Auditoría de licencias de software

Ir a: navegación, búsqueda de

A auditoría de licencias de software o auditoría de cumplimiento de software es un subconjunto importante de gestión de activos de software y el componente de gestión de riesgos corporativos. Cuando una empresa no es consciente de lo que el software se instala y se utiliza en sus máquinas, puede resultar en múltiples capas de la exposición.[1]

Los principales beneficios que una empresa recibe de realizar una auditoría de licencias de software son un mayor control y diversas formas de ahorro de costes. La auditoría se utiliza como un mecanismo de eficiencia para mejorar la distribución de software dentro de una organización y como un mecanismo preventivo para evitar la acusación de violación de los derechos de autor por las compañías de software. Auditorias de licencias de software son una parte importante de la gestión de activos de software, sino también como un método de gestión de la reputación corporativa asegurando que la compañía está operando dentro de los lineamientos legales y éticos.

Auditorías de software no se deben confundir con Auditorías de código, que se llevan a cabo el código fuente de un proyecto de software.

Contenido

  • 1 Desafíos
  • 2 Gestión de activos de software
  • 3 Organizaciones
  • 4 Véase también
  • 5 Referencias

Desafíos

Si la empresa auditora self-dependiente escanea el código base, uno de los graves problemas es los cambios de licencia entre versiones. Algunas bibliotecas de software comienzan con una licencia y el interruptor posterior en otro. Los ejemplos típicos son cambio de la licencia permisiva para el modelo de licencia dual (la elección entre recíprocos fuertes o comercial pagado) como para iText, pasando del recíproco más licencia más permisiva (como para QT Extended) y opensourcing el código de comercio previamente (como para OpenJDK). En tales casos no es suficiente detectar que se ha utilizado algún fragmento de código o biblioteca - una versión exacta usada debe ser identificada correctamente. Otras dificultades pueden surgir si el dueño de biblioteca elimina las versiones obsoletas (que estaban bajo licencias diferentes) de las fuentes públicas.

Algunas licencias (como LGPL) tienen condiciones muy diferentes de simple y de creación de trabajos derivados. En tal caso la auditoría adecuada debe tener en cuenta si la biblioteca ha estado vinculada o ha sido creada la obra derivada (rama de encargo).

Por último, algunos paquetes de software pueden contener internamente fragmentos del código fuente (como el código fuente de Java de Oracle) que puede ser proporcionada solamente para la referencia o tiene varias otras licencias, no es necesario compatible con las políticas internas de la empresa. Si el equipo de software realmente no utiliza (o incluso no es consciente) acerca de dichos fragmentos, esto debe verse diferente del caso si estaría directamente vinculados.

Todos estos temas son relativamente fáciles de resolver si el grupo de auditoría coopera con el equipo de software que normalmente debería de conocer las versiones usadas y así sucesivamente. Si el equipo de software no es de confianza, una auditoría incompetente puede encontrar muchas "inconsistencias" y "violaciones" donde no hay ninguno.

Gestión de activos de software

Artículo principal: Gestión de activos de software

Gestión de activos de software es un proceso de organización, que se describe en ISO/IEC 19770-1. Ahora también se incluye dentro de ISO/IEC 27001: Tecnología de la información 2005 - requisitos de seguridad de técnicas - sistemas de gestión de seguridad de información-[2] y ISO/IEC 17799: 2005 información tecnología - técnicas de seguridad - código de prácticas para la administración de seguridad de información.[3]

Gestión de activos de software es una estrategia integral que tiene que ser dirigida de arriba hacia abajo en una organización eficaz minimizar el riesgo. Una auditoría de cumplimiento de software es un subconjunto importante de gestión de activos de software y está amparada en las normas referenciadas arriba. En su forma más simple consiste en lo siguiente:

  1. Identificación de activos de Software.
  2. Verificación de los activos de Software incluyendo licencias, uso y derechos.
  3. Identificación de las brechas que existan entre lo que existe en las instalaciones y las licencias poseídas y los derechos de uso.
  4. Emprendiendo acciones para cerrar las aberturas.
  5. Grabar los resultados en una ubicación centralizada con registros de prueba de compra.

El proceso de auditoría debe ser una acción continua y moderno software SAM identifica qué está instalado, donde está instalado, su uso y ofrece una conciliación de este descubrimiento contra el uso. Este es un medio muy útil de controlar instalaciones de software y bajar los costos de las licencias. Grandes organizaciones no podrían hacerlo sin aplicaciones de descubrimiento e inventario.

De tiempo al tiempo interno o externo (por importantes firmas contables) auditorías pueden tomar un enfoque forense para establecer qué está instalado en los equipos de una organización con el fin de asegurar que es todo legal y autorizado y para que su proceso de procesamiento de transacciones o eventos sea correcta. Aunque uno podría enfrentarse a una auditoría de proveedor de software por medios contractuales y legales justos, uno debe saber y one´s derechos cruciales en una situación de auditoría así como la reserva.[4]

Auditorías de software son un componente de gestión del riesgo corporativo, y sin duda minimizan el riesgo de ser procesados por infracción de copyright debido a la utilización de software sin licencia. La mayoría de proveedores permite que la empresa para resolver sin enjuiciamiento, aunque en casos graves, persecuciones ciertamente ocurren. Además con una política de uso de software estricta del riesgo de virus informáticos se reducen al mínimo mediante la prevención de copia de software sin control.

Organizaciones

Proveedores de suscripción a organizaciones tales como la Federación contra el robo de Software (Rápido) y el Business Software Alliance (BSA) como un medio de brindar un enfoque de industria para el control de la piratería, falsificación y uso ilegal de software. Difundir campañas contra el uso ilegal de software y recompensar a los empleados que notificación de las infracciones que resultan en procesamiento exitoso o recuperación del costo de la licencia.

Véase también

  • Administrador de licencias
  • Business Software Alliance
  • Asociación de industria de información y software
  • International Organization for Standardization
  • Asociación de gestión de activos de Software australiana (ASAMA)

Referencias

  1. ^ "Gestión de licencia de software". Dell KACE. 2012-07-06. 
  2. ^ "ISO/IEC 27001: 2005". 2005. 2008-03-23. 
  3. ^ "ISO/IEC 17799:2005". 2005. 2008-03-23. 
  4. ^ "Auditoría de proveedor – Top 10 al cliente derechos de anuncio al establecimiento". Tecnología de gestión de operaciones de OMTCO Consulting GmbH. 4 de junio 2013. 

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=Software_licensing_audit&oldid=756461766"