputo, los aspectos operacionales y financieros, la gestión
administrativa de accesos al sistema, la atención a sus usuarios y el desarrollo de
nuevos sistemas, las comunicaciones internas y externas, y en sí , a todos aquellos
aspectos que contribuyan al buen funcionamiento de una área de sistematización.
1.5.5. Auditoría de seguridad de sistemas
Es la revisión exhaustiva, técnica y especializada que se realiza a todo lo
relacionado con la seguridad de un sistema de cómputo, sus áreas y personal así
como a las actividades, funciones y acciones preventivas y correctivas que
contribuyan a salvaguardar la seguridad de sus equipos computacionales las bases
de datos, redes, instalaciones y usuarios de los sistemas.
Es también la revisión de los planes de contingencia y medida de protección para la
información, los usuarios y los propios sistemas computacionales, en si para todos
aquellos aspectos que contribuyen a la protección y salvaguardar en el buen
funcionamiento del área de sistematización, sistemas de redes o computadoras
personales, incluyendo la prevención y erradicación de los virus informáticos.
1.5.6. Auditoría a los sistemas de redes
Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas
de redes de una empresa considerando en la evaluación los tipos de redes,
12. 8
arquitectura, topología, su protocolo de información las conexiones, accesos,
privilegios, administración y demás aspectos que repercuten en su instalación,
administración, funcionamiento y aprovechamiento.
Es también la revisión del software institucional de los recursos informáticos e
información de las operaciones, actividades y funciones que permiten compartir las
bases de datos, instalaciones, software y hardware de un sistema de red.
2. Licenciamientos del Software
Una licencia de software es un contrato entre el autor titular de los derechos de
explotación y distribución y el comprador de dicha licencia, para utilizar la licencia
de software cumpliendo una serie de términos y condiciones establecidas por el
fabricante. Una licencia de software no es más que el derecho de hacer uso de un
programa.
Las licencias de software pueden ser adquiridas en varios esquemas, algunas de
ellas pueden ser: Licencias por volumen, producto en caja, licenciamiento
electrónico, etc. Es el desarrollador, o aquel a quien éste haya cedido los derechos
de explotación, quien elige la licencia según la cual se distribuye el software.
El contrato de licencias de software tiene por objeto autorizar al usuario ciertos usos
o actos de utilización de un programa de computador, pudiendo comprender tanto
la instalación en la memoria de un computador personal o servidor de red para el
acceso de un determinado número de equipos cliente, como el acceso y uso de una
aplicación en línea. Así mismo, el alcance de tales autorizaciones podrá variar
según el tipo de licencia, pudiendo llegar a comprender inclusive la modificación y
redistribución del programa de computador, así como el acceso al código fuente,
cómo sería el caso por ejemplo del software libre de código abierto.
En resumen, se trata del conjunto de permisos que un desarrollador da para la
distribución, uso y/o modificación de la aplicación que desarrolló. En esta licencia
puede indicar también los plazos de duración, el territorio donde se aplica, etc.
13. 9
2.1.Características de las licencias de software
a. Es un contrato solemne, cuya solemnidad es que la autorización, y los
derechos que en ella se contienen, consten por escrito.
b. Es un contrato generalmente oneroso, que excepcionalmente puede ser
gratuito. Como ejemplos de licencias gratuitas están los programas
shareware o freeware.
c. Por regla general, son contratos de adhesión, salvo cuando se trata de
software por encargo o software a la medida.
d. Generalmente contienen una serie de especificaciones para el correcto
funcionamiento del software, como las características que debe tener el
hardware donde se instalará el programa, o información del rendimiento en
cuanto a su capacidad de ejecución.
e. Hay diversas cláusulas que se incluyen en este tipo de contratos. Por ejemplo
cláusulas de garantía de funcionamiento, violación de derechos de terceros
o exclusividad.
Una característica esencial de los contratos de licencias en general, no solo de
software, es que consiste en que el titular del derecho de autor (generalmente el
licenciante) no transfiere o cede la titularidad de tales derechos, sino que los
mantiene en su poder, y se limita a autorizar, de manera exclusiva o no, los distintos
usos o actos de explotación de que la obra puede ser objeto. Así mismo, la amplitud
de sus derechos exclusivos de autor le brinda al licenciante la posibilidad jurídica de
definir con detalle el alcance y las restricciones de las autorizaciones que otorga.
