docPág N°1 AUDITORÍA INFORMATICA AL SOFTWARE INSTALADO
download 
Demanda Transcripción
Pág N°1 AUDITORÍA INFORMATICA AL SOFTWARE INSTALADO
AUDITORÍA INFORMATICA AL SOFTWARE INSTALADO EN LOS COMPUTADORES PERSONALES DE XYZ. ANTECEDENTES En cumplimiento del Plan Anual de Auditoría Informática se realizó la revisión del software de los microcomputadores pertenecientes a la empresa, de acuerdo a la lista entregada por la Unidad de Sistemas de Información (memorando USI N° ...). Además, debido a que se encontraron computadores que no estaban en dicho registro, se tomó también como referencia el listado entregado por el departamento de Inventarios. El examen se dividió en dos etapas. La primera consistió en la captura de la estructura de los archivos por cada máquina, y toda esa información se almacenó en un computador de Auditoría, para el correspondiente análisis y la creación de una ficha individual por equipo, en la cual se detalla el software que se encontró instalado. En la segunda etapa, en las fichas elaboradas, se examinó nuevamente cada computador y se verificó el uso de los programas respectivos por parte del usuario responsable o el que opera. ALCANCE El examen comprendió la revisión de los microcomputadores de la empresa, excluyendo los de las agencias, proyectos y algunas subestaciones, lo que significó el análisis de 128 computadores. Pág N°1 Es importante indicar que este informe no incluye el análisis referente al Hardware(equipos de cómputo). OBJETIVOS En el programa específico de trabajo se definieron los siguientes objetivos principales: 1. Inventariar todos los programas, sean estos de aplicaciones específicas, sistemas operativos, utilitarios, manejadores de base de datos, etc., que se hayan instalados en los PC's (Microcomputadores) de la Empresa. 2. Revisar y verificar las licencias para el uso de los programas inventariados, al igual que los diskettes y manuales correspondientes de los paquetes de software originales adquiridos por la Empresa . 3. Evaluar el grado de cumplimiento y la responsabilidad del software asignada al personal de la empresa por parte del Gerente General según lo que consta en el memorando ref GG-96 #: .... 4. Evaluar el cumplimiento y el estudio técnico previo a la suscripción de los contratos No... y No. ..., para la adquisición de software. 5. Analizar el uso actual de los computadores, en base a los programas instalados que se haya detectado. 6. Evaluar el sistema de control instaurado por parte de la USI para el manejo de las Pág N°2 licencias. 7. Recomendar políticas específicas para el manejo del Software instalado, que conduzcan hacia un compromiso empresarial y la concientización del personal sobre la utilización adecuada de los microcomputadores y los programas específicos de acuerdo a la actividad que cumplen. COMENTARIOS 1.a Se diseño una base de datos para almacenar toda la información recopilada, por lo que se presenta el siguiente cuadro que resume todos los programas inventariados: Software Existente Cuadro General TIPO # # # Preinstalado Instalados Total s por el por el usuario fabricante Aplicaciones (Sistemas de Información, PRG, DBF,...) 0 424 424 144 78 222 Procesadores de Palabras 2 109 111 Hojas Electrónicas 1 193 194 Sistemas Operativos (DOS, WINDOWS, OS/2, Netware) Pág N°3 Diseño Gráfico (CAD) 0 30 30 Diagramación de Flujo 0 55 55 Manejadores de Base de Datos 0 126 126 Antivirus 0 140 140 Graficadores de Presentación 7 43 50 Manejadores de Red (Netware, AS/400) 2 68 70 Herramientas CASE 0 6 6 Traductores Inglés/Español 0 5 5 Juegos 25 87 112 Comunicaciones 52 99 151 Herramientas de Manejo de Ficheros 26 180 206 0 8 8 22 3 25 Diseño Eléctrico 0 6 6 Lenguajes de Programación 2 5 7 16 34 50 OTROS (Programas demostrativos, utilitarios, etc.) 121 277 398 TOTAL 420 1976 2396 Manejadores de Proyectos Manejadores de Multimedia OFFICE (Programas integrados con Proc. Palabras, Hojas Electrónicas, etc.) Como se indicó anteriormente, se revisaron 128 computadores, quedando exentos del análisis 19 computadores, según comparación del listado entregado por Inventarios (Inventario=147 Pág N°4 computadores, incluido el computador IBM RS/6000); además existe un incremento de 15 computadores según el listado entregado por la USI (memorando USI 165 /96: 113 PC's). En el anexo #1 consta un listado ordenado por el nombre de todos los programas, exceptuando las aplicaciones, en el cual se indica el número total de copias instaladas; aunque no constan los duplicados en cada máquina, ya que existen computadores que tienen almacenado en el mismo disco duro varias copias del programa. Además, se incluye una referencia (*), indicando que el programa no tiene una relación fija con los fines de la empresa, o que su uso es muy esporádico En el anexo # 2 se detallan las aplicaciones instaladas en los PC's de la empresa. Este listado está dividido exactamente igual que el anexo #1. En el anexo #5 (5.a - 5.u), se enumera todo el tipo de software obtenido en esta auditoría, en cada subanexo consta un código que indica el usuario responsable (en el anexo #8 se presenta el listado necesario para relacionar el código con el nombre del responsable y su computador). En el anexo # 6 se describe todas las fichas creadas por cada PC. 1.b Según datos brindados por la Unidad de Sistemas de Información (anexo #7), del inventario realizado por esta unidad se tiene el siguiente resumen del mismo: TABLA #1 RESUMEN DE INVENTARIO USI SOFTWARE Instalado o Requerido Pág N°5 AUTOCAD 11 EXCEL 1 EXPANDWIN 2 FLOW 15 FOX 2 FOXPRO 38 GENEXUS 1 HTPM 1 IBMAV NORTON COMANDER 103 12 OFFICE 8 ORCAD 2 PROCESS CHARTER 3 QPRO 94 SYMPHONY 15 WORD WORDPERFECT TOTAL 1 93 402 2. Del uso de las licencias: 2.a Para la explicación del uso de las licencias, se debe diferenciar entre el software Pág N°6 preinstalado y el