Auditoría de IBM y cómo preparar la defensa: Actualización 2023

Mar 28, 2023 | Auditorías de software

ACTUALIZACIÓN. Cada auditoría de IBM es diferente pero tienen algo en común, y es que pueden convertirse en una experiencia estresante, disruptiva y abrumadora para cualquier cliente, pudiendo desembocar en reclamaciones económicas en caso de detectarse incumplimientos con los términos y condiciones de la licencia.

El problema es que en licenciamiento IBM, la determinación del incumplimiento puede depender de matices muy sutiles o incluso de criterios meramente interpretativos que ni siquiera dependen del uso real que se esté haciendo del software o del provecho que se le esté sacando: el diablo –aquí también- está en los detalles.

Conocer qué es una auditoría de licencias IBM, saber dónde antes tropezaron otras empresas y prepararse de un modo práctico y adecuado, puede marcar la diferencia entre afrontar con garantías el proceso minimizando los riesgos potenciales o encontrarse al final del día con una reclamación formal con muchos ceros encima de la mesa.

En Evergreen Compliance somos antiguos auditores del fabricante y de las Big Four, por lo que hemos vivido las auditorías desde ambos lados del tablero y estamos en una disposición privilegiada para poder detallar los puntos más importantes que nos permitirán conocer mejor en qué consiste una auditoría de licencias de IBM, cuáles son sus principales riesgos y las medidas que nos pueden ayudar a preparar una defensa realmente efectiva.

Revisar las licencias y acuerdos

Antes de enfrentar una auditoría, revisa minuciosamente todas las licencias y acuerdos con IBM y comprueba cuáles aplican y qué derechos de uso emanan de ellos para determinar los límites aplicables al despliegue y uso el software, y poder evitar así cualquier tipo de incumplimiento.

Como novedad este año, IBM presentó este 2023 la nueva versión 11 del Passport Advantage (PA), donde se establecen algunas novedades como:

  • Licenciamiento containers
  • Modificación de la cláusula de auditoría con la inclusión de una obligación anual de documentación adicional
  • Obligaciones adicionales de recabar y notificar información de despliegue de productos en caso de querer reducir el soporte en los supuestos de disminución de uso de productos IBM: el incremento de los costes de soporte ha hecho que ésta sea una de las peticiones más frecuentes que recibimos de forma que se adapten los costes de mantenimiento a lo que realmente se usa y necesita.

Comprender el proceso de auditoría de IBM

Una auditoría de IBM:

Los elementos clave de esta cláusula son:

  • Al contrario de lo que ocurre con otros fabricantes (ej. 45 días en Oracle), no se establece un plazo mínimo concreto desde la notificación y el inicio de la auditoría.
  • Tampoco se señala qué elemento concreto es considerado “verificar” para tener la certeza de cuándo se cumple con este requerimiento.
  • Se prevé la posibilidad de que sea un tercero (“auditores independientes”) quien audite:
    • Normalmente KPMG o Deloitte.
    • ¿Qué es independiente? Si bien es cierto que, al contrario de lo que ocurría con otros fabricantes (ej. Oracle), el pago a estos auditores no depende del resultado de la auditoría, entendemos que esto por sí puede no ser suficiente para ser considerados “independientes” cuando concurran otras circunstancias.
  • Se prevé la posibilidad de auditoría presencial, lo cual puede casar mal con el compromiso de minimizar “la interferencia en la operativa de negocio del Cliente”.
  • En caso de un incumplimiento, el Cliente regularizará de inmediato.
  • Se define la regularización, destacando la previsión de sanción retroactiva adicional consistente en el pago del soporte (S&S) por el tiempo que se ha estado incumpliendo la licencia hasta un máximo de 2 años.
  • Además de esto, en la nueva versión 11 del PA, se obliga al cliente a mantener anualmente un informe del software desplegado -entre otra información-, y proporcionárselo a IBM cuando lo solicite.

Entender la noción de Capacidad Total

El principio general que rige en licenciamiento IBM, que es el de “Capacidad Total” y aparece regulado en el PA, establece que por defecto deben licenciarse todos los servidores físicos completos (o grupo de servidores) en los cuales vaya a desplegarse o usarse potencialmente el software.

Dicho de otra manera, no puede “implementarse” el software de IBM (utilizando lenguaje del PA) en núcleos, servidores o grupos de servidores que no estén previamente cubiertos por una licencia.

Esto, evidentemente por su fin y características propias, tiene un especial impacto en entornos virtualizados: precisamente uno de los fundamentos de la virtualización es poder mover máquinas virtuales (MV) entre los núcleos del procesador, o entre los diferentes servidores en su caso, para asegurar la disponibilidad del servicio en todo momento.

El licenciamiento en entornos virtualizados, supone por tanto una especie de “obligación de licenciamiento en potencia” no ya para los cores o servidores en los que se esté utilizando el software de IBM sino también de aquellos en los que potencialmente se podría llegar a “implementar” por efecto de la virtualización.

Por poner un ejemplo, es como si la policía nos multa no por la velocidad a la que realmente vamos sino por la que puede alcanzar nuestro vehículo si pisamos al máximo el acelerador (aunque no lo hayamos hecho).