Las licencias de software típicas establecen que la compañía que cede entregará
un producto final de software al usuario. En muchos casos, la compañía de software
también se obliga a corregir cualquier defecto o bug que se descubra, y a proveer
periódicamente al usuario versiones mejoradas y actualizadas del software. El
usuario, a su vez, paga una tarifa por el software.
14. 10
En relación con las cláusulas del contrato, el usuario del software se compromete,
a menudo, a que no divulgará cualquier información confidencial que la compañía
proporcione al usuario, reproducirá o copiará el software, y asignará o sublicenciar
el software sin el consentimiento de la compañía de software.
2.2.Tipos de licencias de software
Uno de los puntos en que con mayor frecuencia se confunden los usuarios de
computadoras, es en el tipo de licencia que ofrece el software. Estas licencias de
software básicamente son un contrato entre el autor del programa y el usuario, y
comprenden una serie de términos y cláusulas que el usuario deberá cumplir para
usar el mismo.
Esto rige en todos los programas, comerciales, o libres y gratuitos, pero en este
último caso, las condiciones siempre están a favor del usuario final.
2.2.1. Software Libre o Free Software
Es un software disponible para cualquiera que desee utilizarlo, copiarlo y distribuirlo,
ya sea en su forma original o con modificaciones. La posibilidad de modificaciones
implica que el código fuente está disponible. Si un programa es libre, puede ser
potencialmente incluido en un sistema operativo también libre. Es importante no
confundir software libre con software gratis, porque la libertad asociada al software
libre de copiar, modificar y redistribuir, no significa gratuidad. Existen programas
gratuitos que no pueden ser modificados ni redistribuidos. Y existen programas
pagos.
2.2.2. Copyleft
La mayoría de las licencias usadas en la publicación de software libre permite que
los programas sean modificados y redistribuidos. Estas prácticas están
generalmente prohibidas por la legislación internacional de copyright, que intenta
impedir que alteraciones y copias sean efectuadas sin la autorización del o los
autores. Las licencias que acompañan al software libre hacen uso de la legislación
15. 11
de copyright para impedir la utilización no autorizada, pero estas licencias definen
clara y explícitamente las condiciones bajo las cuales pueden realizarse copias,
modificaciones y redistribuciones, con el fin de garantizar las libertades de modificar
y redistribuir el software registrado. A esta versión de copyright, se le da el nombre
de copyleft.
2.2.3. GPL
La Licencia Pública General GNU (GNU General Public License GPL) es la licencia
que acompaña los paquetes distribuidos por el Proyecto GNU, más una gran
variedad de software que incluye el núcleo del sistema operativo Linux. La
formulación de GPL es tal que en vez de limitar la distribución del software que
protege, llega hasta impedir que este software sea integrado en software
propietario. La licencia GPL se basa en la legislación internacional de copyright, lo
que debe garantizar cobertura legal para el software licenciado con GPL.
2.2.4. Debian
La licencia Debian es parte del contrato realizado entre Debian y la comunidad de
usuarios de software libre, y se denomina Debian Free Software Guidelines
(DFSG). En esencia, esta licencia contiene criterios para la distribución que
incluyen, además de la exigencia de publicación del código fuente:
La redistribución libre
El código fuente debe ser incluido y debe poder ser redistribuido;
Todo trabajo derivado debe poder ser redistribuido bajo la misma licencia del
original
Puede haber restricciones en cuanto a la redistribución del código fuente, si
el original fue modificado
La licencia no puede discriminar a ninguna persona o grupo de personas, así
como tampoco ninguna forma de utilización del software
Los derechos otorgados no dependen del sitio en el que el software se
encuentra; y
La licencia no puede ‘contaminar’ a otro software.
16. 12
2.2.5. BSD
La licencia BSD cubre las distribuciones de software de Berkeley Software
Distribution, además de otros programas. Esta es una licencia de software
considerada ‘permisiva’, ya que impone pocas restricciones sobre la forma de uso,
alteraciones y redistribución del software. El software puede ser vendido y no hay
obligaciones de incluir el código fuente. Esta licencia garantiza el crédito a los
autores del software pero no intenta garantizar que las modificaciones futuras
permanezcan siendo software libre.