software instalado posteriormente, donde en lo preinstalado se considera todos los programas que están cargados en el disco duro por el fabricante, y en programas instalados posteriormente, todo software que no forme parte del anterior. En general, todo computador considerado de marca (IBM, Compaq,...), viene con software preinstalado conjuntamente con sus licencias o certificado de autenticidad, lo que realmente no se ha cumplido en determinadas máquinas. Así por ejemplo en el contrato #XXX, para la adquisición de computadores IBM Value Point, con la empresa ..., en la solicitud de compra, ni en la proforma de ..., tampoco en la factura y estudio técnico-económico (anexo # 9.a), no se toma en cuenta este aspecto, puesto que no se incluye ninguna referencia del software preinstalado. Además por la constatación realizada, los computadores vendidos no contienen una versión de DOS propia del fabricante (IBM DOS); en cambio tienen instalado una versión de otro fabricante (Microsoft DOS), del que no se tiene licencia o certificado que indique que vino preinstalado. Por el hecho de que el computador sea de marca IBM no implica el derecho a usar el DOS y Windows, ya que en el mercado se venden computadores IBM sin disco duro, y por lo tanto sin software, dando como resultado un menor precio y la posibilidad de ponerle un disco duro y software de manera ilegal. Igual caso se presenta en el concurso epistolar # 73-93(anexo 9.b), con la misma empresa antes mencionada, al adquirirse un total de 10 computadores con disco duro, excepto el modelo de computador IBM Value Point 425SX que se cotizó con software incluido: DOS 5.0 y Windows 3.1 (anexo # 9.b ). Dentro de este mismo pedido se han adquirido computadores sin disco duro, para posteriormente comprar los discos duros, los cuales no incluyen ningún tipo de licencia o software preinstalado, por lo que en todas las máquinas que se compraron e instalaron los discos duros posteriormente, se carece de licencia de uso de DOS y Windows (en los que tenga instalado). Pág N°7 Otro ejemplo contrario al sucedido con ..., es el contrato #...-94 USI, con la empresa ... Cía. Ltda., la cual si hace constar en la proforma el software preinstalado: DOS 6.1 y Windows 3.1. En la constatación se comprobó que los computadores conservan la versión cotizada, aunque en la solicitud de compra y estudio técnico-económico no contempla como punto de análisis el software preinstalado (anexo # 9.c). Para aclarar este asunto con los proveedores, se solicitó, a algunos de ellos, un certificado (anexo # 10) que ratifique si entregó o no con software preinstalado. Las empresas .... y ... confirmaron que todos los computadores vendidos a la Empresa ... fueron entregados con software original, dependiendo del modelo para que incorporen DOS y/o WINDOWS u otros programas. La empresa ... respondió que ciertamente los fabricantes envían software preinstalado, pero no certifica que sus máquinas fueron enviadas con ese software. En las últimas adquisiciones realizadas se puede constar que en las proformas y estudio técnico se describe el software preinstalado. 2.b Con respecto a las licencias existentes, sin contar las que vienen en el software preinstalado se tiene los siguientes programas originales: TABLA #2 Software Original Instalado de la XYZ sin contar con los programas Preinstalados y sistemas de información (aplicaciones) Nombre del Software AutoCad DOS Proveedor Adminis. #Lic Sistemas ... y USI 4 Observaciones ver 12 (1) Pág N°8 (1) AutoCad Windows DOS ... 1 Actualización a v.13 Symphony USI 1 Actualización a v. 2.2 Process Charter Windows DIFI 1 ver 1.01 ... ... 1 ver 4.2 ... ... 2 ver 3 DIFI 1 programa de MSOffice Profesional (WORD, EXCEL, Power Point, Access) Visual Basic Código de Barras evaluación(con costo) WordPerfect Windows … USI 41 ver 6.1, no está completo WordPerfect DOS … USI 5 Quattro Pro Windows ... USI 70 ver 6.0 Perfect Office … USI 1 ver 3.0 Norton Utilities ... USI 1 ver 8.0 Norton Antivirus para Red .. USI 25 ver 2.0 FoxPro DOS ... USI 5 ver 2.6 USI 1 ver 4.0, no entregado, Norton Commander ... No entrega proveedor ni reportado * Pág N°9 CorelFlow Windows … USI 1 ver 8.0, no reportado QPRO DOS ... USI 5 ver 5.5, no entregado, ni reportado * Visual FoxPro Windows ... USI 5 ver 3.0 ** Visual FoxPro Profesional ... USI 5 ver 3.0 ** ... USI 1 ver 2.0 Windows FoxPro para DOS Datos obtenidos en el inventario y según indicaciones de los responsables de los programas. * No constan en el listado entregado por la USI (memorando USI N° XXX) ** En el contrato de adquisición (XXX) se compra FOXPRO 2.6 para Windows, y se entrega Visual FoxPro, lo cual es aceptado por la USI. Verbalmente el Sr... indicó que estos paquetes ofrecen mayores ventajas para la empresa y que el proveedor indicó que la versión solicitada está discontinuada y que la entregada es más actual y de mayor valor. Según el literal 2.a, la Empresa cuenta con software original en determinadas máquinas en lo que respecta a DOS Y WINDOWS, lo que no se podría comprobar al no existir ningún registro o control por parte de la unidad encargada. También, existen máquinas que vinieron con su software original, pero con el tiempo fueron actualizadas; por ejemplo, un computador que vino preinstalado con IBM DOS 5.0, actualmente tiene instalado MS DOS 6.20, siendo necesario para este cambio una licencia de actualización (upgrade), lo que nunca se ha realizado, y por lo que no tendría responsabilidad el proveedor. 2.c También se revisó los diskettes, CD's(discos compactos) y manuales que están a cargo de cada usuario, notándose que pocos usuarios tienen a su cargo los mismos, siendo Pág N°10 muchos de ellos manejados por la USI. En la mayoría no son entregados a la persona responsable del computador, y tampoco existe el responsable de los paquetes no entregados. En caso de los usuarios que tienen los paquetes, en especial de los equipos IBM y Compaq Prolinea, no tienen registrado a su cargo los manuales y diskettes, según datos obtenidos en los archivos magnéticos del departamento de Inventarios. 