Cómo es realmente una Auditoría de GLAS de Oracle (LMS)

Ago 14, 2023 | Auditorías de software

Oracle se reserva en sus contratos la facultad de verificar si el uso que el cliente hace de sus productos se enmarca dentro de los límites de la licencia: esto lo hacen a través de un departamento propio (o en ocasiones, como veremos, a través de terceros) y es lo que se conoce como una Auditoría de GLAS de Oracle (LMS).

Si se usan productos Oracle, seas una gran empresa o no, Oracle terminará notificando inexorablemente una auditoría: Es absolutamente normal y el hecho de recibir el anuncio de auditoría no significa ni que se esté haciendo algo mal ni que Oracle tenga conocimiento de algún incumplimiento.

No obstante, una auditoría de  GLAS de Oracle puede representar un riesgo financiero desmesuradamente alto para nuestra empresa si no se toman las riendas del proceso y se controla: aquí también el conocimiento es poder.

En este artículo, exploraremos en profundidad cómo es una auditoría de GLAS de Oracle (LMS) para que no pueda tomar a nadie por sorpresa.

¿Qué es Oracle Global License Audit Services (GLAS)?

En 2019, y debido a la fama que se había granjeado a lo largo de los años, Oracle decidió dar una vuelta de tuerca a su departamento encargado de auditorías (hasta ese momento llamado License Management Services o LMS)  y llevar a cabo una operación de re-branding:

  • Se creó un nuevo departamento llamado Global Licensing Audit Services (GLAS)
  • Dentro de GLAS se situó License Management Services (LMS) que comprendía:
    • El equipo encargado de llevar a cabo las auditorías para verificar que el despliegue o uso del software cumple con lo establecido en las licencias
    • El equipo responsable del análisis técnico y contractual (que se encuentra en Rumanía)
    • El equipo encargado del programa Joint Partner Engagement (JPE) por el que partners autorizados por Oracle llevan a cabo auditorías de licencias sin percibir compensación alguna por ello salvo cuando descubran algún tipo de irregularidad en cuyo caso venden los productos para cerrar la auditoría (no necesariamente para corregir adecuadamente la supuesta irregularidad detectada).
  • Dentro de GLAS también encontramos divisiones como Subscription & Usage Management (SUM) y Software Investment Advisory (SIA) que si bien tienen encomendadas funciones que podríamos situar más en el campo de la preventa, no debemos olvidar en qué departamento trabajan (de hecho varios ex auditores de LMS están actualmente en SIA) y cuáles son sus intereses.
  • Esto no obstante, hay que enfatizar que si bien GLAS es orgánicamente independiente de la parte de ventas, esto no quiere decir que no trabajen mano a mano junto a ventas (cosa que evidentemente hacen a pesar de querer enfatizar su independencia).

Pasos de una Auditoría de GLAS de Oracle (LMS)

Notificación

La notificación es un elemento que ya tiene relevancia contractual. En la primera frase de la cláusula de auditoría del Oracle Master Agreement (OMA), puede leerse: “Previa advertencia por escrito con 45 días de antelación, Oracle podrá auditar su uso de los programas”.

La notificación es el pistoletazo de salida para empezar los preparativos para afrontar con garantías la auditoría, si bien se deben destacar dos puntos:

  • El contrato atribuye a Oracle simplemente la facultad de poder auditar el uso de los programas después de los 45 días desde la notificación: es una posibilidad y no una obligación.
  • En el contrato no aparece contemplado qué se considera “auditar su uso de los programas” o qué acción concreta puede considerarse como tal: esta indefinición se tiene que aprovechar en favor del cliente para que Oracle no pueda alegar incumplimiento contractual alguno.

En este artículo de detalla cómo reaccionar frente a la notificación de una carta de auditoría de Oracle.

Kick Off

Oracle siempre propone la celebración de una reunión de kick off para definir objetivos, fechas de entrega de datos y obtener información relevante para la determinación de la situación del licenciamiento (ej. configuración de la arquitectura). Algunos de los elementos formales que forma parte de este paso son:

  • Explicación de fases

  • Determinación del alcance de la auditoría:

    • Productos incluidos (ej. Database, Options, Packs, Productos de Middleware, etc.)
    • Entidades/Localización (ej. Despliegue de productos para su uso en una determinada localización geográfica (ej. España) y subsidiarias o afiliadas que aprovechen las licencias de la entidad auditada)
    • Entornos: Todos los entornos físicos y virtuales donde los productos Oracle estén instalados y/o en funcionamiento (ej. Producción, No producción, Testing, Desarrollo, Q/A, DR, etc.). Para tener más información sobre licenciamiento Oracle en entornos de Disaster Recovery (DR), descargue nuestro White Paper.
  • Timing:

    • Se fija un calendario de actividades enumerando tareas (ej. Acceso al GLAS Web Portal, entrega del OSW o carga de resultados de los scripts al Portal), responsable (LMS o cliente) y fecha.

