Interfejsy mają kluczowe znaczenie dla procesów biznesowych, ponieważ obsługują wymianę informacji w ramach struktury systemów oraz z zewnętrznymi partnerami komunikacyjnymi. Aktualna i kompletna dokumentacja dotycząca interfejsów stanowi niezbędny fundament do ich monitorowania oraz planowania i wdrażania zmian struktury, np. w kontekście projektów transformacji technicznej i biznesowej. Ponadto, nieudokumentowane i nieaktualne interfejsy mogą stanowić zagrożenie dla bezpieczeństwa; przestarzałe i niekompatybilne interfejsy mogą powodować znaczne zakłócenia w działalności gospodarczej.

Znajomość środowiska interfejsów nabrała znaczenia po niedawnym wydaniu postanowienia przez brytyjski Wysoki Trybunał w sprawie z powództwa SAP UK Limited przeciwko Diageo Great Britain Limited. Spółka SAP domagała się ponad 54 milionów funtów z tytułu dodatkowych opłat licencyjnych i serwisowych za użytkowników firmy Diageo uzyskujących dostęp do oprogramowania SAP za pośrednictwem aplikacji połączonych za pomocą interfejsów. Sąd zgodził się z argumentacją spółki SAP, że pośredni dostęp uprawniał ją do pobierania dodatkowych opłat. Ich dokładna wysokość ma zostać ustalona na podstawie korporacyjnych warunków licencyjnych spółki Diageo lub cennika SAP.

SAP UK przeciwko Diageo – historia

Diageo jest światowym liderem w branży napojów alkoholowych. Spółka zatrudnia ponad 32 000 pracowników na całym świecie, a jej przychody przekraczają 10 mld funtów rocznie. Diageo jest właścicielem szerokiej gamy marek międzynarodowych i lokalnych, w tym dwóch największych na świecie marek napojów spirytusowych – Johnnie Walker® i Smirnoff® – oraz 20 ze 100 wiodących światowych marek napojów spirytusowych.

Spółka Diageo zapłaciła spółce SAP ponad 50 milionów funtów z tytułu opłat licencyjnych i serwisowych za korzystanie z mechanizmu oprogramowania mySAP Business Suite i SAP Exchange Infrastructure. W latach 2011 i 2012 spółka zintegrowała mySAP z dwoma nowymi systemami informatycznymi: Gen2 i Connect, korzystając z platformy dostarczonej przez Salesforce.com oraz Exchange Infrastructure firmy SAP. Gen2 to aplikacja, która zarządza działaniami przedstawicieli handlowych i serwisowych Diageo, umożliwiając im zarządzanie wizytami i rozmowami telefonicznymi z klientami oraz rejestrowanie informacji uzyskanych podczas takich wizyt i rozmów. Connect umożliwia klientom zarządzanie kontami biznesowymi w Diageo, a także składanie i weryfikację zamówień w sposób bezpośredni, a nie za pośrednictwem centrów obsługi telefonicznej.

Standardowe warunki licencyjne spółki SAP łączą kwotę należnych opłat licencyjnych z wykorzystaniem oprogramowania. Wykorzystanie jest określane jako jakiekolwiek bezpośrednie lub pośrednie użytkowanie oprogramowania spółki bądź uzyskiwanie bezpośredniego lub pośredniego dostępu do niego. Spółka SAP zażądała uiszczenia dodatkowych opłat z tytułu uzyskania przez Diageo opartego na API dostępu do jej oprogramowania z systemu Gen2 i Connect. Sąd stwierdził, że pośredni dostęp do oprogramowania SAP poprzez portal interfejsowy spowodował, że zastosowanie miały postanowienia umowy licencyjnej SAP, na mocy których wymagane jest uiszczenie dodatkowych opłat licencyjnych i serwisowych w oparciu o ceny firmy Diageo lub cennik SAP. Choć sprawa ta nie została jeszcze zakończona – może zostać wniesione odwołanie, strony mogą zawrzeć ugodę lub kwota, której żąda SAP, może zostać zmniejszona – postanowienie to dodatkowo zwiększa niepewność użytkowników SAP w zakresie kwestii licencjonowania oraz pośredniego dostępu do ich systemów.

Z tego względu istotne jest, aby klienci SAP byli zaznajomieni ze wszystkimi zmiennymi, które mogą spowodować podniesienie kwestii licencji SAP w scenariuszach obejmujących integrację produktów firm trzecich z ich strukturą systemów SAP.

Ważny pierwszy rok

Jednym z najważniejszych pierwszych kroków w określaniu potencjalnej odpowiedzialności i dodatkowych opłat w ramach struktury licencyjnej SAP jest szybkie i dokładne zapoznanie się ze środowiskiem interfejsów w instalacji SAP posiadanej przez klienta. Interfejsy to „drzwi”, które umożliwiają dostęp do danych i ich przepływ do systemu SAP i w przeciwnym kierunku. Są to również mechanizmy, których wykorzystanie może skutkować powstaniem obowiązku uiszczenia opłat licencyjnych za użytkowników pośrednich na podstawie umów licencyjnych SAP. Niestety wiele firm nie posiada dokładnych informacji na temat swojej struktury interfejsów. Są one narażone na duże ryzyko związane z licencjonowaniem, bezpieczeństwem i zgodnością z przepisami.