2.d Para generar una idea más exacta del costo que tendría que pagar la empresa o los responsables por todo el software pirata que se tiene instalado, se asignó valores referenciales a cada programa, según datos de revistas de computación, lista de precios de proveedores, entre otras, obteniéndose un valor de 190.000 dólares; es decir aproximadamente 613'000.000 sucres, sin contar las demandas y equipos incautados que se pudieran producir en caso de una auditoría externa de software. 3. De la responsabilidad asignada por el gerente - El 18 de Abril de 1996, con memorando GG-96 #:..., el Ing. ..., Gerente General, emite una disposición que dice textualmente "se prohibe a los empleados realizar copias no autorizadas de software. Los funcionarios de la empresa que estén a cargo de un computador, serán los únicos responsables de los programas que estén instalados en los mismos", que no se la cumple, por las siguientes razones: - Existe aproximadamente un 70% de empleados que no tienen conocimiento de la disposición, según respuesta de los usuarios analizados. - Existe un 100% de los equipos revisados que no han cumplido con la disposición, ya que aun tienen software no autorizado, esto incluye también a todos los equipos de la Unidad de Sistemas de Información. Pág N°11 - No existe un compromiso formal con cada funcionario, que indique cuales son los programas que se hace responsable y las sanciones a las que se puede hacer acreedor por no sujetarse a las normas. - Parte del personal desconoce el software que tiene instalado en sus computadores, ya que se limita mediante un menú a entrar a sus programas básicos, sin tener la posibilidad de acceder a otros programas por tener clave de salida del menú, o no saber manejarlos. Por lo que los empleados ubicados en este punto indican que "no se pueden hacer responsables de algo que no conocen y que no saben que tienen". Además no pudieron informar si sus máquinas vendrían con software preinstalado o no. - Las licencias adquiridas no cumplen con las necesidades existentes, lo que se puede constatar en el inventario realizado en esta auditoría (ver anexos del 1 al 5). - En los computadores existen aplicaciones que fueron desarrollados en hoja electrónica o en base de datos, por lo que se requiere un programa de Symphony, FoxBase o FoxPro, pero si se retira estos programas por no contar con autorización, las aplicaciones se verían paralizadas. - El software original que se adquirió: WordPerfect y QPRO, están recién en proceso de instalación, es así que hasta la fecha de finalización del inventario estuvieron instalados 32 computadores con QPRO para Windows, y ningún computador con WordPerfect para Windows por la falta de algunos de los diskettes que no vinieron incluidos en el paquete, así como por falta de tiempo del personal de la USI. 4. De los contratos XXX, YYY 4.a Del cumplimiento de los contratos Pág N°12 Los contratos fueron firmados el 11 de marzo de 1996 y el 29 de febrero de 1996, respectivamente, de los cuales se comprobó que en la entrega de los items existe un alto grado de incumplimiento por parte de los proveedores, ya que han transcurrido más de 100 días, después de la fecha máxima, para entregar en su totalidad los programas adquiridos. Como la parte del software que falta entregar es de bajo costo, comparando con los ya entregados, las multas son relativamente bajas por lo que nunca o difícilmente se llegue a cumplir con la cláusula décimo primera de los contratos. Por esta larga espera, es justificada, según la indicación del Sr. ..., encargado de la administración de los contratos por parte de la USI conjuntamente con compras, porque se perdería todo el tiempo que se ha demorado para la adquisición. Referente al contrato 4040-96, la fecha de entrega del anticipo fue el 21 de marzo/96, con un plazo de 15 días calendarios, realizado con la empresa XXX. Se le ha concedido una espera de 30 días para la entrega de los programas, por parte de la Eco. ..., directora de Finanzas, como se indica en el oficio XXX, debido a que la causa principal es que los programas se encontraban discontinuados, lo que realmente es cierto, pero en ese caso no debía haberse cotizado por parte del proveedor si no estaba seguro de la existencia del paquete. Además, en cualquier caso lo que requiere primordialmente la empresa son las licencias de uso, que en definitiva es un certificado, así para legitimizar el software instalado. Del contrato XXX, firmado con la empresa ..., se presenta que igualmente no puede entregar determinados paquetes por las mismas razones que expone la empresa XXX.. 4.b El preestudio técnico para la adquisición del software Según datos solicitados a la USI, está unidad presenta los justificativos (memorando USI # XXX del 1 de agosto de 1996 ), indicando que el estudio se lo realizó en el mes Pág N°13 de junio y julio de 1995, de lo cual se generaron las necesidades de la adquisición. Aunque realmente, no refleja las necesidades actuales, ni las que se presentaron a la fecha del estudio, de acuerdo a las siguientes razones: - Se adquirieron 5 licencias de WordPerfect 6.0 para DOS, siendo realmente la necesidad de aproximadamente 35 licencias, ya que existe ese mismo número de computadores que pueden cargar el programa y que requieren de un procesador de palabras, ya que los computadores no pueden correr el programa WordPerfect 6.1 para WINDOWS puesto que existen 81 computadores con 4 Mb o menos memoria RAM, en vista de que son computadores con 1 a 4 Mbytes de RAM, y esa versión para Windows requiere de 8 Mbytes de