Auditoria de Software – Vai sorrir ou vai chorar? – Recomendações

abril 15, 2019

Auditoria de Software não é uma ciência exata, tudo é variável. O tamanho do cliente, a importância dele para o fabricante, o relacionamento, o nível de auditoria, responsáveis pela execução da auditoria, e até mesmo o conhecimento técnico do auditor. Existem auditorias que são superficiais, as que são mais profundas e analisam cada detalhe, e também as que chegam no nível “forense” e conseguem rastrear, inclusive, mudanças feitas no ambiente durante o processo de auditoria.

Abaixo, segue uma lista de recomendações importantes para que o processo de auditoria aconteça de forma mais leve.

Antes de uma auditoria:

  • Conhecer o ambiente, identificar riscos potenciais e trata-los é fundamental;
  • Uma consultoria externa pode ser importante para ajudar a guiar e validar cada passo do processo de auditoria, compartilhar experiências e facilitar a entrega das informações necessárias, além de revisar os resultados;
  • Ter uma equipe multidisciplinar interna pré-definida é um ótimo recurso para atender a eventuais demandas de auditoria e elevar a maturidade do time interno;
  • Um bom programa de Gestão de Ativos de Software apoiará de forma ativa durante o processo de auditoria. É importante saber o nível de maturidade SAM e onde se pretende chegar;
  • Conhecer cada contrato, saber quais são as regras, permissões e exceções, facilitará em caso de possíveis discussões.

Após formalização do início de uma auditoria:

  • Conhecer os envolvidos no processo de auditoria (contatos);
  • Saber se vão existir terceiros envolvidos no processo;
  • Estabelecer um acordo de confidencialidade, principalmente se existir terceiros, para garantir que qualquer dado trocado como parte da auditoria seja apenas para uso do processo, sem permissão para utilização por nenhuma das partes para qualquer outro fim;
  • Saber o tipo de auditoria que está sendo realizada;
  • Saber quais são os contratos que estão sendo auditados;
  • Conhecer o escopo da auditoria em termos de produtos, regiões geográficas, empresas, ambientes, tipos de dispositivos e sistemas operacionais envolvidos;
  • Combinar quando e entre quais partes os dados relevantes para a auditoria serão compartilhados;
  • Definir fluxos e métodos de solicitação de informação que a auditoria precisa, buscando facilitar o rastreio dos dados solicitados e agilizar respostas aos questionamentos;
  • Solicitar um plano de comunicação com níveis de escalação para resolver problemas mais rápidos, caso ocorram;
  • Entender se o fabricante entrega algum tipo de “Certificado de Conformidade” ao final do processo, que impeça novas auditorias, do mesmo fabricante, dentro de um determinado período.

Durante o processo de auditoria:

  • Definir, com a equipe da auditoria, o target do inventário de hardware;
  • Definir, com a equipe da auditoria, o cronograma de execução com todas as tarefas, responsáveis e prazos;
  • Estabelecer reuniões constantes (semanais ou quinzenais) com todos os envolvidos para acompanhamento da evolução da auditoria;
  • Entender quais dados de inventário são necessários para envio;
  • Consolidar provas de titularidade e arquivar em um local de fácil acesso, elas serão solicitadas.

Resultados da Auditoria:

  • Solicitar todas as provas de titularidade que foram contabilizadas;
  • Solicitar o detalhe de todos os softwares descobertos no inventário;
  • Solicitar a posição de licenciamento de todos os produtos;
  • Solicitar todos os dados avaliados de forma consolidada para validação;
  • Validar de forma detalhada toda análise;
  • Negociar com o fabricante as possibilidades para solucionar as inconformidades.

O importante é ter consciência sobre os direitos de uso dos softwares, as responsabilidades/obrigações que são listadas nos contratos e ter gestão do ambiente, para que haja segurança e tranquilidade em um processo de auditoria. Afinal, como diz o velho ditado “onde há mistério e medo, há dinheiro a ser feito”.

“Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, e não há sucesso no que não se gerencia” William Edwards Deming

Posts anteriores:

Auditoria de Software – Vai sorrir ou vai chorar?

O que SAM tem a ver com Cyber Security?

SAM in the Cloud – Estão preparados?

Software Asset Management (SAM) – “O que os olhos não veem o budget não sente”​

Jadir Breda

Autor

Jadir Breda

Deixa uma resposta