Las auditorías IT, las auditorías de software y las auditorías de hardware informático pueden realizarse en Ewida Audit. La solución puede ser utilizada tanto por departamentos internos de IT como por empresas que realizan auditorías para sus clientes.
En este artículo mostramos dos niveles de trabajo. Primero ordenamos la parte de planificación y los supuestos de la auditoría, y después pasamos a la ejecución práctica de todo el proceso en la aplicación. Como Ewida Audit es un programa de escritorio para Windows, todo el flujo de trabajo se basa en la consola local, en los archivos de escaneo y en los datos de auditoría guardados en el entorno del usuario.
Este material se refiere únicamente al trabajo en Ewida Audit. Por eso nos centramos en el procedimiento de auditoría, el escaneo de equipos, la verificación del cumplimiento de licencias de software, la asignación de licencias y la preparación de los informes finales, sin hacer referencia a otros productos ni a otras formas de trabajo.
Preparación para la auditoría
Una auditoría IT debería comenzar con la recopilación de lo que a menudo se denomina pruebas de titularidad de licencias. Entre ellas pueden encontrarse facturas de compra, certificados de licencia, medios de instalación, etiquetas COA, documentos del fabricante y otros elementos exigidos por un modelo de licenciamiento concreto.
El conjunto de documentos requeridos no siempre es el mismo. Depende del fabricante, del tipo de licencia y del modelo de compra. Por eso, desde el principio, es necesario determinar qué pruebas de titularidad del software se considerarán suficientes dentro del alcance de una auditoría concreta.
Una fase inicial bien preparada ahorra tiempo más adelante. Sin organizar la documentación y sin definir las reglas para evaluar el cumplimiento de licencias, incluso unos escaneos de equipos realizados correctamente todavía no darán un resultado final fiable.
Auditoría de hardware informático
La primera ronda de escaneo de equipos en una empresa conviene basarla en la comprobación física de cada puesto de trabajo. En la práctica, esto significa escanear el equipo y, al mismo tiempo, verificar etiquetas de licencia, sellos y otras marcas que puedan ser importantes al evaluar el entorno desde el punto de vista del cumplimiento.
En Ewida Audit, el escaneo puede realizarse de tres maneras:
- de forma remota mediante Agentes,
- de forma remota a través de DCOM, sin instalar Agentes,
- de forma local con Codenica PC Audit Scanner.
La elección del método depende del escenario. En las auditorías internas, la comunicación remota suele ser posible. En las auditorías formales, especialmente las realizadas en las instalaciones de un cliente externo, normalmente resulta más adecuado el escaneo local del equipo con la presencia directa del auditor.
Inventario de licencias
El inventario de licencias significa introducir correctamente las licencias en el programa junto con la información de compra y los documentos que confirman su titularidad. Esta es una fase muy importante, porque detectar una aplicación en un equipo no es lo mismo que confirmar el derecho legal a utilizarla.
Ewida Audit no da por hecho que exista una licencia basándose en el software detectado o en las claves de licencia escaneadas. Ese tipo de atajo podría llevar a conclusiones erróneas, por lo que cada licencia debe basarse en documentos reales y en pruebas de titularidad de la licencia.
En la práctica, esto significa que el resultado de la auditoría debe combinar dos capas: los datos técnicos de los equipos y los datos formales derivados de los documentos de compra y de las normas de licenciamiento.
Registro de empleados y asignación de responsabilidades
Mantener un registro de empleados es un procedimiento adicional, pero muy útil. Facilita determinar quién utiliza un equipo concreto, qué software está asignado a un puesto de trabajo y quién es responsable de un conjunto determinado de dispositivos o licencias.
Los usuarios pueden añadirse manualmente o importarse desde un archivo CSV, desde Active Directory o desde la base de datos de Ewida Standard. Este tipo de asignación ayuda a ordenar el resultado de la auditoría y facilita la elaboración de los informes finales.
Cómo funciona la auditoría en Ewida Audit
En el programa se crean Hosts que corresponden a los equipos que se van a escanear. Para cada host, la aplicación guarda por separado los datos de origen y después ejecuta un proceso de reconocimiento. En la práctica, esto significa convertir los datos técnicos procedentes de WMI, del registro del sistema y de los archivos escaneados en objetos estructurados, como conjuntos de equipos, dispositivos y software.
Una vez cargados los resultados del escaneo, puede pasarse a la asignación de licencias al software detectado. En algunos escenarios, partes de este proceso pueden apoyarse en automatizaciones, pero durante la primera auditoría es más seguro tomar manualmente las decisiones clave. Esto proporciona un mayor control sobre el resultado y reduce el riesgo de errores de interpretación.
Informes posteriores a la auditoría
Ewida Audit ofrece resúmenes e informes que pueden utilizarse al preparar el informe final. Estos pueden incluir informes que resumen el número de aplicaciones detectadas, listados de software, licencias, dispositivos y equipos, así como informes más detallados.
En la práctica, el informe final suele constar de una parte descriptiva junto con impresiones o resúmenes adjuntos. También es importante el mecanismo de resúmenes personalizados, porque permite preparar un informe más ajustado a un cliente concreto, al objetivo de la auditoría o a la forma preferida de presentar los resultados.
Cierre de la parte teórica
Cerrar una auditoría significa preparar el informe final junto con las conclusiones derivadas de todo el procedimiento. El informe puede incluir una descripción de la situación actual, la identificación de carencias de licencias, propuestas de acciones correctivas y recomendaciones organizativas para el futuro.
En muchas empresas, definir los siguientes pasos para la gestión del entorno IT es tan importante como el propio resultado de la auditoría. La auditoría no debería terminar simplemente señalando incumplimientos. Es mejor cuando también conduce a un enfoque más ordenado para la compra de software, la documentación de licencias y la planificación de futuras revisiones.