memoria RAM como mínimo; además existen 3 computadores que tienen menos de 1 Mbyte de memoria RAM y que requieren del programa, por lo que en estas máquinas sólo se carga WordPerfect 5.1 para DOS, necesitándose 3 licencias de este programa para que funcionen en estos computadores. Esto se ratifica en la misma información proporcionada por la USI (memorando Ref. USI N°ΞΞΞ), que indica textualmente "El resultado que se obtuvo se basó en el alto porcentaje de computadores con procesadores menores a 386 los que no permitían un trabajo efectivo en el ambiente Windows". Dando como resultado la adquisición de las licencias una solución esporádica y parcial. - El mismo caso se presenta con el programa QPRO, que se han adquirido 5 licencias de QPRO 5.5 para DOS, necesitándose 36 licencias, por el mismo caso expuesto con WordPerfect; además se adquieren 70 licencias de QPRO para Windows, contándose en la Empresa con 66 computadores con la capacidad de cargar este programa. Además no todos los 66 computadores necesitan de hoja electrónica QPRO. - En el informe presentado por la USI (memorando Ref. USI No ...), se indica que algunos de los factores que influenciaron en la compra de esos paquetes fue el tratar de Pág N°14 unificar los lenguajes y programas que se están utilizando en la Empresa, y porque se venía dando capacitación referente a QPRO y WordPerfect para DOS, de lo cual se puede puntualizar lo siguiente: - Al pasarse a un ambiente diferente, es decir de DOS a Windows, implica que los programas presentarán muchos cambios, es así que al comparar las opciones de los menúes del programa QPRO para Windows con QPRO para DOS, no existe, prácticamente ningún parecido. Por otra parte, se requiere que se tenga un conocimiento previo de manejo de Windows, por lo que la capacitación realizada para aplicaciones DOS, no implica que los usuarios podrán desempeñarse óptimamente en un nuevo ambiente. También, existe un menor porcentaje de usuarios que conozcan el ambiente Windows. - Con respecto a la unificación, es correcto que exista un estándar de programas a usarse, ya que el programa Symphony, que tenía la función de procesador de palabras, hoja electrónica y base de datos, ha sido y está siendo sustituido por WordPerfect y QPRO para DOS, y por aplicaciones desarrolladas en FoxPro y Access, lo que hasta la fecha no se ha concluido, lo que se refleja en el número de programas Symphony instalados, 74 copias, de los cuales aun se usan 42. En caso de comenzar a actualizarse con aplicaciones en ambiente Windows, se debía tomar en cuenta otros aspectos tales como: * Bajo ambiente Windows, un mayor número de usuarios tienden a usar Microsoft Office (Word para Procesador de Palabras, Excel para hoja electrónica, Power Point para presentaciones), por lo que existen 30 copias de este paquete instalados en la empresa, de las cuales 16 lo utilizan para todas las tareas relacionadas a lo descrito. Pág N°15 * Con respecto al fabricante de los programas QPRO Y WP, se debe anotar que se tiene que acudir a subdistribuidores, los cuales se contactan con sus distribuidores directos, y por último estos distribuidores se contactan con el fabricante localizado en Estados Unidos, lo que produce que el soporte sea lento y fuera de tiempo. Esta situación queda demostrada en la adquisición del software, en vista de que se adquirió QPRO y WP para DOS, y los proveedores lo cotizaron y firmaron el contrato, para luego indicar que los programas están discontinuados. En el caso de ... el paquete de WP para Windows, llegó incompleto por error del fabricante, por lo que esta empresa solicitó los diskettes faltantes, lo que hasta la fecha no ha sido entregado, transcurriendo así más de 120 días, aduciendo que no es fácil conseguirlos. Otro detalle es que el fabricante no tiene licencias corporativas que brinden menores precios y mayores ventajas. No existe en nuestro medio centros de enseñanza autorizados y capacitados para dar soporte del manejo de estos paquetes para Windows. WP Y QPRO para Windows, no son paquetes que hayan sido calificados como los mejores programas en sus categorías correspondientes, según documentación especializada(anexo # 15). En nuestro medio y en especial en Cuenca, la mayoría de empresas tales como ... han migrado a Microsoft Office, lo que producirá que solo no haya la estandarización en la empresa sino que no existirá la estandarización con las demás compañías con las que se mantienen estrechas relaciones. Estas desventajas las podemos resumir en el siguiente cuadro comparativo: Pág N°16 CUADRO COMPARATIVO WORD-EXCEL Vs WORDPERFECT-QPRO para Windows CARACTERÍSTICA WORD-EXCEL WP-QPRO para Windows 3.1x para Windows 3.1x Oficina del fabricante ubicada en el País SI* NO Distribuidor directo en el País SI NO Empresas autorizadas por el fabricante para la SI NO Capacitación brindada por la Empresa de los programas NO NO Capacitación brindada por la Empresa de los programas NO SI SI NO Licencias Corporativas SI** NO Calificados como los mejores programas SI*** NO Programas altamente difundidos en nuestro medio SI NO Versión para Windows 95 (aplicaciones 32 bits) SI NO 4 Mbytes 8 Mbytes capacitación en la ciudad en ambiente DOS Existencia previa de usuarios manejadores de los paquetes en la empresa Requerimientos mínimos de memoria RAM * Permite dar soporte directo al usuario mediante su departamento de servicio al cliente en la ciudad de Quito. ** El fabricante proporciona licencias corporativas llamadas MOLP (Microsoft Open Licence Pack) en las cuales dependiendo del número de paquetes que se adquiera existirá un descuento proporcional, y Pág N°17 además brindará la posibilidad de licencias de mantenimiento, es decir que, por un valor mínimo, toda nueva versión que salga en al mercado, será automáticamente actualizada en la empresa, al igual