Entrevista a Ricardo Resina: Controlar el software que se utiliza en nuestra organización es una forma de mejorar la seguridad.

La visión de un experto en Auditoría de Software

Ricardo Resina es Ingeniero de preventa y responsable de la oficina técnica de proyectos de Tuyú Technology. Entre sus funciones está la prospección tecnológica y el análisis de productos y servicios que ofrece el mercado, tratando de que aporten valor a nuestros clientes.

Aunque la informática siempre ha sido su hobby, profesionalmente ha desarrollado su carrera desde el año 2002.

Empezó a trabajar en Tuyú Technology como administrador de sistemas Unix en diciembre de 2011. Desde junio de 2013 ejerce sus responsabilidades actuales.

• Explícanos brevemente que es una Auditoría de Software y porque las empresas deberían pasar dicha auditoría.

Una auditoría es un estudio realizado de forma independiente acerca de un aspecto en concreto de una organización. En el caso de la auditoría de software, este aspecto es el estado de licenciamiento del software instalado a lo largo de la organización que es auditada. Esta auditoría puede ser preventiva, que es cuando la empresa desea conocer cuál es el estado de licenciamiento del software que está instalado en sus equipos informáticos. Los vendedores de software, tienen derecho por su lado a realizar auditorías sobre el software del que son propietarias en aquellas organizaciones en las que tengan alguna sospecha de su uso fraudulento, en virtud de los acuerdos de licencia que aceptamos cuando instalamos cualquier software comercial licenciado. En caso de recibir un requerimiento de auditoría por alguno de los múltiples fabricantes de software que existen en el mercado, estamos obligados a prestar toda la colaboración. La reforma del Código Penal que entra en vigor el 1 de julio de 2015 endurece las penas a empresarios y empresas por el uso de software ilegal, alcanzando hasta 4 años de prisión y el cese de actividad de la empresa. Por todo esto es conveniente tener constancia del estado de licenciamiento de todo el software que tenemos instalado en nuestra organización mediante la realización de auditorías internas periódicas, que permitan tomar las medidas correctivas precisas de forma tranquila y ordenada.

• La razón principal por la que recomiendas elaborar una auditoria de software

Además de lo comentado en la anterior pregunta, cabe destacar que según estudios encargados por la Business Software Alliance (BSA), que es el organismo internacional encargado de defender los intereses de los fabricantes de software, existe una clara relación entre el uso de software ilegal en las empresas y los problemas de seguridad causados por malware en las mismas. Esto se explica en parte por el hecho de que la mayor parte del software instalado de forma ilegal, debe de recurrir a otro tipo de software, que permita “engañar” al sistema de licenciamiento para que permita su uso, esto conlleva la descarga de programas de terceros desde paginas no controladas, que en infinidad de ocasiones, infectan nuestros sistemas con el tan temido malware, que es capaz de extraer, incluso, datos vitales de nuestra compañía y ponerlos en circulación sin control alguno.

Controlar el software que se utiliza en nuestra organización es una forma de mejorar la seguridad y la disponibilidad de la información que utilizamos día a día.

• ¿La realización de la auditoria influirá en el funcionamiento normal de mi empresa?

Con el uso de las herramientas más modernas, no.

El software de última generación que utiliza Tuyú Technology para realizar sus auditorías internas, y las que realiza a sus clientes, instala un pequeño agente en cada equipo a auditar, que está diseñado para requerir un mínimo uso de los recursos (CPU, memoria, disco). Esta información extraída de cada equipo, es enviada a un servidor central instalado al efecto, y que es el que realiza todo el cálculo pesado necesario para mostrar el resultado de la auditoría. La información que es enviada por la red es mínima. Siendo incluso posible la auditoría remota de equipos que se encuentren conectados a internet mediante el uso de conexiones de baja velocidad, tales como un acceso WiFi en un hotel o aeropuerto, e incluso es posible planificar el despliegue del agente, y la realización de estas auditorías en bloques para evitar un impacto significativo en la red, en el caso de tener que realizar una auditoría a miles de equipos.

La herramienta de auditoría de seguridad que utiliza Tuyú Technology, puede ser adquirida por el cliente, y tener de esta forma un control en tiempo real del estado de licenciamiento de sus equipos informáticos. O puede contratar auditorías periódicas a Tuyú Technology, que desplegará los agentes en los equipos necesarios, y los retirará una vez finalizada esta.

• ¿Qué nos podrías comentar acerca de las sanciones por no tener una auditoria de software en su empresa?

Existen múltiples sanciones que pueden imponerse a una empresa que haya sido denunciada por uso de software ilegal. Desde la perdida de contratos con el sector público, y la inhabilitación de la empresa para contratar con la administración pública, hasta la perdida de subvenciones y otras ayudas públicas o la dificultad de acceder a créditos con entidades financieras privadas, incluso la exclusión de coberturas en los seguros de responsabilidad civil que la compañía tenga suscritos, pasando, por supuesto por las sanciones de carácter económico, que pueden concretarse en multas de hasta 600.000 euros, por incumplimiento de la Ley Orgánica de Protección de Datos (LOPD), y de hasta 280.000 euros por delitos contra la protección de los derechos de autor, que hay que sumar a la cantidad que se reclame por perjuicios económicos para las empresas afectadas.