Si, después de la auditoría, la empresa quiere mantener un registro más amplio de infraestructura, documentos, costes y equipamiento en un sistema de escritorio independiente para Windows, puede utilizar Ewida Standard con ese fin.
Supuestos para la parte práctica
Una auditoría IT puede ser realizada por un empleado de la empresa como parte de una revisión interna o por una firma de auditoría externa. En esta parte asumimos el escenario práctico de un auditor externo que realiza la auditoría en las instalaciones del cliente.
Suponemos que ya se han acordado las condiciones de colaboración, que el cliente está preparando la documentación de licencias y de compra de software, y que también facilita información básica sobre la estructura de empleados y la forma en que se utilizan los equipos. Estos datos son necesarios al comienzo, pero su exactitud y su integridad deben verificarse igualmente durante la auditoría propiamente dicha.
En este modelo puede realizarse una auditoría básica o una ampliada. La versión ampliada incluye además una organización más detallada de los datos sobre hardware, documentos, garantías y costes, para que el resultado de la auditoría siga siendo útil incluso después de que la revisión haya finalizado.
Preparación para la auditoría práctica
El trabajo comienza en su propio equipo, donde instala Ewida Audit y prepara el entorno para gestionar todo el proceso. El programa ofrece tres mecanismos de escaneo: Agentes, DCOM y Codenica PC Audit Scanner.
En auditorías externas, el enfoque más seguro y claro es utilizar Codenica PC Audit Scanner. Instalar Agentes en los equipos del cliente normalmente no es la mejor opción, porque puede entrar en conflicto con las políticas de seguridad, generar preguntas formales innecesarias o simplemente no ser aceptado por el cliente.
En la práctica, un escáner lanzado desde una unidad USB o desde un script de red encaja mejor con la naturaleza de una auditoría formal, en la que el auditor debe visitar el puesto de trabajo, verificar las marcas de licencia y realizar personalmente la inspección.
Una vez acordado el método de trabajo, puede crear una nueva auditoría en el programa. Elija Menú → Auditoría → Nuevo, inicie el asistente e introduzca los datos de la empresa que deben aparecer en los informes. Después añada el host predeterminado necesario para crear el espacio de auditoría, omita la instalación de Agentes y el escaneo remoto, y finalice el asistente.
En esta etapa, el objetivo clave es preparar un entorno ordenado al que más adelante se importarán los resultados de los escaneos, los datos de usuarios, las licencias y las relaciones entre objetos.
Codenica PC Audit Scanner
La auditoría de hardware informático se realiza utilizando Codenica PC Audit Scanner, un escáner ligero incluido con Ewida Audit. El programa no requiere instalación y puede ejecutarse desde una unidad USB, lo que resulta especialmente cómodo para el trabajo in situ.
El escáner admite parámetros de inicio, por lo que también puede ejecutarse desde sus propios scripts. Los parámetros más importantes incluyen:
- autostart — inicia automáticamente el escaneo,
- autoclose — se cierra automáticamente al finalizar,
- hide — se ejecuta sin interfaz,
- silent — sin ventana de mensaje al terminar,
- skipstartupdrive — omite la unidad de arranque,
- targetdir — define el directorio de guardado,
- targetfile — define el nombre del archivo de escaneo.
Si se utiliza el parámetro hide, los parámetros autostart, autoclose y silent también se activan automáticamente.
Configuración y preparación del escáner
Antes de empezar a trabajar, conviene revisar la configuración de escaneo disponible en la configuración del programa, en la sección Auditoría. Tras la primera instalación, los ajustes vienen preparados con valores predeterminados, pero aun así es recomendable revisar al menos su alcance y asegurarse de que se ajustan al procedimiento previsto.
Las opciones de configuración son amplias, pero en muchas implantaciones los valores predeterminados son plenamente suficientes al principio. Una vez definidas las reglas de escaneo, puede generar Codenica PC Audit Scanner y guardarlo en una unidad USB preparada para trabajar en las instalaciones del cliente.
Escaneo de equipos y tratamiento de los resultados
Una vez que la unidad USB con el escáner esté lista, puede pasar al escaneo de los equipos del cliente. Conviene tomar también sus propias notas y registrar al menos el nombre del host, los datos del usuario y la información sobre etiquetas COA, sellos y cualquier otro elemento que requiera una verificación adicional.
En el equipo, ejecute el archivo PCScanner.exe, inicie el escaneo y guarde el resultado cuando finalice. Al volver, importe los archivos de escaneo en Ewida Audit usando Menú → Auditoría → Cargar archivos de escaneo. El programa creará hosts que representarán los equipos auditados e iniciará el proceso de reconocimiento de datos.
A continuación, añada los usuarios y asígnelos a los hosts correctos. El siguiente paso es introducir las licencias que posee el cliente. Es especialmente importante prestar atención a los campos Name, Version y Number of Seats, porque son clave para la posterior asociación de licencias con el software detectado.
Una vez añadidas las licencias, vincúlelas a los hosts. Esto puede hacerse una a una o en bloque, según el tipo de licencias y la escala de la auditoría. Después, organice el software detectado excluyendo del análisis aquellos elementos que no sean relevantes para la evaluación del cumplimiento, como determinadas herramientas gratuitas o bibliotecas.
Si la auditoría es la versión ampliada, en esta etapa también puede organizar los datos sobre hardware, garantías, documentos e información organizativa adicional. Gracias a ello, el resultado del trabajo no termina en un informe puntual, sino que se convierte en un material útil para la gestión posterior del entorno IT.