que licencias MOLP de actualización (upgrade). *** Datos obtenidos en la Revista PC Computing, del mes de junio y julio de 1995, mayo y junio de 1996. (anexo # 15) 5. Del uso de los computadores 5.a Según datos del inventario se puede notar que los computadores tienen almacenados una gran cantidad de programas que en la mayoría no tienen ningún uso o utilidad, lo que se puede observar en el anexo #3. En especial se puede observar una gran cantidad de programas que corresponden a juegos, a más de que una parte de ellos vienen preinstalados en los computadores recientemente adquiridos, dando como resultado el ocupar un espacio en el disco duro, limitando los recursos de la máquina. Parte de los programas instalados en los computadores son requeridos parcialmente, con un uso poco frecuente, pero para facilitar el trabajo se mantiene una copia del programa. Otro inconveniente que se presenta en el uso de los computadores, es que se encuentra en una misma máquina varias copias del mismo programa (anexo #13), siendo la mayoría innecesarios o en otros casos se debería tener máximo otra copia de respaldo dentro del disco duro. Lo más crítico se presenta en los programas XXX, XXX y XXX, que son sistemas ubicados en el servidor RS/6000 de la red Netware, y que según su objetivo debía ser un programa centralizado, para el acceso de diferentes estaciones de trabajo, lo que realmente no está sucediendo, porque prácticamente existe una copia en cada disco duro y directorio de los usuarios que utilizan los programas, requiriendo de un gran espacio de disco. Pág N°18 También, un significativo problema se presenta en la existencia de aplicaciones o sistemas de información que no tienen ninguna relación con la empresa (anexo #4), las que pueden generar grandes conflictos con sus autores, ya que en la mayoría son de creación local. Según la revisión ,estos programas no presentan movimientos actuales, aunque si de fechas anteriores, lo que permite deducir que fueron utilizados o que solamente se los copió para un respaldo del usuario, a excepción de otras aplicaciones que han sido desarrolladas por extrabajadores de la Empresa. Otro punto deficiente es que la mayoría de estas aplicaciones se encuentran localizadas en el servidor Netware, por lo que no se puede responsabilizar a la persona que está asignado el equipo, sino que la responsabilidad será del usuario que tenga almacenado en su directorio de la red. 5.b Se solicitó a las unidades principales que han adquirido el software de la Empresa los justificativos del uso y compra del que tienen a su cargo, es así que la Dirección de Distribución, con memorando ... ..., indica en especial de los programas utilizados por el departamento de análisis y registro, pero no de otros departamentos, tales como: paquete de Visual Basic que tiene a cargo el Ing. XXX, Novell Lan Work Place a cargo del Ing. ..., entre otros, según los datos obtenidos en el departamento de inventario, ya que en el memorando de auditoría, se solicitó que se presenten también los otros programas que no se encontraren en la lista enviada, demostrando que la dirección no es conocedora total de los programas adquiridos. También se comprueba que no ha existido un estudio técnico previo para la adquisición de determinados programas, por lo que no tienen la aprobación de la Unidad de Sistemas que debe actuar en el control previo en todo lo que tenga que ver con computación. La dirección también se ha convertido en una unidad para desarrollar aplicaciones, lo que no es el objetivo del área, aunque por circunstancias obligatorias muchas de las áreas se han convertido o se están convirtiendo en lo mismo. La Unidad de Sistemas de Información adquiere software para desarrollar base de Pág N°19 datos, tal como FoxPro para DOS Y Windows, en un total de 15 licencias, mas la licencia de FoxPro 2.0 (que debía ser realizada un upgrade), por lo que se tiene 5 licencias de Visual FoxPro para Windows, 5 licencias de Visual FoxPro Profesional para Windows (paquete para obtener programas ejecutables .EXE), y 6 licencias de FoxPro para DOS. Analizando el número de programadores existentes en la unidad (un total de 7), y suponiendo que todos estén desarrollando aplicaciones para PC en el mismo momento, lo cual no es lógico ni conveniente, por tener gran cantidad de programas bajo el AS/400, y que implicaría que nadie esté utilizando el programa GENEXUS, quedaría sobredimensionado las licencias, a no ser que se distribuyera a otras áreas para que desarrollen, lo cual implicaría muchos aspectos y de lo cual la Unidad de Sistemas no está de acuerdo en realizarlo por ser la unidad encargada de ello. El Visual FoxPro es un paquete que por el mismo hecho de ser actual, implica nuevos fundamentos. Este programa es un software orientado a objetos, lo que implicará que el personal de la USI tendrá que adaptarse a la nueva filosofía del software. Lo que significa que hasta que se inicie el desarrollo de las aplicaciones de la Empresa, lo mas posible es que los programas queden obsoletos y muchos de ellos no serán utilizados. Dentro de la compra de FoxPro para DOS, se debía adquirir, un paquete de FoxPro con Kit de distribución(distribution kit) o FoxPro Profesional para DOS, ya que existen 53 copias usadas de FoxBase y FoxPro, 99 en total, que en la mayoría solo son utilizadas porque la aplicación los requiere, en cambio con este paquete las aplicaciones debían ser transformadas en ejecutables (.EXE), evitando así la necesidad de tantas copias de Fox. Se adquiere por parte de la USI dos paquetes: Corel FLOW y Perfect Office, los cuales se utilizan solamente para evaluación, según la indicación que consta en el memorando USI Ref. N° 193, lo que no es tan lógico ya que se debió cumplir con los paquetes que Pág N°20 realmente se requieren. La