Istotne jest, aby klienci przeprowadzili skanowanie swoich systemów w celu uzyskania dokładnego obrazu wszystkich posiadanych interfejsów. Istnieją różne metody skanowania interfejsów. Najczęściej stosowaną metodą jest ręczny przegląd i kontrola systemu. Proces ręczny nie jest właściwym rozwiązaniem. Charakteryzuje się on wysoką pracochłonnością, czasochłonnością i niską efektywnością przy bardzo wysokim prawdopodobieństwie braku dokładności. Typowe problemy, które napotykają firmy podczas próby oceny swojego środowiska interfejsów to:

  • ogólny brak wiedzy na temat typu i liczby interfejsów,
  • brak dokumentacji na temat posiadanych interfejsów bądź jest ona niekompletna lub nieaktualna,
  • wiedza na temat podstawowych interfejsów nie jest centralnie dostępna,
  • brak narzędzi do monitorowania lub nie dostarczają one wszystkich niezbędnych informacji,
  • brak odpowiedniego graficznego zobrazowania topologii interfejsu,
  • ogólna ocena ryzyka jest trudna,
  • jeśli informacje o wykorzystaniu interfejsów SAP są dostępne, dzienniki są często rozproszone lub okresowo usuwane, co uniemożliwia dokonanie centralnej oceny,
  • wiele zestawów danych jest nieistotnych i nie zawiera filtrów, a ręczna analiza i ocena jest uciążliwa, kosztowna i frustrująca.

Ze względu na kluczowe znaczenie dokładności i szybkości, klienci SAP powinni korzystać tylko ze sprawdzonych, automatycznych rozwiązań i usług, takich jak oprogramowanie SNP Interface Scanner (od 2019 r. dostępne w ramach platformy CrystalBridge jako SNP Interface Scan) opracowane przez firmę SNP, które zapewnia dokładność wyników. Skuteczne automatyczne rozwiązanie do skanowania interfejsów powinno oferować co najmniej następujące funkcjonalności:

  • automatyczna dokumentacja ad hoc struktury interfejsów,
  • obsługa wszystkich typów protokołów specyficznych dla SAP,
  • dostępność standardowych, gotowych zapytań,
  • możliwość tworzenia zapytań specyficznych dla klienta,
  • graficzne i tabelaryczne przedstawienie wyników zapytań,
  • eksport wyników do standardowych aplikacji, takich jak Microsoft Excel, Adobe PDF i HTML
  • minimalnie inwazyjna instalacja i obsługa aplikacji skanującej.

Właściwe skanowanie musi umożliwiać analizę infrastruktury komunikacyjnej obejmującej:

  • zmianę historii systemów, połączeń, statystyki użycia,
  • analizę „miejsc użycia”,
  • niestandardowe zmiany w statystyce użycia lub odchylenia częstotliwości wywołań,
  • identyfikację nieużywanych połączeń,
  • połączenia z wrażliwymi systemami np. HCM,
  • audyt bezpieczeństwa i dostępu na potrzeby ochrony systemu i danych,
  • analizę opartą na kryteriach biznesowych.

Po zebraniu dane, dotyczących środowiska interfejsów, podlegają dokładnej weryfikacji przez wszystkie zainteresowane strony. Należy do nich dział IT, oceny ryzyka i zgodności z przepisami, dział finansów i dział prawny. Dane powinny być udostępnione w formie graficznej i tabelarycznej, aby umożliwić ich jak najefektywniejszą i zrozumiałą prezentację dla różnych grup zainteresowanych stron. Na podstawie danych uzyskanych poprzez skanowanie interfejsów klient może ustalić, które interfejsy są używane, kim są użytkownicy i jaki rodzaj ruchu odbywa się w interfejsach. Ponadto skanowanie powinno wskazywać, które interfejsy nie są już potrzebne.

Wyniki przeglądu są niezwykle ważne, ponieważ umożliwiają klientowi ocenę ogólnego narażenia na konieczność uiszczenia potencjalnych dodatkowych opłat licencyjnych i serwisowych na rzecz spółki SAP. Bez dogłębnego zapoznania się z posiadaną strukturą interfejsów i jej wykorzystaniem, klienci SAP ryzykują, że będą musieli ponieść odpowiedzialność podobną do tej, którą poniosła firma Diageo. Wyniki przeglądu mogą zostać również wykorzystane jako dane na temat stanu faktycznego w ewentualnych negocjacjach z SAP.

Pierwsze skanowanie i ocena pozwalają dokładnie ustalić stan początkowy. W ramach audytu IT due diligence prowadzonego przez firmę na bieżąco, infrastruktura interfejsów powinna być stale monitorowana, przy czym ponowne skanowanie i oceny powinny być przeprowadzane co najmniej raz na miesiąc. Ten krok jest równie ważny i zapewnia ciągłość zgodności z przepisami.