2.2.6. X.org
El Consorcio X distribuye X Window System bajo una licencia que lo hace software
libre, aunque sin adherirse al copyleft. Existen distribuciones bajo la licencia de la
X.org que son software libre, y otras distribuciones que no lo son. Existen algunas
versiones no-libres del sistema de ventanas X11 para estaciones de trabajo y ciertos
dispositivos de IBM-PC que son las únicas funciones disponibles, sin otros similares
que sean distribuidos como software libre.
2.2.7. Software con Dominio Público
El Software con dominio público es software sin copyright. Algunos tipos de copia o
versiones modificadas pueden no ser libres si el autor impone restricciones
adicionales en la redistribución del original o de trabajos derivados.
2.2.8. Software Semi-libre
El Software semi-libre es un software que no es libre pero permite que otros
individuos lo usen, lo copien, lo distribuyan y hasta lo modifiquen. Ejemplos de
software semi-libre son las primeras versiones de Internet Explorer de Microsoft, o
algunas versiones de browsers de Netscape, y StarOffice.
2.2.9. Freeware
El término freeware no posee una definición ampliamente aceptada, pero esta
licencia de software es utilizada para programas que permiten la redistribución pero
17. 13
no la modificación, y que incluyen su código fuente. Estos programas no son
software libre.
Es un programa gratuito. Sin embargo, no es libre. En este tipo de licencia el autor
puede restringir su programa al uso empresarial, redistribución no autorizada,
modificación por usuarios y otro tipo de restricciones. Algunos ejemplos de este tipo
de software son Microsoft Edge, Google Chrome, el archiconocido Adobe
Reader, Adobe Flash Player, Windows Live Messenger y muchos otros.
2.2.10. Shareware
Shareware es el software disponible con el permiso para que sea redistribuido, pero
su utilización implica el pago. Generalmente, el código fuente no se encuentra
disponible, y por lo tanto es imposible realizar modificaciones.
Es un programa distribuido gratuitamente, pero por tiempo limitado o con algunos
recursos restringidos. A través del pago de un valor definido por el autor del
programa, se puede obtener el registro del programa o la versión integral con todos
los recursos. Abarca las licencias adware, trial y demo.
2.2.11. Software Propietario
El Software propietario es aquel cuya copia, redistribución o modificación están, en
alguna medida, prohibidos por su propietario. Para usar, copiar o redistribuir, se
debe solicitar permiso al propietario o pagar.
2.2.12. Software Comercial
El Software comercial es el software desarrollado por una empresa con el objetivo
de lucrar con su utilización. Nótese que «comercial» y «propietario» no son lo
mismo. La mayor parte del software comercial es propietario, pero existe software
libre que es comercial, y existe software no-libre que no es comercial.
18. 14
2.3.Licencias de software extrañas o muy poco utilizadas
2.3.1. Careware
Licencia de programa que solicita la ayuda de donaciones para fondos de caridad y
organizaciones de ayuda humanitaria.
2.3.2. Postcardware (o cardaware)
Tipo de licencia en la que el autor solicita que una tarjeta o postal se le sea enviada.
El usuario es sólo invitado a hacer eso. Muy similar al Emailware, en que los
usuarios mandan e-mails al autor del programa.
2.4.Diferencias entre Software Libre y Software Comercial
Diferenciar el hardware del software no es difícil. En las primeras clases de
informática de cualquier escuela, mostrar las diferencias entre hardware y software
es muy común. Pero lo relativo al software es más complicados de comprender, a
pesar de ser muy usados y muchas veces en forma ilegal. Un punto importante
a diferenciar son los conceptos de Software Libre y Software Comercial.
El Software Libre o no propietario son aquellos que están bajo una licencia libre y que su
uso, modificación y distribución son permitidos a todos. Las principales licencias de
software libre son GPL y LGPL. La primera, destinada a usuarios que puedan incorporarle
modificaciones o que puedan agregar el software libre a un trabajo propio, el cual deberá
ponerlo a disposición también con la misma licencia. La segunda, es más libre y destinada
inclusive a software comercial.