Empresa, además, adquiere una licencia y paquete del software Process Charter, que es usado con el mismo fin del programa Corel Flow, encontrando en la empresa 17 copias del mismo, que están instalados en algunos computadores desde Diciembre de 1995. Con respecto a Perfect Office, este paquete incorpora principalmente WordPerfect y QPRO para Windows, lo que ya se estaba adquiriendo en el mismo contrato. Además existen software de evaluación, que proporciona el fabricante para que lo prueben durante cierto tiempo, lo que confirma nuevamente que no existe un enlace directo con el fabricante a través de los proveedores. La adquisición del programa Norton Utilities tiene total fundamento en su adquisición, por la necesidad de un programa con esas características. La empresa cuenta con acceso a Internet (dos licencias), lo que implicaría que la Unidad de Sistemas de Información debe actualizar y mantener relaciones con los fabricantes, sea por su dirección de correo electrónico o su dirección Web (WWW); pero como se pudo notar en la contratación de software, no se refleja este tipo de enlace, ya que en estas direcciones se puede solicitar al fabricante copias de evaluación o realizar una copia de libre uso que proporciona el mismo, para así poder evaluar el funcionamiento (performance) del software. También existen direcciones de revistas informáticas que brindan las noticias de los últimos sucesos en computación. La solicitud inicial de compra de la Unidad de Sistemas de Información para la adquisición del software, estuvo orientada para centralizarse en la red Netware, lo cual no se ha aplicado en ninguna forma. También se adquirió 25 licencias de Norton Antivirus para red, lo cual si se justifica al existir 24 usuarios de la red, aunque en su mayoría no son usuarios continuos y utilizan la red solo para almacenamiento de datos y no de aplicaciones (en total 33 copias de software para estaciones de trabajo Pág N°21 Netware). Cabe anotar que según la investigación realizada por parte de auditoría, se comprobó que la red Netware presenta una velocidad de transferencia bien lenta, al igual que el acceso a la información del servidor, con un tiempo muerto de aproximadamente 5 minutos (tiempo que no realiza ninguna función, es decir paraliza el funcionamiento de la estación de trabajo), lo que la Unidad de Sistemas no ha podido definir técnica y exactamente el problema, lo que produce que la red Netware tenga un mínimo uso. La Empresa tiene dos licencias de Genexus, paquete que tiene como objetivo el agilitar la creación de aplicaciones, reduciendo prácticamente todo el tiempo de programación, ya que se define básicamente el diseño y requerimientos del sistema, y no exige de una programación demorada y compleja. Cabe indicar que el personal de la USI fue capacitado para el uso del mismo, teniendo que desarrollar una aplicación como práctica del curso, lo que realmente no se refleja en su totalidad hasta la fecha. Es así, por ejemplo, que se iba a desarrollar una aplicación de bienes de control, por lo que el personal de la USI solicitó los datos necesarios para su desarrollo al Departamento de Inventarios, pero, en definitiva se tuvo que acudir al desarrollo de tesis para que se lo elabore. También se presenta demoras en las entregas de programas tal como el caso que sucede con Sobretiempos, en el que la USI se comprometió a entregar en un plazo de dos meses partiendo de la entrega del manual de procedimientos, lo que ya se realizo hace más de dos meses por parte de nóminas. En el departamento de Trabajo Social, no se ha dado ningún tipo de inicio de desarrollo de las aplicaciones que esta área requiere. 6. Del control del uso del software y sus licencias Para esta auditoría se intentó recopilar todas las licencias existentes, incluyendo del software preinstalado, de lo que se obtuvo que están localizados en diferentes lugares y Pág N°22 con diferentes usuarios, algunas de estas licencias se encuentran encajonadas, por lo que no se pudo inventariarlas, además según indicación del Sr ..., sería innecesario. En este momento existe una carpeta que almacena las licencias recientemente adquiridas. No hay ningún registro del software preinstalado. Pág N°23 CONCLUSIONES 1. Mediante la información de la tabla #1, y comparando con los resultados del cuadro general, se puede deducir que el inventario realizado por la USI no refleja la realidad de la Empresa. 2. De acuerdo a lo explicado en el texto del informe, se llega a los siguientes aspectos significativos: - Parte del software preinstalado de la impresa es ilegal, en especial de los equipos vendidos por la empresa .... - No existe licencias de actualización a nuevas versiones, en lo que respecta a DOS y WINDOWS. - Las empresas .. y ... Cía Ltda, certifican que todas las máquinas vendidas por ellos incluían software preinstalado. La empresa ... no lo certifica. - No existe un registro general de todas los paquetes y licencias de software original que han sido adquiridos por la Empresa. - No existe una persona que se responsabilize de los manuales, diskettes, CD's y/o licencias que no son entregados al encargado de cada computador. Al igual que no existe responsabilidad de algunos usuarios que tienen estos materiales, así como tampoco han sido registrados por Inventarios. - En caso de existir un proceso legal contra la empresa por el Software ilegal le Pág N°24 tocaría pagar cantidades superiores a los quinientos millones de sucres, sumando a esto las demandas e incautación de computadores. 3. - La asignación de responsabilidades a cada usuario encargado del computador por parte del gerente general es una disposición que prácticamente no se cumple, ni por la propia Unidad de Sistemas de Información. - En caso de que la Unidad de Sistemas de Información se encargara de crear y administrar todas la aplicaciones de la Empresa, que podría crear un gran conflicto con otras áreas, puesto que se han visto obligadas a desarrollar sus propias aplicaciones al no existir un soporte inmediato y rápido para el desarrollo de los sistemas requeridos. 