Przejrzysta, weryfikowalna, długoterminowa optymalizacja

Ponadto skanowanie interfejsów i uzyskane dane dotyczące wykorzystania pozwalają firmom na dokonanie przeglądu ich struktury licencyjnej i optymalizację zarządzania licencjami firmy SAP, nie tylko w zakresie pośredniego wykorzystania, ale także licencjonowania użytkowników nazwanych i mechanizmów oprogramowania. Wdrożenie wyspecjalizowanego narzędzia do analizy i optymalizacji, np. samQ, umożliwia klientom SAP przydzielenie posiadanych licencji użytkowników nazwanych na podstawie faktycznych działań użytkowników w systemach SAP, a nie zgodnie z uprawnieniami. Dzięki temu klienci mogą zwiększyć efektywność kosztową posiadanych licencji nawet o 40%, co pozwala uniknąć kosztów zamówień aktualizacyjnych przy jednoczesnym odejściu od wysokich kosztów licencji w kierunku bardziej zrównoważonego modelu. Szczególnie w zakresie pośredniego wykorzystania dokładne określenie sytuacji licencyjnej zapewnia możliwość strategicznego zmniejszenia ryzyka finansowego wynikającego z narażenia na różnego rodzaju czynniki je wywołujące. Narzędzie do optymalizacji licencjonowania powinno zapewniać główne funkcjonalności, takie jak:

  • optymalizacja okresowych licencji na wszystkie systemy SAP,
  • wyszukiwanie i dezaktywacja nieaktywnych, zbędnych i niewykorzystanych użytkowników,
  • automatyczne przydzielanie licencji w oparciu o działania systemowe,
  • ciągłe śledzenie „zużycia” licencji,
  • pulpit ze szczegółami licencji i historią,
  • analiza pośredniego wykorzystania i użycia przez oprogramowanie firm trzecich.

Inne korzyści wynikające z analizy danych interfejsów i wyniki ROI

Postanowienie w sprawie Diageo podkreśliło znaczenie danych dotyczących interfejsów dla zapewnienia zgodności z licencjami. Istnieją jednak inne znaczące korzyści wynikające z początkowego skanowania i bieżącego gromadzenia informacji o interfejsach.

Ogólne bezpieczeństwo danych i systemów

Zgodnie z obecnymi badaniami, bezpieczeństwo danych i systemów stanowi główny przedmiot obaw dyrektorów IT i dyrektorów finansowych. Obawy dotyczące potencjalnych naruszeń systemu są uzasadnione. Koszty takich naruszeń związane z kontrolą szkód, przestojami systemów, wpływem na markę firmy i wpływem finansowym są znaczące. Chociaż bezpieczeństwo systemu jest bardzo złożonym zagadnieniem, dokładne zbadanie wszystkich interfejsów stanowi bardzo prosty krok, który firma może podjąć, aby zwiększyć ogólne bezpieczeństwo swojego systemu. Firmy muszą zidentyfikować wszystkie wychodzące i przychodzące interfejsy między swoimi aplikacjami na zewnątrz, które mogłyby potencjalnie narazić system na zewnętrzny atak. Prawidłowe zabezpieczenie systemu jest niemal niemożliwe bez wiedzy na temat tego, które interfejsy wychodzą na zewnątrz.

Zgodność z przepisami

Ze względu na to, że interfejsy otwierają system na zewnątrz, znajomość środowiska interfejsów jest kluczowym aspektem każdego audytu i oceny zgodności systemu z przepisami.  Możliwe jest śledzenie połączeń z wrażliwymi systemami i monitorowanie użytkowania. Nieużywane połączenia można wyeliminować, aby zmniejszyć ryzyko niezapewnienia zgodności z przepisami i bezpieczeństwa.

Zarządzanie systemami i dokumentacja

Oprócz zapewnienia firmie pełnego przeglądu struktury interfejsów, skanowanie interfejsów można wykorzystywać na bieżąco do usuwania:

  • nieużywanych/niezabezpieczonych połączeń RFC, które zostały po poprzednich projektach,
  • niewłaściwie wdrożonych niestandardowych interfejsów generujących ogromne koszty stałe,
  • nieznanych (zdalnych) systemów łączących się z produktywnym systemem SAP,
  • komunikacji między systemami wycofanymi z użycia i produktywnym systemem SAP.

Wiele interfejsów jest często niewłaściwie dokumentowanych. Stałe skanowanie i ocena interfejsów wspiera ogólne zarządzanie architekturą korporacyjną, bieżące monitorowanie i ciągłość działania. Ułatwia także planowanie i zmianę infrastruktury informatycznej, w tym uaktualnienia systemów, migracje i przygotowanie się do potencjalnych dużych przedsięwzięć transformacyjnych, takich jak uaktualnianie systemu, wyodrębnianie lub łączenie systemów.