Qué es una auditoría de licencias Oracle y cómo defenderse ante ella

Ene 4, 2022 | Auditorías de software

¿Está inmerso en un proceso de auditoría de licencias Oracle o prevé que puede estarlo próximamente? ¿Conoce en qué se fundamentan las auditorías de software impulsadas por este fabricante y cuáles son los mecanismos idóneos para defenderse ante ellas?

Como expertos en la gestión de cualquier auditoría de licencias Oracle, desde Evergreen Compliance queremos exponer los principales fundamentos en torno a esta práctica. Nuestro objetivo consiste en que pueda abordar con solvencia cualquier actuación que promueva Oracle en relación a la revisión del licenciamiento.

No dude en trasladarnos cualquier cuestión en este ámbito, que será tratada de manera totalmente confidencial. Podemos colaborar, según su conveniencia, en cualquier fase en la que se encuentre de una auditoría.

auditoria de la licencia oracle

En qué se basa una auditoría de licencias Oracle

Desde un punto de vista formal una auditoría de licencias de Oracle (Oracle Audit), no es más que la facultad que este fabricante se reserva en los contratos para verificar que el uso del software que lleva a cabo cada cliente se hace conforme a los términos de licencia.

En concreto, para los productos de Oracle dicha facultad se articula en el OLSA (Oracle License and Services Agreement) o el OMA (Oracle Master Agreement), donde se incluye este apartado:

Previa advertencia por escrito con 45 días de antelación, Oracle podrá auditar su uso de los programas. Vd. acuerda cooperar con la auditoria de Oracle y facilitar una asistencia razonable así como acceso a información.

Vd. acuerda satisfacer en un plazo de 30 días a contar de la notificación por escrito cualesquiera tarifas aplicables a su utilización de los programas en exceso de los derechos concedidos bajo la licencia adquirida.

Si Vd. no atendiera dicho pago, Oracle podrá resolver su soporte técnico, licencias y/o este acuerdo. Vd. conviene en que la auditoría Oracle que se realice, no será responsable de cualesquiera costes incurridos por Vd. al cooperar en la auditoría.

En esta cláusula se regula el marco en el que debe desenvolverse cada auditoría Oracle, no existiendo por defecto más condicionantes que deban ser tenidos en cuenta desde la perspectiva de la administración de licencias de software. De este modo, deben destacarse los siguientes factores:

  • La única obligación que recae del todo sobre Oracle es advertir por escrito al Cliente con 45 días de antelación sobre su intención de auditar si el uso de los productos es conforme a los términos de licencia de software.
  • Por el contrario, las obligaciones del Cliente son más variadas y se basan en:
    • Cuando haya sido advertido por escrito con 45 días de antelación, y siempre que Oracle decida ejercitar su facultad de auditar, el Cliente deberá cooperar con la auditoría de software, facilitando una asistencia razonable y acceso a la información.
    • En el caso en el que se notifique por escrito un exceso en la utilización de cualquier tipo de licencia de Oracle con respecto a los derechos concedidos bajo el propio acuerdo de licencia, el Cliente deberá satisfacer las tarifas aplicables al uso en exceso en un plazo de 30 días.

Así pues, no es difícil advertir que el clausulado omite algunos puntos relevantes como los siguientes:

✧ La duración de la auditoría de licencias Oracle, ya que solo se habla de un preaviso de 45 días y de un plazo de 30 días para la ya mencionada regularización. En este sentido, ¿es lícito que se impongan unilateralmente al Cliente plazos no contemplados en el contrato?

✧ La determinación de qué constituye una asistencia razonable por parte del Cliente y qué información debe ser accedida. ¿Debe el Cliente facilitar información ajena a los productos software Oracle cuyo análisis va a ser el objeto de la revisión, más aún sin realizarse un cifrado de datos?

✧ Desde la perspectiva de la metodología sobre cómo hacer una auditoría de software, si existen para el Cliente formas menos agresivas y más convenientes de recabar la información, ¿debe plegarse inevitablemente a ejecutar los scripts y aplicaciones para Oracle que le sean remitidos, al margen de cualquier programa SAM que pudiera estar implementado?

✧ En cuanto a la modalidad para cada proceso de auditoría de software instalado, ¿debe el Cliente facilitar una revisión en modo presencial para la totalidad del inventario de licencias de software si Oracle así lo requiere?

✧ En relación a la posibilidad de que un tercero se encargue de la auditoría de Oracle, ¿es necesario dejarse auditar por un JPE Partner que preste servicios de auditoría a la propia Oracle (como Seven Eighths o Connor) cuando el contrato, al contrario de lo que sucede con otros fabricantes que puedan formar parte del inventario de licencias y activos de TI, no menciona esta opción?

✧ Cuando se hubieran instalado productos Oracle, ya sea individualmente o como parte de una suite más amplia, sin que hayan sido utilizados desde el momento de la instalación, ¿cómo se establecen las tarifas a aplicar?

✧ Incluso si existe un uso temporal accidental pasado, ¿cómo se determina el coste aplicable cuando la auditoría de licencias Oracle no pueda fijar la extensión de su uso? ¿Qué sucede si las trazas existentes corresponden al clonado de un sistema para, por ejemplo, la creación de base de datos?

auditoria de la licencia oracle

Aspectos a tener en cuenta en el desarrollo de una auditoría

Desde un punto de vista práctico, nuestro equipo suele encontrarse con las siguientes situaciones:

  • Que organizaciones vinculadas a ventas en el seno de Oracle, y por tanto diferentes de LMS (License Management Services), intenten llevar a cabo revisiones disfrazadas de una auditoría de software, pero que en ningún caso pueden tener la consideración contractual de estas últimas.