Software Libre no implica necesariamente que es gratuito, este es un punto
importante a considerar, muchos softwares libres pueden ser vendidos o
incorporado a ellos la venta de consultoría o servicios anexos.
Ejemplos de Softwares Libres:
Sistema Operativo Linux
Lenguajes Java y PHP
19. 15
Base de datos MySQL
Programa de oficina Open Office
El Software Comercial o propietario es aquel que tiene un dueño y su uso se permite
mediante una licencia comercial y en la mayoría de las veces pagada. El Software
Comercial no es diferente comercialmente de cualquier otro producto, sólo teniendo
en cuenta que aun pagando por un software estaremos recibiendo sólo la licencia o
derecho de uso y no estaremos comprando el software propiamente dicho.
Las empresas más importantes en el mercado de software comercial son Microsoft,
Adobe, Corel, Autodesk, Apple, entre otras.
Ejemplos de Softwares Comercial:
Sistema operativo Windows
Paquete de oficina Office (Word, Excel, Power Point)
Aplicación para el tratamiento de imágenes Photoshop
Suite para desarrollo web Dreamweaver, Flash y Fireworks
Software para diseño gráfico vectorial Corel Draw
Usar Software Libre y Software Comercial es una decisión de cada empresa o
persona. El precio, licencia, modelo de negocios, soporte y funcionalidades son
algunos puntos que deben ser considerados. Muchas personas y empresas,
hacen uso mixto de Software Libre y Software Comercial. Es una buena estrategia
ya que de esta forma puedes explotar lo mejor de ambos.
2.5.¿Qué es Código Abierto?
Código abierto es un software que pone a disposición de cualquier usuario su
código fuente. A pesar de que este tipo de software es de buena calidad, el principal
atractivo es que es gratis. Más allá de esto, hay ciertas pautas que debe cumplir el
código abierto:
Redistribución libre: la licencia del código abierto no debe de ninguna forma
cobrar royalties o cualquier otro tipo de costo.
20. 16
Código fuente: el software debe agregar el código fuente y permitir la
distribución en la forma de código fuente y compilada.
Licencias: La licencia no debe discriminar cualquier tipo de persona o toma
de iniciativas específicas.
Actualmente, algunos gobiernos están de acuerdo con que el uso de software libre
es una excelente opción. La liberación de los códigos de los programas
desarrollados por órganos oficiales es considerada un bien para la sociedad.
Realmente, la liberación del código fuente de muchos programas genera grandes
beneficios a la población, entre los que se destacan, por ejemplo, los programas de
educación a distancia.
Los programas más utilizados que poseen código abierto son:
Mozilla Firefox
Perl
Apache HTTP Server
Linux
OpenOffice
Gimp
eMule
3. El inventario del Software
En términos amplios un inventario es el recuento detallado de los bienes, derechos
y deudas que una persona o una entidad poseen a una fecha determinada.
Un inventario de software es un documento formal en el que se detallan las
características del software de una computadora, como:
Nombre
Serial
Tipo de software
Tipo de licencia
21. 17
Es importante también tener un inventario actualizado para poder realizar planes de
mantenimiento, ya sea preventivo o correctivo de una empresa y así poder aumentar
la eficiencia y eficacia en el soporte tecnológico de los equipos
Es importante saber qué hardware y software se tiene en cada computadora. Un
inventario puede ayudar a administrar y realizar un seguimiento de las compras, las
versiones, los números de serie y licencias para las partes y el software, las fechas
de garantía y los proveedores y las fechas de instalación, actualización o de
eliminación.
La realidad más habitual es que en las empresas hay mucho más software
instalado del que imaginamos.
Así pues, existen múltiples razones por las que se puede llegar a tener software no
controlado:
Entornos de prueba que no se gestionan con el mismo rigor que los
productivos.
Migraciones o actualizaciones de productos.
Cambios de equipamiento entre distintos usuarios.
Pruebas temporales de productos.
Diseño no óptimo de las autorizaciones en los sistemas.
Pruebas de concepto para el desarrollo de software.
Como consecuencia de lo anterior, pueden existir productos que han quedado
“olvidados” en los sistemas. Asimismo, estos productos pueden haberse instalado
sin que el responsable correspondiente tenga conocimiento de ello.