4. - Las empresas ... y .. ., no han entregado parte del software adquirido, y que según los mismos no se los podrá entregar, lo cual se produjo en mayor parte por la falta de un buen soporte técnico, y en menor porcentaje por la falta de relación mas directa por medio de Internet con los fabricantes de los programas a comprarse y la confianza puesta a los proveedores en el cumplimiento de los contratos. - Las multas resultan irrisorias para los vendedores, al ser montos pequeños de entregar y que difícilmente llegan a representar el 5%. - No existe ningún registro de entrega del software por parte del proveedor, y de la recepción del mismo por parte de la unidad, es así que se comprueba en la fecha de entrega por parte de ... (anexo # 10 ), y de la recepción (anexo #7), que indican que Pág N°25 parte de la recepción se lo realizó el 4/04/96(4 de abril), siendo este día jueves santo, por lo que no hubo ese día trabajo y en el registro de guardianía no constan ninguna persona del proveedor o de la persona encargada de la USI para la recepción. - Por parte del fabricante no se entregaron algunos diskettes de WordPerfect para Windows, siendo esto no culpa directa de la empresa ..., por lo que se le había dado más de 120 días para que pueda conseguirlos, lo que no se cumple hasta la fecha. - No ha existido un estudio técnico, previo a la adquisición de software, que fundamente los requerimientos de la Empresa por parte de la Unidad de Sistemas de Información Simplemente las compras se han basado en criterios que no pueden formar parte de un verdadero estudio técnico. - La empresa está comprando software sin ningún control. - La adjudicación del software a los proveedores se basó en especial en los precios y no conjuntamente en el soporte técnico del mismo. 5. - Los recursos de los computadores están sobrecargados con muchos programas instalados que no son utilizados, o usados esporádicamente. Además, el software preinstalado en su mayoría no es utilizado y resulta innecesario tenerlo en el disco duro, donde los usuarios no utilizan sus ventajas o esas ventajas son requeridas en otras áreas de la empresa. - Existe una total desorganización de la información en varios computadores, siendo almacenadores de varias copias de un mismo programa, archivos inservibles, en Pág N°26 especial lo que se presentan almacenados en el computador RS/6000. - La empresa cuenta con herramientas que no están siendo utilizadas para ningún fin específico, mas que el de probarlos, existiendo copias sin costo para su evaluación. - El servidor IBM RS/6000 es usado prácticamente como unidad de almacenamiento, y no como un servidor de aplicaciones, en vista de que no brinda las facilidades, en especial debido a la demora que produce trabajar con este equipo. 6. - El control de las licencias existentes en toda la Empresa es realmente nulo, a excepción de las recientes compras de software por parte de la Unidad de Sistemas de Información que están siendo almacenadas en una carpeta. - Las licencias del software preinstalados no son debidamente administradas, al no existir una unidad que centralize ese manejo. - Es obligación de la Unidad de Sistemas cumplir los términos de compra que regulen el uso de programas adquiridos que vienen expuestos en cada licencia. Pág N°27 RECOMENDACIONES - El Jefe de la Unidad de Sistemas de Información tiene que arbitrar las medidas respectivas con la finalidad de cumplir con los siguientes propósitos: 1. Realizar una revisión completa de todos los computadores de la Empresa ..., para eliminar todos los programas innecesarios y/o no autorizados, la optimización y revisión del estado del disco duro y la creación de una ficha individual por computador para registrar sus características, software y responsable. Además se analizarán las necesidades reales de software y de capacitación de cada usuario y que estén de acorde a las funciones que desempeña. 2. Previo al eliminado de archivos, los usuarios deberán tener pleno conocimiento del proceso a realizarse, para que puedan hacer sus respaldos de datos y procedan ellos mismos a borrarlos. En caso de existir usuarios sin el conocimiento para realizar este proceso, la unidad dará el soporte necesario para la depuración y respaldo de la información. 3. Realizar un análisis profundo y sistemático de los requerimientos para la adquisición de las licencias necesarias, incluyendo las de DOS y Windows. 4. La asignación de responsabilidades deberá ser revisada , para así poder asignar a la persona que realmente maneja el computador. En caso de existir varios usuarios que manejen el mismo computador, se compartirá la responsabilidad entre ellos. En caso de usuarios de la red, cada uno de ellos se hará responsable de su directorio asignado, en cambio el administrador se hará responsable de todos los demás directorios incluyendo los de los usuarios que ya no laboran en la empresa. Pág N°28 5. Todas las aplicaciones deberán ser transformadas en programas ejecutables, incluido las que han sido desarrolladas en Symphony. 6. Posteriormente de la revisión, migración y adquisición del software, se procederá a divulgar y suscribir el "memorando de compromiso" con las "políticas para gerenciar el software" que fuere aprobado por el Directorio de la Compañía o el Gerente General. 7. Todo el personal a su cargo deberá cumplir y hacer cumplir las normas que se enmarcan en las políticas de gerenciar el software 8. Crear un registro de todas las licencias de software, sean estos preinstalados o no. 9. Capacitar a todo el personal que utilice un computador, para que sea conocedor de las políticas de gerencia del software. 