Yazılım Lisans Yönetimi Bülteni - Sayı 7

Yazılım lisans yönetimi konusunda öne çıkan konular ve güncel gelişmelerle ilgili bilgi paylaşmak amacıyla sizler için bir bülten hazırladık. Düzenli olarak yayınlanan bültenimizin yedinci sayısında aşağıdaki konuları ele almaktayız:

  • Yazılım Varlık Yönetimi ve İç Denetim
  • IBM Ana Ürün ve Bu Ürünü Destekleyici Yazılım Lisansları
  • Microsoft Yazılım Lisanslarındaki Yenilikler
  • IBM Yazılım Lisanslarındaki Yenilikler

 

Yazılım Varlık Yönetimi ve İç Denetim

Yazılım varlık yönetimi nedir?

Yazılım Varlık Yönetimi, kurumlardaki yazılım yaşam döngüsünde lisans varlıklarının maliyetlerinin ve kullanımlarının optimize edilmesini sağlayan bir yönetim sürecidir. Yazılım varlık yönetimi; yazılım maliyetlerinin azaltılması, operasyonel süreçlerin optimize edilmesi, yetkisiz yazılım kurulumlara engel olunması ve lisanslarla yazılım kurulumlarının sözleşmeler çerçevesinde uyumlu olmasını amaçlar.

Yazılım varlık yönetiminde şirketlerin riskleri nelerdir?

Kurum varlıklarında lisans varlıklarının önemli bir yeri bulunmaktadır. Yazılım varlıklarının yanlış yönetilmesi sözleşme ve uyum riski, finansal risk, bilgi güvenliği riski, operasyonel risk ve bilgi teknolojilerinde yönetsel riskler gibi birçok riske neden olabilir. Yeni teknolojilerin büyük bir hızla gelişmesiyle lisanslama kurallarındaki değişiklikler ve lisans sözleşmelerindeki karmaşık yapılar nedeniyle oluşabilecek sözleşme ve uyum riskleri, yazılım üreticisi firmaların (Microsoft, SAP, IBM, Oracle, Autodesk, vb.) lisans denetimleriyle artış göstermektedir. Uyum risklerinden dolayı oluşacak cezai yaptırımların doğuracağı finansal kayıplarla beraber kurumlarda yanlış teknolojilerin seçilmesi ve yanlış lisanslandırma metotlarının kullanımıyla kurumun mali kayıpları artacaktır. Kurumdaki kişiler tarafından yetkisiz yüklemelerin yapılması, lisanssız ürünlerin kullanımı bilgi güvenliği açıklarına neden olmaktadır. Yazılım varlık yönetim sürecinin iyi bir şekilde oturtulmaması operasyonel süreçlerde ve bilgi teknolojilerinin yönetiminde zayıflıklara neden olmaktadır.

Yazılım Varlık Yönetiminde iç denetimin rolü

Uluslararası İç Denetçiler Enstitüsü (IIA) tarafından yayınlanan iç denetim standartlarına göre İç Denetim Yöneticisi, iç denetim faaliyetini, faaliyetin kuruma değer katmasını sağlayacak etkili bir tarzda yönetmek zorundadır. İç denetim faaliyeti tarafsız ve uygun güvence sağladığında kuruma (ve paydaşlara) değer katar ve yönetişim, risk yönetimi ve kontrol süreçlerinin etkililiği ve verimliliğine katkıda bulunur.

Kurumlarda; iç denetimin yazılım varlık yönetimindeki süreçlerindeki kontrolleri, yazılım varlık yönetimdeki eksikliklerden doğacak risklerin azaltılması için gereklidir. Optimize bir yazılım varlık yönetimi iç denetim fonksiyonlarına bu risklerin doğru yönetildiği konusunda güvence vermekle beraber kurum değerlerinin maksimize edilmesini sağlayacaktır. İç denetim fonksiyonları, yazılım yaşam döngüsünde gerekli kontrollerin varlığından emin olarak ve düzenli lisans gözden geçirme çalışmalarını takip ederek yazılım varlık yönetiminde kurum farkındalığını arttırabilir. Kurum içerisindeki bağımsız rolüyle iç denetim düzenli lisans gözden geçirmelerin sonuçlarını takip ederek risk yönetim ve iç kontrol süreçlerinin yeterliliğini gözlemleyerek görülen yönetim eksiklikleri için önerilerde bulunarak gerekli düzenlemelerin yapıldığını takip etmelidir.

İç denetim, yazılım varlık yönetimi süreci yeterli olgunluk seviyesinde olmadığı durumlarda öncelikle kurumda mevcut yazılım varlıklarını gösteren bir değerlendirme çalışması yapılmasını önererek süreci standardize etmelidir. Değerlendirme çalışmaları, envanter araçlarının kurulumuyla mevcut kurulum ve lisans bilgilerinin karşılaştırılmasıyla gerçekleştirilebilir. Ayrıca kurum tarafından yazılım varlık yönetimi için danışmanlık hizmetleri tedarik edilebilir. Çalışmanın sonuçlarına göre, lisans açıklıkları, fazlalıkları ve ileriki dönemde yapılacak yazılım kurulumları göz önünde bulundurularak aksiyon planları oluşturulmalıdır. İç denetim bu çalışmayla beraber süreci optimize bir hale getirebilmek için yazılım varlık yönetim sürecinde eksik gördüğü iç kontrolleri tespit etmelidir. Bu iç kontroller öncelikle yetkisiz kurulumların yapılması engellemeli, gerçekleştirilecek kurulum ve değişikliklerin prosedürel bir süreçten geçmesini sağlamalıdır. Aynı zamanda yazılım tedarikçilerinin seçimlerinde ve yazılım yatırımlarındaki kontrolleriyle iç denetim tedarikçi yönetiminin doğru ve güvenli bir şekilde yönetildiğinden emin olmalıdır. Bu şekilde yazılım varlıkları aktif bir şekilde yönetilerek iş hedefleriyle uyumlu hale gelecek ve kurumların gereksiz yazılım maliyetlerinden kaçınmasına yardımcı olacaktır.