Y esta situación es ideal para algunos fabricantes que basan gran parte de su
actividad comercial en auditorías agresivas, como Oracle, IBM, SAP, Micro Focus,
Microsoft, Software AG, VMware - Dell, McAfee, Adobe, Autodesk, BMC o TIBCO.
22. 18
3.1.Importancia del inventario para la empresa
Una de las cuestiones que toda empresa tiene que tener claro y organizado es el
inventario. Es un trabajo organizativo importante en todas las empresas y que si se
hace de forma rigurosa y metódica no será una carga de trabajo importante. Muchas
veces uno de los grandes activos olvidados en la empresa es la gestión del
inventario de software, para tener identificado en cada momento que licencia de qué
programas tiene cada equipo instalado.
El software es una parte del capital IT invertido por la empresa y por lo tanto
debemos tener identificado con qué recursos cuenta cada equipo. Se trata de tener
un pequeña base de datos que recopile toda la información de cada equipo, que
incluya la licencia del sistema operativo, de los programas ofimáticos que tiene, etc.
Se trata de ligar al número de serie del equipo toda la información que nos permite
identificar, y en caso de ser necesario, recuperar todos los programas que tiene
instalado para, llegado el momento, poder instalarlos en otro equipo si las
circunstancias así lo exigen.
Para ejecutar esta tarea si no lo realizamos en su momento existen
distintos programas especializados en recuperar las claves de instalación que nos
pueden ayudar a completar toda la información de nuestros equipos. Otra de las
opciones que tenemos en utilizar programas especializados en la gestión del
inventario de software, que se encargan de recopilar automáticamente toda la
información referente a los equipos que tenemos en la red.
No sólo se trata de un problema de licencias, sino que también es necesario
identificar qué programas tiene instalados, cuál es la versión de cada programa, si
es privativo o no, de donde podemos descargar actualizaciones, etc. Se trata de
poner un poco de orden e identificar posibles amenazas de manera rápida.
Todo este trabajo nos ayudará en el momento en que tengamos que restaurar la
configuración de un equipo a tener identificadas las necesidades a cubrir respecto
a la reinstalación del software del mismo. Es una de las cuestiones que conviene
23. 19
llevar al día y ser estrictos en su cumplimiento, puesto que un paso en falso luego
cuesta mucho tiempo deshacerlo.
3.2.Tipos de inventarios de Software
Inventario Individual: Se realiza listando uno por uno los programas o
sistemas instalados en dicho equipo
Inventario Global: Contando en forma global los equipos de cómputo
agrupándolos por programas.
3.3.Elaboración de un inventario de software
Paso 1 : Identifica cuántos equipos tienes para administrar. Si el número es
relativamente pequeño (por ejemplo, una red doméstica con 3 o 4 equipos), puede
ser más rentable utilizar una hoja de cálculo que comprar un programa de gestión
de inventario, que proporciona características más necesarias para organizaciones
que deben administrar un mayor número de computadoras.
Paso 2 : Utiliza el programa de gestión de inventario u hoja de cálculo para crear
un registro de control para cada computadora que incluya todas las piezas de
hardware y software que deban mantenerse.
Agrega información que te facilite entender el estado actual de cada elemento (por
ejemplo, números de etiqueta, fecha de compra, fecha de instalación -y su posterior
actualización o eliminación-, el nombre de la persona que está utilizando el equipo
o las licencias y la información de la versión o la fecha de la última reparación o
servicio).
Paso 3 : Fija etiquetas de activos al hardware que coincida con las entradas en los
registros de control. Si el elemento es demasiado pequeño para ponerle una
etiqueta, utiliza un rotulador permanente para escribir el número sobre el mismo.
24. 20
Paso 4 : Audita y perfila las computadoras periódicamente para confirmar que el
número de licencias compradas coincida con la cantidad de computadoras en las
que cada programa de software esta instalado.
Paso 5 : Revisa periódicamente los registros de control y re-perfila las
computadoras para asegurarte de que los programas de actualización y
mantenimiento de software se sigan correctamente y que el equipo se puede utilizar.