Entender la licencia de Sub-Capacidad

Frente a esta regla general de la “Capacidad Total” que rige por defecto, existen excepciones en las que IBM permite licenciar únicamente ciertos núcleos de procesador o ciertos servidores en lugar de la totalidad siempre que se cumplan rigurosamente ciertas condiciones.

La Sub-Capacidad:

  • Aparece regulada en el PA que a su vez remite a esta página, que también tiene valor contractual: es una buena práctica evitar las remisiones del contrato a URLs dinámicas ya que el fabricante puede modificar unilateralmente los derechos y obligaciones contractuales
  • Nunca se reconoce por defecto y únicamente aplica cuando se reúnan consecutivamente una serie de condiciones a varios niveles. Se debe disponer de:
    • Una tecnología de procesador apta
    • Una tecnología de virtualización apta
    • Un sistema operativo apto y con, a su vez, limitaciones de tiempo y versión
    • Una métrica apta: PVU, RVY, VPC.
    • Un producto apto: por ejemplo WebSphere MQ for HP OpenVMS o WebSphere MQ for HP NonStop Server no lo son aunque reúnan las demás condiciones.
    • Una instalación de ILMT u otra herramienta aprobada:
    • Con su versión apta
    • Cumpliendo con las condiciones en cuanto a los informes

Finalmente, si se cumplen todos los requisitos de la licencia de sub-capacidad, el cliente debe disponer entonces de las licencias suficientes para cubrir todos los cores activos que estén a disposición o que sean gestionados por el producto de software de IBM a licenciar. ¿Y qué significa esto? Que hay que licenciar el que sea menor de:

  • Bien el número máximo de cores virtuales de la VM disponibles para el producto de software
  • O bien la capacidad física del servidor donde las VMs estén hosteadas cuando la capacidad virtual exceda la capacidad física total de dicho servidor

Programa IASP (IBM Authorized SAM Provider)

Este programa es una iniciativa desarrollada por IBM para establecer una red de proveedores autorizados (KPMG, EY, Deloitte y Anglepoint) para ayudar a los clientes a gestionar sus activos de software IBM como medio eficaz para evitar auditorías o, en su caso, para obtener un acuerdo optimizado en supuestos de detección de incumplimientos en el curso de una auditoría de IBM.

Desde nuestra experiencia, la idoneidad de este servicio debe analizarse caso por caso según el cliente y sus circunstancias particulares ya que, si bien presenta innegables beneficios como el análisis trimestral del cumplimiento o el acceso a conocimiento y recursos especializados (ej. en materia de ILMT), lo cierto es que también presenta otros inconvenientes que deben tenerse en cuenta como su coste, la posibilidad de conflicto de interés o el hecho de que el partner tenga que informar a IBM de cualquier incumplimiento que detecte (salvo ciertas excepciones en caso de instalaciones accidentales).

Realizar auto-auditorías previas

Realiza auto-auditorías, con la misma metodología que la empleada por IBM (o más frecuentemente por la Big Four de turno), disponiendo de información realmente confiable, para identificar posibles situaciones de incumplimiento antes de que llegue una auditoría real, se ha revelado como una de las maneras más efectivas para corregir desviaciones y evitar riesgos.

Llevar a cabo este tipo de simulacros preventivos, empleando la misma metodología que la auditoría “oficial”, también nos permite:

  • Hacer acopio y tener a mano toda la documentación relevante que nos podrían solicitar (ej. contratos de licencia, facturas de compra, registros de instalación, informes de seguimiento del uso, etc.)
  • Capacitar a nuestro personal para que sean conscientes de la importancia de la auditoría y sepan cómo responder adecuadamente en caso de que se notifique una. En paralelo, se debe formar a nuestro equipo en políticas de licenciamiento de IBM y la necesidad de cumplirlas rigurosamente como medio de reducir también las posibilidades de incumplimiento y por tanto de evitar también sus riesgos financieros asociados en caso de auditoría.

Consultar con expertos en licencias de software

Si tienes dudas o preocupaciones sobre la auditoría, considera consultar con expertos 100% independientes en licenciamiento de software: Estos profesionales, sobre todo si han estado a ambos lados del tablero, pueden brindar asesoramiento especializado y ayudarte a preparar una sólida defensa ante la auditoría de IBM.

 

Conclusión

Un simple malentendido de las políticas de licenciamiento, puede suponer que en caso de una auditoría de IBM, terminemos con una reclamación de muchos ceros sobre nuestro escritorio. Y lo sabemos, no solo por nuestra experiencia actual, sino porque lo hemos hecho antes al ser ex-auditores de los fabricantes de software y de las Big Four.

En Evergreen Compliance sabemos qué buscan los auditores de IBM, dónde y para que y podemos ayudar a afrontar con previsibilidad y garantías una auditoría de IBM y a exprimir la inversión que se ha hecho en su tecnología sin la contrapartida de un riesgo de incumplimiento en licenciamiento que se traduzca en millones.

Contacte hoy mismo con nosotros y conviértase en nuestro próximo caso de éxito conociendo cómo lo hemos conseguido en otros clientes.

También te puede interesar:

Oracle Audit Triggers: Tendencias en 2023

Oracle Audit Triggers: Tendencias en 2023

Conocer los Oracle Audit Triggers y saber qué puede desencadenar una auditoría de licenciamiento en nuestra empresa, es el primer paso para prepararse de forma efectiva. Desde hace varios meses, y con relación a las auditorías de licencias de Oracle, estamos...