Defensa ante auditorías de proveedores de software: Microsoft, Oracle, Adobe
Cuando llega la carta de auditoría, tienes 30–60 días para reunir los entregables. Bien hecho, la auditoría cierra de forma neutra o a tu favor. Mal hecho, firmas un ajuste de seis cifras. Este es el manual defendible para cada proveedor principal.
Microsoft, Oracle, IBM, Adobe, SAP y Autodesk ejecutan programas formales de auditoría de licencias. El derecho de auditoría está en tu contrato maestro; negarse realmente no es una opción. Lo que sí es opcional es si llegas preparado o improvisas.
La estructura de la auditoría es consistente entre proveedores: escaneo de descubrimiento, revisión de derechos de licencia, cálculo de brechas, oferta de ajuste. El truco es saber qué busca cada proveedor y dónde están las líneas negociables.
El manual general de defensa (cualquier proveedor)
- Acusar recibo por escrito, pero sin comprometerse todavía con un calendario. Texto estándar: "Acusamos recibo y responderemos en 10 días laborables con un calendario propuesto."
- Involucrar a legal y compras. Las auditorías se rigen por el contrato maestro; la mayoría tienen cláusulas de aviso, alcance y razonabilidad. Léelas.
- Formar un pequeño equipo de auditoría: un responsable de TI, uno de finanzas, uno de legal. Punto de contacto único con el proveedor.
- Ejecutar tu propio descubrimiento primero. Antes de dejar que el proveedor escanee, sabe qué encontrará. Reconcilia con los derechos. Identifica brechas y prepara la explicación.
- Limitar el alcance. La cláusula de auditoría rara vez es tan amplia como la primera solicitud del proveedor. Negocia tamaños de muestra, períodos de tiempo y qué entidades están en alcance.
- Proporciona lo que se requiere, no más. No ofrezcas datos voluntariamente. No concedas acceso más allá del alcance contractual.
- Cuestiona los hallazgos. El resultado bruto del descubrimiento no es el número final. Aplica derechos contractuales, cláusulas de uso justo, reducciones de versión y evidencia de desmantelamiento.
- Negocia el ajuste. Incluso un déficit confirmado rara vez se paga a precio de catálogo. Descuentos del 30–60% sobre el ajuste declarado en la auditoría son normales si tienes apalancamiento.
Microsoft (auditorías SAM / SPLA / EA)
Las auditorías de Microsoft se ejecutan mediante terceros certificados (Deloitte, KPMG, EY) bajo el programa SAM (Software Asset Management). Se centran en:
- Licenciamiento de servidores — Windows Server, SQL Server, especialmente errores de conteo en licenciamiento basado en núcleos.
- Licenciamiento de usuarios de Office 365 / Microsoft 365 — puestos asignados versus consumidos.
- Escenarios de VDI / RDS donde los usuarios acceden al software de escritorio de forma remota.
- Uso incorrecto de SQL Server Enterprise versus Standard (funcionalidades Enterprise usadas con licencias Standard).
Dónde suelen estar las brechas
- Hyperthreading y virtualización: el licenciamiento por núcleo requiere contar núcleos, no VMs. Malentender esto genera ~40% de los hallazgos de Microsoft.
- Funcionalidades de SQL Server: funcionalidades como Always On, In-Memory OLTP requieren Enterprise; usarlas con Standard es el segundo hallazgo más común.
- Sobreasignación en O365: usuarios desactivados que siguen consumiendo licencias.
La palanca de defensa
Microsoft ofrece "License Mobility" y derechos de reducción de versión. Un hallazgo que dice que estás usando funcionalidades Enterprise a veces puede remediarse actualizando-y-luego-reduciendo, o reasignando licencias en el parque. Verifica siempre si tienes licencias Enterprise sin usar en otro lugar antes de acordar comprar nuevas.
Oracle (auditoría LMS)
Las auditorías de License Management Services (LMS) de Oracle son las más agresivas del sector. Se centran en:
- Base de datos — uso de funcionalidades de Standard Edition versus Enterprise Edition.
- Java SE — sí, Java está ahora licenciado; asume escrutinio.
- WebLogic, Middleware — paquetes basados en funcionalidades.