3.4.Programas para el inventario de Software
3.4.1. WinAudit
Una herramienta de inventario de
programas que ofrece varias funciones de
reporte de hardware y software del
sistema. La plataforma genera una lista de
todos los entornos instalados en el sistema,
pero también te muestra información
necesaria como, nombre del proveedor,
versión, ID (software y producto) y ubicación,
entre otra tanta información.
WinAudit es un programa gratuito que se encuentra disponible para sistemas
operativos Windows.
25. 21
3.4.2. Free PC Audit
Una herramienta de inventario de
programas que encuentra casi todos los
detalles de todos los entornos instalados
en tu equipo. Con este auditor de
programas obtendrás toda la información
que necesites y luego la podrás exportar
en formato TXT.
Free PC Audit es un programa
gratuito que se encuentra disponible para
sistemas operativos Windows.
3.4.3. Belarc Advisor
Belarc Advisor, es un entorno bastante
diferente a los demás de la lista, porque la
utilidad no cuenta con una interfaz gráfica
para ver los detalles de los programas
instalados en tu ordenador, porque toda la
información detallada de los programas se
observarán en una página Web que se
abrirá en tu navegador predeterminado.
Belarc Advisor es un programa gratuito, para su uso no comercial y se encuentra
disponible para sistemas operativos Windows.
26. 22
3.4.4. Fast Software Audit
Fast Software Audit es una plataforma que
encuentra todo los detalles de los programas
instalados en tu ordenador y los entornos de
red. Pero uno de los puntos importantes es la
posibilidad de exportar en informe en formato
CSV.
Fast Software Audit es un programa
gratuito que se encuentra disponible para sistemas operativos Windows. (Requiere
Microsoft .NET Framework 2.0).
3.4.5. Open-AudIT
Terminaremos con Open-AudIT, un entorno que
te indica todo lo que hay conectado en tu red,
otorgándote información de cada dispositivo y
programa. Los datos sobre la red se insertan
mediante una secuencia de comandos Bash
Script (Linux) o VBScript (Windows). Pero también
la plataforma te otorga información sobre
hardware y software instalados en tu equipo.
Open-AudIT es un programa gratuito que se encuentra disponible para sistemas
operativos Windows y Linux.
35. ii
CONCLUSIONES
1. El auditor encargado de una Auditoría de sistemas debe poseer
conocimientos de auditoría financiera e informática para realizar un trabajo
efectivo y poder velar por la correcta utilización de los s recursos que la
empresa tiene, para obtener un eficiente y eficaz sistema de Información.
2. Es importante mantener un control sobre los programas y sistemas que se
utilizan dentro de una empresa para asegurarse de que los productos hayan
sido instalados con el correspondiente conocimiento. El disponer de un
software legal asegura un funcionamiento sin problemas y sin errores fuera
de lo normal.
3. Contar con un inventario de software actualizado permite realizar los cambios
que sean necesarios de forma eficiente, esquivando los gastos innecesarios.
Por lo tanto, disponer de información asegurada significa que la organización,
en última instancia, puede tomar mejores decisiones y progresar en sus
servicios, negocios y proyectos futuros.
36. iii
GLOSARIO
1. Antivirus: Programa que detecta la presencia de un virus informático en un
disquete o en una computadora y lo elimina.
2. Auditoría IT: La auditoria informática (o Auditoria IT) es un proceso el cual
se orienta a la verificación y aseguramiento de las políticas y procedimientos
establecidos para el manejo y uso adecuado de la Tecnología de la
Información (IT), en cualquier ámbito.
3. Base de datos: Conjunto de datos pertenecientes a un mismo contexto y
almacenados sistemáticamente para su posterior uso.
4. Cláusula: Disposición de un contrato, tratado, testamento o cualquier otro
documento similar, público o privado, que expresa alguna condición.
5. Cómputo: Del latín compŭtus, cómputo es una cuenta o cálculo. Los
cómputos permiten reflejar estadísticas o el resultado de una votación.
6. Confidencialidad: Aseguramiento de que la información es accesible sólo
por aquellos autorizados a tener acceso.
7. Consensual: Que ha sido decidido o adoptado por consenso o acuerdo.
8. Coste-beneficio: Término que se usa para determinar las opciones que
proveen la mejor forma de conseguir beneficios manteniendo los ahorros.