Así, según su propio sitio web, Oracle LMS es el único grupo dentro del fabricante que tiene la autorización y el soporte de Oracle para revisar la situación de cumplimiento.

De esta manera, se identifica claramente a LMS como el área de negocio que está en disposición de ofrecer información en torno a cómo optimizar la administración de activos de software y el control de licencias para cumplir las condiciones de licenciamiento de cada producto.

  • Que Oracle, o el correspondiente JPE Partner (a pesar de que su intervención no está expresamente prevista en el OLSA/OMA), no suela respetar el plazo de 45 días de preaviso que se establece en el contrato.

Asimismo, es frecuente tratar de imponer al Cliente una serie de plazos y obligaciones que carecen de respaldo contractual, o el establecimiento de manera unilateral de la necesidad de ejecutar una serie de scripts o, por ejemplo, herramientas para la auditoría de base de datos, sin tener en consideración que los contratos no prevén metodología alguna.

En este ámbito, y prosiguiendo con el ejemplo de productos de Oracle Database (9i, 10g, 11g, 12c, 19c), se insta a que el Cliente:

➨ Rellene un cuestionario en el Portal de Oracle LMS, al margen de cualquier información en formato Microsoft Excel, en el que se plantean preguntas que pueden exceder el alcance de la auditoría y que llegan incluso a involucrar información relativa al despliegue de productos de otros fabricantes.

➨ Proporcione pantallazos en el caso de estar utilizando ciertas tecnologías de virtualización, cuando es el caso, incluyendo datos sobre alguna posible Máquina Virtual Oracle o licencia VMware asociada a escenarios de virtualización Oracle.

➨ Ejecute scripts (CPU Query, Review Lite, etc.) encaminados fundamentalmente a determinar la instalación y uso de las distintas opciones y management packs de cada instancia de Oracle, así como el número de cores.

➨ Responda a distintas cuestiones que el equipo auditor suele plantear de manera parcial, como proceder al envío de un esquema de arquitectura, identificar cifras de usuarios y la forma en la que se accede a las bases de datos, trasladar detalles de los diversos entornos o señalar posibles montajes de Disaster Recovery.

Una vez facilitada toda la información, el Cliente recibe un informe preliminar y se le advierte, de nuevo sin respaldo contractual alguno, de que tiene un determinado plazo para emitir las alegaciones que considere oportunas antes de notificar el informe final y dar el programa de auditoría de software Oracle por concluido.

Ciertamente, se sigue una dinámica similar para otras familias de productos diferentes a Oracle DB (Database), ya tengan licencia perpetua o estén vinculados a otros servicios de Oracle (p. ej. Cloud), como puede ser Business Intelligence (BI), las herramientas ETL o el resto de Middleware y otros activos de software de Oracle: Oracle Service Bus (OSB), Oracle BPM, etc.

auditoria de la licencia oracle

Principales claves para entender el devenir de una auditoría Oracle

Desde un punto de vista estratégico, en más de una ocasión, Oracle ha cedido a la tentación de convertir su facultad de auditar el uso de sus productos en una mera acción comercial agresiva, valiéndose de sus políticas de licenciamiento de software.

De hecho, es una práctica habitual que Oracle utilice esta técnica para introducir nuevos productos en los clientes, aunque no tengan relación a priori con los posibles déficits detectados durante una auditoría de licencias Oracle.

También es conocido que las áreas comerciales pueden valerse de LMS como una herramienta de presión para generar ciertas necesidades en clientes que han sido objeto de una auditoría de Oracle.

En este contexto, estamos asistiendo al hecho de que los comerciales propongan a los clientes la adquisición de soluciones Cloud como elemento facilitador en la resolución de problemas de cumplimiento detectados con ocasión de una auditoría de licencias Oracle, aun siendo totalmente ajenas a las tecnologías que hubieran sido auditadas.

Estas acciones se presentan en ocasiones como una auditoría de sistemas, una auditoría de sistemas de información, una auditoría informática o una evaluación de software. No obstante, el concepto de auditoría de software no guarda habitualmente relación con la mejora de los procesos Oracle o la optimización del rendimiento de un determinado sistema Oracle de una organización.

Cómo afrontar una auditoría de licencias Oracle

Con frecuencia, una auditoría se puede convertir en un proceso traumático, que consumirá inevitablemente gran cantidad de tiempo y recursos encargados de la administración del software de la organización.

Por lo tanto, es recomendable apoyarse en una empresa especializada en auditorías y licenciamiento de Oracle, que al mismo tiempo sea completamente independiente de este fabricante. Resulta igualmente aconsejable que esta empresa pueda realizar un análisis técnico del despliegue empleando la misma metodología que el fabricante.

En este terreno, puede ponerse en contacto con total confidencialidad con el equipo de Evergreen Compliance, en cualquier fase de una auditoría de licencias Oracle en la que pueda encontrarse, ya sea en una situación avanzada o si acaba de recibir la carta de inicio de la revisión.

También te puede interesar:

Oracle Enterprise Edition Options Licensing

Oracle Enterprise Edition Options Licensing

En este artículo, exploraremos el Oracle Enterprise Edition Options Licensing, proporcionando información relevante para que las empresas puedan evitar exposiciones financieras y legales innecesarias derivadas de escenarios de incumplimiento. Instalación por defecto...