• ¿Qué consecuencias penales existe por el uso de software ilegal?

Además de lo comentado en el punto anterior, puede suspenderse la actividad de la empresa hasta 5 años, o incluso producirse la disolución de la personalidad jurídica encargada de la compañía.

En cuanto a los administradores de la organización pueden ser sancionados con hasta 4 años de prisión y multas equivalentes a las de las personas jurídicas.

• ¿Qué tecnología es mejor para elaborar una Auditoria?

Las herramientas, incluso gratuitas, que ponen los distintos fabricantes de software a disposición de las empresas, suelen carecer de la capacidad de detectar software de otro fabricante que no sea del proveedor de la herramienta. Por otro lado, las herramientas “Open Source” o “Freeware”, suelen ser complejas de gestionar, y pueden causar fallos en la realización de la auditoria a causa de esta complejidad, ya que no existe un soporte técnico que nos oriente en caso de dudas con el uso de la herramienta.

IBM BigFix Inventory, es capaz de detectar software de cualquier fabricante, y dispone de una amigable interfaz en la que introducir los contratos de licencia que hemos adquirido, incluyendo tanto el coste de adquisición, como el coste de mantenimiento, y su fecha de caducidad. Provee así mismo de una herramienta de creación de informes totalmente automatizada. Por otro lado, el soporte que ofrece IBM sobre sus productos, es mundialmente reconocido, evitando de esta forma cualquier error que pueda producirse por las dudas que puedan surgir con su funcionamiento.

IBM BigFix Inventory, instala un pequeño agente en cada equipo a auditar, que se encarga de extraer información acerca de todos los archivos ejecutables que existen en el dispositivo, sin apenas coste de proceso, memoria, disco o tráfico de red. Esta información se envía a un servidor central, que la compara con la base de datos, actualizada diariamente y que en la actualidad cuenta con más de 40.000 referencias de software, tanto libre, como propietario, que dispone IBM. Esta información es agregada a una base de datos interna, en la que dispondremos de toda la información del estado de licenciamiento de la compañía, y desde la que se extraerán los correspondientes informes de auditoría de forma automática.

• ¿Qué es la solución BigFix?

BigFix es una suite de herramientas de IBM dedicadas a la gestión integral de puntos finales. Entendiendo por estos cualquier dispositivo informático que disponga la compañía. Desde teléfonos móviles Smartphone, hasta grandes servidores. Gestionando dispositivos con Sistemas Operativos Microsoft, Unix, Linux, Android, IOS, Symbian, etc. Esta gestión integral es capaz de automatizar tareas tales como: distribución de software, gestión de la energía, realización de tareas repetitivas, gestión unificada de antivirus, gestión unificada de políticas de seguridad, distribución de parches, actualización de software, auditoria de software, auditoria de hardware, etc.

• ¿De qué módulos se compone la solución BigFix?

IBM BigFix se compone de 6 módulos, que pueden ser adquiridos juntos o por separado y que son los encargados de realizar las tareas descritas en la pregunta anterior. Estos 6 módulos son:

Lifecycle: Realiza la gestión de inventario de hardware, distribución de software, despliegue de sistemas operativos, control remoto de dispositivos, automatización de tareas repetitivas, gestión de servidores físicos y virtuales, gestión de herramientas de middleware, gestión de energía.

Inventory: Realiza la auditoría de software.

Patch: Realiza la gestión de parches de sistema operativo y de aplicativos, incluso offline.

MaaS360: Realiza la gestión de dispositivos móviles, distribución de software y documentos, gestión de la seguridad, geolocalización, etc.

Compliance: Realiza la gestión unificada de políticas de seguridad.

Protection: Realiza la gestión unificada de antivirus y firewalls.

El cuadrante Gartner ha nombrado como “Leaders” por tercer año consecutivo a la suite de productos.

• ¿Porque la tecnología BigFix es la mejor para realizar una Auditoria?

Como resumen, puedo decir, que:

Cuenta con el soporte de IBM

Tiene la mayor base de datos de software del mercado, y está actualizada constantemente

Utiliza agentes con un mínimo impacto en los recursos de los sistemas que audita, y en las redes que los soportan

Provee de informes de auditoria de forma automática

•  ¿Alguna otra cosa que nos quieras contar acerca de esta solución o acerca de la Auditoria?

Siempre ha sido importante que las compañías tengan el control de lo que sucede dentro de ellas. La suite de productos IBM BigFix, es una gran ayuda, economizando en tiempo y recursos.

Específicamente, sobre el tema de la auditoría de software, como post data, indicar que la BSA en su página web, dispone de un listado de acciones que se han realizado recientemente contra empresas españolas, en el que se pueden encontrar tanto el nombre de la compañía, como el perjuicio económico estimado para las empresas afectadas y una lista de estas, los registros que se han realizado, y el medio que se ha utilizado para detectar el fraude.