Investigación

El objetivo aquí es la obtención por parte de Oracle de una comprensión del entorno IT del cliente mediante el análisis de los datos que le proporcione sobre su configuración de hardware y software. En este paso se incluye:

  • Recopilación de la información del entorno IT del cliente:

    • Acceso al GLAS Web Portal donde se debe responder a las preguntas del cuestionario.
    • En el GLAS Web Portal el cliente se descarga el fichero Excel llamado Oracle Server Worksheet (OSW) donde el cliente detalla información de los servidores físicos y virtuales donde se usan los productos Oracle. Asimismo, se solicita información adicional que tiene impacto en licenciamiento como el detalle de la tecnología de virtualización utilizada que, a su vez, puede llevar a tener que licenciar por ejemplo hosts en los que Oracle no se utilice debido a la aplicación de las políticas de soft partitioning.
    • En el GLAS Web Portal el cliente también se descarga el script Collection Tool que debe ejecutar:
      • En cada servidor físico a nivel de sistema operativo donde el software de Oracle está instalado para recoger datos relativos a la configuración del hardware y al uso (tanto presente como pasado) de los programas.
      • En cada servidor de aplicaciones para recabar información sobre la instalación y uso de los productos.
      • En caso de entornos virtualizados, se puede solicitar información adicional como pantallazos o la ejecución de comandos o scripts. Por ejemplo, en el caso de VMware, se pide que se ejecute el VMware Inventory Extract en cada vCenter donde esté instalado el software de Oracle para obtener información de hardware de cada host ESXi que forme parte del vCenter.
      • En caso de entornos cloud (ej. AWS, Azure), se solicitan pantallazos adicionales.
    • Una vez obtenida, el cliente sube toda la información de nuevo al GLAS Web Portal.
  • Preguntas de seguimiento:

    • Para asegurar una buena comprensión de la configuración de los entornos y de la situación del despliegue y uso de las licencias
  • Análisis y validación de datos recibidos:

    • Se revisa la información recopilada para determinar si el cliente está cumpliendo con los términos de la licencia y se verifican otros aspectos importantes como los acuerdos de soporte y mantenimiento y si el cliente está usando versiones del producto a las que tenga derecho.

Reporting

Oracle envía al cliente un fichero de resultados preliminares y un plazo para hacer las alegaciones que considere oportunas. Una vez resueltas éstas o si no plantea ninguna, una vez concluido el plazo, Oracle envía el informe final con sus conclusiones sobre la situación del licenciamiento y los detalles del despliegue de productos Oracle.

Solución

Si durante la auditoría se han detectado problemas de cumplimiento, su notificación por escrito también tiene relevancia contractual. La cláusula contractual de auditoría dispone que “Vd. acuerda satisfacer en un plazo de 30 días a contar de la notificación por escrito cualesquiera tarifas aplicables a su utilización de los programas en exceso de los derechos concedidos bajo la licencia adquirida”.

En la práctica lo habitual es que en este punto GLAS LMS de Oracle emplace directamente al cliente a que a través de su comercial negocie la adquisición de productos que permita el cierre de la auditoría y, que en muchas ocasiones no resuelve el problema de cumplimiento supuestamente detectado.

Conclusión

Una auditoría de GLAS de Oracle, además de representar un riesgo potencial que forzosamente debe tomarse en cuenta, puede ser un proceso especialmente disruptivo y generador de presión interna.

Contar con el conocimiento necesario, datos confiables y la suficiente experiencia es clave para poder afrontar una auditoría de Oracle con garantías de éxito y sin tener que dejar de trabajar para nuestros clientes por su carácter disruptivo.

En Evergreen Compliance, contamos con antiguos auditores de Oracle y llevamos años trabajando años con nuestros clientes aportando previsibilidad y certezas en procesos de auditoría de GLAS LMS: sabemos qué buscan, cómo lo buscan, dónde y para qué.

¡El conocimiento es poder!

Contacta hoy mismo con uno de nuestros expertos. Sabemos cómo podemos ayudarte.

También te puede interesar:

Oracle Enterprise Edition Options Licensing

Oracle Enterprise Edition Options Licensing

En este artículo, exploraremos el Oracle Enterprise Edition Options Licensing, proporcionando información relevante para que las empresas puedan evitar exposiciones financieras y legales innecesarias derivadas de escenarios de incumplimiento. Instalación por defecto...