Riesgo de uso indirecto - Mejores prácticas

La incertidumbre se ha apoderado de la comunidad SAP mundial desde que se aceptó la solicitud de compensación de SAP en el litigio por uso indirecto.

En pocas horas, la noticia se extendió por todo el mundo y los clientes de SAP buscan cada vez más el asesoramiento de los pocos expertos conocidos. Qué significa esta sentencia para los clientes de SAP?

En primer lugar, me gustaría señalar que el uso indirecto no es una cuestión exclusiva de SAP. Hay muchos fabricantes que reclaman indemnizaciones por las situaciones correspondientes.

Pero, ¿cómo afrontar este problema y prepararse o protegerse en consecuencia?

Las ayudas técnicas y los "procedimientos estándar" ofrecidos por los distintos fabricantes de herramientas deben cuestionarse críticamente. Sin embargo, hay algunos enfoques que deben considerarse fundamentalmente en cualquier caso.

Por ejemplo, no sirve de nada hacer un seguimiento de las conexiones puramente RFC y cotejarlas con las listas negras en circulación.

Por ejemplo, según la sentencia actual, ¿se puede afirmar ahora de forma generalizada que una aplicación de Salesforce causa un uso indirecto en todos los casos? Por supuesto, pero la verdadera pregunta es: ¿se trata de un uso sujeto a licencia? Y esto es mucho más difícil de responder.

Si sólo se miran los puntos finales de la comunicación, se está facilitando un poco la vida a los expertos. Es mucho más importante evaluar holísticamente los escenarios de uso existentes.

• ¿Se intercambian datos entre sistemas en tiempo real o se hace con frecuencia?
• ¿El intercambio es por interacción humana o por usuario técnico?
• ¿La comunicación es unidireccional o bidireccional?
• ¿Los registros se intercambian mediante una consulta específica a la base de datos o de forma masiva?
• ¿O hay incluso una especie de cola de mensajes colgada entre los sistemas a modo de estación de recogida?

Por supuesto, hay una multitud de otras notas que deben tenerse en cuenta, y los derechos de uso en los sistemas de destino o los permisos en el entorno de Active Directory también pueden desempeñar un papel adicional.

Un posible enfoque del problema existente podría ser, por ejemplo, el siguiente: Para empezar, puede realizarse un rastreo de las conexiones RFC para identificar posibles aplicaciones de terceros. Sin embargo, es igualmente importante recopilar información sobre las aplicaciones que se comunican a través de interfaces IDoc, conexiones IPsec, HTTP, CHC, SNA, TCP/IP, OSS u otras vías.

Una vez identificados los sistemas potencialmente afectados por el uso indirecto, deben clasificarse y priorizarse de forma significativa en función del nivel de riesgo monetario previsto.

El siguiente paso es recopilar información detallada sobre los sistemas prioritarios y sus usuarios SAP asociados y esbozar los diagramas de infraestructura como punto de partida para una evaluación precisa.

También debe identificarse el uso de aplicaciones externas. Para ello puede ser necesario comprobar las administraciones de autorización y acceso ajenas a SAP.

Posteriormente, todos los escenarios identificados se valoran individualmente y se evalúa si las medidas técnicas pueden minimizar o incluso eliminar el riesgo.

Una vez identificada la opción de licencia más rentable (o la solución técnica para evitar riesgos), los escenarios existentes se combinan con sensatez en casos de uso globales, de modo que no sea necesario adquirir derechos de uso para el mismo usuario más de una vez.

Para aquellos usuarios que realmente conlleven la correspondiente compra de licencia, el último paso debería ser evaluar en detalle qué funcionalidades se utilizan indirectamente dentro del entorno SAP.

Una comparación con la lista de precios y condiciones correspondiente permite determinar la variante o variantes de cobertura más rentables y conduce a la tan esperada transparencia y a una minimización sostenible del riesgo.