- Virtualización — VMware en particular. La posición de Oracle: todo el clúster vSphere debe estar licenciado a menos que esté físicamente particionado. Esto es controvertido pero caro de disputar.
Dónde suelen estar las brechas
- Funcionalidades Enterprise Edition en Standard: particionamiento, seguridad avanzada, clusters de aplicaciones reales.
- Java SE: cualquier instalación de Oracle JDK posterior a enero de 2019 probablemente necesita una suscripción.
- Recuentos de hosts VMware: la disputa es si cualquier host que podría ejecutar una VM de Oracle necesita estar licenciado.
La palanca de defensa
Los hallazgos de Oracle frecuentemente incluyen posiciones en disputa (especialmente en virtualización). Documenta la partición dura, los clústeres con vMotion deshabilitado y cualquier carve-out contractual que hayas negociado. Si no tienes cobertura ULA (Unlimited License Agreement), el momento de negociar uno podría ser durante la auditoría — Oracle intercambiará hallazgos de auditoría por una ULA plurianual en muchos casos.
La trampa de Java
Oracle Java SE pasó a ser de suscripción en 2019. Muchas empresas siguieron usando Oracle JDK sin darse cuenta. Si tu parque de desarrollo ejecuta Oracle JDK (en lugar de OpenJDK o Adoptium), tienes una exposición real. Cambia a OpenJDK antes de la auditoría, no durante.
Adobe
Las auditorías de Adobe se centran en Creative Cloud y Acrobat. Se enfocan en:
- Asignación de usuarios versus instalación — Adobe vende por usuario; no se puede instalar en más dispositivos de los que permite la licencia.
- Usuarios concurrentes en puestos de trabajo compartidos.
- Licenciamiento educativo versus comercial para organizaciones que compraron educativo pero usan comercialmente.
La palanca de defensa
Adobe responde muy bien a "renovaremos con un nivel más alto". Los hallazgos de auditoría frecuentemente se integran en una renovación a términos favorables.
IBM, SAP, Autodesk — notas rápidas
| Proveedor | En qué se fijan |
|---|---|
| IBM | Licenciamiento PVU (Processor Value Unit) en middleware. El licenciamiento de sub-capacidad requiere que ILMT (IBM License Metric Tool) lleve ejecutándose más de 90 días antes de la auditoría. |
| SAP | Acceso indirecto / digital — sistemas de terceros que llaman a SAP. El famoso caso "Diageo" (ajuste de £55M) procede de esto. Documenta cuidadosamente el acceso a la API. |
| Autodesk | Concurrente versus usuario nominal. Las investigaciones de piratería de software a veces se desencadenan por denuncias de revendedores. |
Higiene previa a la auditoría que previene el 80% de los hallazgos
- Registro de derechos de licencia por proveedor: contratos cargados, recuentos de derechos extraídos, fechas vigentes hasta.
- Datos de descubrimiento actualizados mensualmente: quién tiene qué instalado, dónde, desde cuándo.
- Informe de reconciliación: derechos versus consumo, brechas resaltadas con explicaciones.
- Evidencia de desmantelamiento: cuando eliminas un despliegue, documéntalo. Los proveedores contarán todo lo que puedan probar que estuvo desplegado.
- Cláusulas contractuales extraídas: períodos de preaviso, límites de frecuencia de auditoría, límites de alcance.
Si puedes producir todo lo anterior bajo demanda, una auditoría se convierte en papeleo. Sin ello, se convierte en una negociación que empieza desde los cálculos del peor caso del proveedor.
Cómo ayuda InventorIA
InventorIA rastrea los derechos de licencia frente al uso real de forma continua, no solo en el momento de la auditoría. Las integraciones de Microsoft 365 / Adobe / Oracle / Salesforce alimentan el consumo de puestos automáticamente; el análisis de contratos extrae los recuentos de derechos de los PDFs. El resultado: cuando llega la carta de auditoría, la reconciliación ya está hecha — respondes desde los datos, no desde el pánico.
Estar listo para la auditoría antes de que llegue la carta
Seguimiento continuo de derechos versus consumo. El nivel gratuito cubre 10 usuarios.
Empezar gratis →