9. Eficacia: Capacidad para producir el efecto deseado o de ir bien para
determinada cosa.
10.Eficiencia: Habilidad de contar con algo o alguien para obtener un resultado.
El concepto también suele ser equiparado con el de fortaleza o el de acción.
37. iv
11.Especificación: Mencionar algo concreto, aclarar una información que se ha
facilitado con anterioridad. Una especificación es una explicación detallada.
12.Hackers: Persona experta en el manejo de computadoras, que se ocupa de
la seguridad de los sistemas y de desarrollar técnicas de mejora.
13.Imparcial: Algo o alguien que no es parcial, que no se inclina o favorece
ninguna postura o idea.
14.Informática: La informática, también llamada computación, es
una ciencia que administra métodos, técnicas y procesos con el fin de
almacenar, procesar y transmitir información y datos en formato digital.
15.Informatización: Implantación o aplicación de medios informáticos para el
desarrollo de una actividad o trabajo.
16.Licencia: contrato entre el desarrollador de un software sometido a
propiedad intelectual y a derechos de autor y el usuario, en el cual se definen
con precisión los derechos y deberes de ambas partes.
17.Metodología: Conjunto de métodos que se siguen en una investigación
científica, un estudio o una exposición doctrinal.
18.Oneroso: Que ocasiona un gran gasto o resulta molesto o pesado.
19.Procesamiento de datos: Acumulación y manipulación de elementos de
datos para producir información significativa.
20.Rentable: Que produce un beneficio que compensa la inversión o el esfuerzo
que se ha hecho.
21.Rigor: Rigidez o firmeza en el trato o en el cumplimiento de ciertas normas.
38. v
22.Sistema: Es "un objeto complejo cuyas partes o componentes se relacionan
con al menos alguno de los demás componentes"; puede
ser material o conceptual.
23.Solemne: Que se hace formalmente y acompañado de todos los requisitos
necesarios por lo que tiene validez legal.
24.Tecnología: Es la ciencia aplicada a la resolución de problemas concretos.
Constituye un conjunto de conocimientos científicamente ordenados, que
permiten diseñar y crear bienes o servicios que facilitan la adaptación al
medio ambiente, así como la satisfacción de las necesidades individuales
esenciales y las aspiraciones de la humanidad.
25.Titular: Que ha sido nombrado para ocupar un cargo o ejercer un empleo
público en propiedad.
39. E-GRAFÍA
Ciberseguridad, I. N. (s.f.). incibe.es. Obtenido de Politicas de seguridad para la
pyme:
https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/aud
itoria-sistemas.pdf
ciden. (s.f.). Obtenido de https://cidenmexico.com/index.php/licenciamiento-de-
software
Ever green. (3 de Octubre de 2018). Obtenido de
https://evergreencompliance.com/como-hacer-inventario-software/
Fernández, E. (Marzo de 2017). Neo Teo. Obtenido de
https://www.neoteo.com/programas-para-inventarios-de-programas/
Guadamuz, P. (2017 de julio de 23). es.slideshare.net. Obtenido de
https://es.slideshare.net/pguadamuz/inventarios-de-hardware-y-software
Monografías.com. (s.f.). Obtenido de
https://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml
Morales, S. E. (6 de mayo de 2019). Evaluandosoftware.com. Obtenido de
https://www.evaluandosoftware.com/las-licencias-software/
Nuño, P. (25 de abril de 2017). Emprendepyme.net. Obtenido de Auditoría de
Sistemas: https://www.emprendepyme.net/auditoria-de-sistemas.html
Olarte, M. (9 de febrero de 2018). Obtenido de
http://auditoriasistemasinformaticosi.blogspot.com/2018/02/generalidades-
de-la-auditoria-de.html
Pombo, M. (3 de Julio de 2015). Auren. Obtenido de
https://auren.com/uy/noticias/auditoria-de-sistemas/
Roberto, C. (s.f.). Pymes y Autónomos. Obtenido de
https://www.pymesyautonomos.com/tecnologia/gestion-del-inventario-de-
software
Tecnología Informática. (s.f.). Obtenido de https://www.tecnologia-
informatica.com/tipos-licencias-software-libre-comercial/