10. Responsabilizar y entregar a cada usuario los manuales, diskettes y demás accesorios, a excepción del manual técnico y de configuración, incluido sus diskettes, Además la unidad deberá anotar la entrega en el registro de licencias. 11. Evaluar técnicamente todos los requerimientos de computación de la Empresa, con su respectivo estudio completo, sin que esto implique que otras unidades tengan que dejar de desarrollar sus aplicaciones. La unidad deberá tener conocimiento del desarrollo de programas que se realiza en cualquier área y para que estas aplicaciones se conviertan en ejecutables. 12. En caso de suceder una auditoría externa de software que produjera un proceso legal contra la empresa, durante el proceso de legalización de software, la unidad será la responsable hasta que los usuarios hayan firmado el compromiso de manejo de Pág N°29 programas, lo que se tendrá que realizar de la manera más rápida, metodológica y óptima en bien de la Empresa. 13. Como administradores de los contratos ...-96 y ....-96 y conjuntamente con compras y el departamento legal, deberán tomar las medidas necesarias por incumplimiento para la cancelación de los mismos. No se aceptará como entregado el programa WordPerfect para Windows, aunque sea falla del fabricante y no del proveedor, ya que la empresa ... debía entregarlos en un tiempo aceptable . 14. Crear un registro que certifique la recepción de equipos o software, y que sea aprobado por su persona conjuntamente con el funcionario encargado. 15. Se deberá crear ordenes de trabajo y un registro para anotar las tareas que están desempeñando el personal de la USI, dentro de la área o fuera de ella, lo cual implicará cumplir los tiempos determinados en las órdenes. 16. Se llevará un registro de todas las aplicaciones de la empresa, en especial de las desarrolladas por la USI, en las que se incluirán los tiempos de desarrollo, responsable, área, departamento, herramientas a usar o usadas (software de desarrollo) y toda la documentación relacionada con la aplicación. 17. El uso del Internet deberá dar soporte a todas las unidades que lo requieran, para lo cual se debe dar conocimiento que se cuenta con ese acceso. Además se registrará los ingresos realizados, la persona que ingreso, el objetivo y resultados del mismo. , todo lo que constará en el reporte mensual de uso del Internet para poder revisar tiempos de acceso, lugares ingresados y desde donde se ingreso. 18. La unidad deberá habilitar el control telefónico mediante la conexión del computador, Pág N°30 el cual está detenido durante mucho tiempo, y que se utilizará también para el control de acceso a Internet. 19. Realizar un estudio para optimizar el rendimiento del servidor RS/6000 y la razón de los tiempos muertos que tiene la Red Netware.. 20. Las aplicaciones que se requiera esporádicamente por los usuarios, deberán ser localizadas en el servidor, para que sean asignadas temporalmente al usuario que los requiera y se tenga el mínimo número de licencias. El administrador se encargará que accedan a los programas dependiendo del número de licencias y que sean revocadas en caso de no ser utilizadas. 21. El desarrollo de tesis relacionados con computación deberán ser manejados por su unidad, conjuntamente con la unidad que lo requiera. 22. Capacitar al personal para el manejo de Windows, al igual que los principales programas que funcionan en este ambiente. 23. Crear un plan de sistemas de información para todas las aplicaciones que requieren ser migrados o ser desarrollados que indique el tiempo referencial a utilizarse, el responsable, entre otras. - El jefe de la Dirección de Distribución tiene que arbitrar las medidas respectivas con la finalidad de cumplir con los siguientes propósitos: 1. Convertir sus aplicaciones desarrolladas por su unidad en ejecutables. Pág N°31 2. Depurar sus aplicaciones, principalmente: XXX, XXX, XXX, que se encuentran distribuidos en diferentes computadores, y que deberían estar centralizados en el servidor, además dentro de este servidor se deberá manejar un programa principal y un respaldo, para así no tener un gran número de copias y un desperdicio de espacio. - El Asesor Jurídico tiene que arbitrar las medidas respectivas con la finalidad de cumplir con los siguientes propósitos: 1. Revisar la responsabilidad que se asigna la empresa ... en su oficio enviado, para la certificación de haber enviado todos los computadores con software preinstalado, y poder tener un fundamento en caso de una auditoría externa y asignar a los proveedores como responsables del software que vino preinstalado. (anexo # 10). 2. Tomar todas las medidas legales para la culminación por incumplimiento de los contratos ...-96 y ...-96. - El jefe de la Dirección de Finanzas tiene que arbitrar las medidas respectivas con la finalidad de cumplir con los siguientes propósitos: 1. Toda adquisición referente a computación, exceptuando compras de costo menor, deberán estar adjuntadas con el informe de estudio técnico-económico de la Unidad de Sistemas de Información, es decir como requisito de aceptación de la solicitud para la compra. 2. Registrar y comprobar todos los manuales, diskettes y accesorios que vienen en cada computador, sea quien fuere la persona que se quede con ellos. Pág N°32 3. Realizar una nueva selección de proveedores mediante un llamamiento público a las empresas vendedoras de computadores y de software para que presenten toda la documentación que sustente y que cumpla con los requerimientos de la Empresa. Conjuntamente con la Unidad de Sistemas de Información se crearán las bases necesarias para que califiquen como Proveedores. Según el número de seleccionados dependerá posteriormente la cantidad de proformas a solicitarse. Pág N°33