 

IBM Ana Ürün ve Bu Ürünü Destekleyici Yazılım Lisansları

Satın alınan IBM ürünü ile birlikte gelen “bundle” veya “supporting program” diyebileceğimiz; ilgili ürünün kullanımını desteklemek amacı ile birlikte gelen, ücret ödemek durumunda olmadığınız ürünler bulunduğunu hemen hemen tüm IBM ürünü kullanan şirketler bilmektedir.

Fakat son dönemlerde, IBM ürünleri ile birlikte gelen supporting programlar için de lisans kullanım kısıtlamalarının uygulanmaya başlandığı gözlenmektedir.

Kısacası bazı destekleyici ürünler için (1 ana ürün lisansı)/(1 destekleyici ürün lisansı) oranı uygulanırken; bazı ürün ve destekleyici ürünler için farklı bir lisans oranının uygulandığı gözlemlenebilmektedir.

Örneğin şirketinizde IBM API Connect Enterprise Edition V5.0 ürünü kullanıyor olsun. İlgili ürünün versiyonuna ait IBM SLA sayfasını incelediğinizde, PVU bazlı satın alınan bu ürünü desteklemek amaçlı kullanabileceğiniz aşağıdaki gibi çeşitli “supporting programlar” olduğunu göreceksiniz.

  • IBM DataPower Gateway Virtual Edition V7.5
  • Application Optimization Module for IBM DataPower Gateway V7.5
  • WebSphere Application Server Liberty Core V8.5.5
  • API Connect Create for Node.js V5.0
  • IBM HTTP Server

Ve SLA sayfasında yer alan detaylara baktığınızda, her bir destekleyici programı 1’e 1 ana ürün ve destekleyici program lisans oranları ile kullanılmayacağını fark edeceksiniz. Örneğin API Connect Create for Node.js V5.0 için 1/1 ana ürün/destekleyici ürün lisansı varken; WebSphere Application Server Liberty Core v8.5.5 için (MobileFirst Foundation Extension ürününü desteklemek amaçlı kullanılması dışında) 200 PVU’luk bir kısıtlama olduğu gözlenmektedir.

Sonuç olarak, supporting programların kullanımında da belli bir ana ürün ve bu ürünü destekleyici program lisans oranının uygulandığını bilmeli; ilgili ürünün ve destekleyici programların kurulumu ve işletiminde bu lisans kullanım oranlarının göz önünde bulundurulması gerektiğini göz ardı etmemelisiniz

 

Microsoft Yazılım Lisanslarındaki Yenilikler

Microsoft yazılımlarının güncel lisans kurallarını Microsoft Product Terms dokümanından takip edebilirsiniz. Microsoft yazılım hizmeti sağlayan bir kurumsanız ilgili kuralları Microsoft Service Provide Use Rights dokümanından takip edebilirsiniz.

Aralık 2016’da Microsoft Product Terms’de yer alan değişiklikler aşağıda yer almaktadır.

Visual Studio Team Foundation Server ürünlerinde 2017 Biztalk Server ürünlerinde ise 2016 versiyonuna geçiş gerçekleştirilmiştir. (Diğer güncellemeler ve ayrıntılar için “Microsoft Product Terms”, “ Microsoft Ürün Şartları” Dokümanına bakınız)

Aralık 2016’da Microsoft Services Provider Use Rights’ta da benzer şekilde Biztalk Server ve Visual Studio Team Foundation ürünlerinde versiyon geçişleri gerçekleştirilmiştir.

Güncel Microsoft Product Terms ve Microsoft Service Provide Use Rights dokümanlarını aşağıdaki linklerden indirebilirsiniz.

Microsoft Product Terms

http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=53

Microsoft Service Provide Use Rights

http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=2

 

IBM Yazılım Lisanslarındaki Yenilikler

IBM yazılımlarının güncel lisans kurallarını IBM License Information dokümanlarından takip edebilirsiniz.

Aralık 2016’da IBM Lisans Dokümanlarında özellikle aşağıdaki ürünler için gerçekleştirilen değişiklikler göze çarpmakla beraber, değişikliklerin tamamına tarih sıralamasına göre aşağıdaki link üzerinden ulaşabilirsiniz.

  • IBM WebSphere Application Server Network Deployment V8.5.5.11
  • IBM WebSphere Application Server V8.5.5.11
  • IBM Content Manager Enterprise Edition V8.5.0.6

http://www-03.ibm.com/software/sla/sladb.nsf/bydate