Denkt u wel eens na over SaaS (Software as a Service)? U weet wel, vroeger noemden we dit 'Applicatie Hosting'. Lekker makkelijk uw applicatie bij een 'vertrouwde party' op een server (al dan niet geheel aan u verhuurd). Even testen en dan in productie nemen. U kunt weer rustig slapen!
Maar wie is er nou echt verantwoordelijk voor de beveiliging? En geldt dat alleen voor de ruimte waar de server in staat? Voor de server zelf? Het OS? Of alleen de applicatie?
U begrijpt het al: het SaaS spanningsveld. Alle mooie folders die u vertellen dat met SaaS alle problemen verdwijnen vergeten er bij te vertellen dat niet de applicatie zelf verandert maar de manier waarop het geleverd wordt. Met andere woorden: gebruik maken van de beste security die er is en 1x per jaar een audit door een gerenommeerd bedrijf heeft voor uw applicaties ineens geen waarde meer.
Dus betekent SaaS dat u nog steeds betaalt voor de hardware en de licentie (maar dan anders)? Moet het vullen van uw CRM, voorraadbeheer- of helpdeskpakket nog steeds door uw eigen content- of informatiebeheerder gebeuren en als u iets extra's wilt dit niet of zeer moeilijk kan? Het is net alsof de applicatie nog steeds binnenshuis draait.
Maar er is nu wel een security probleem ontstaan. Hoe moet dit dan worden opgelost? Het risico benoemen, afspraken maken met uw leverancier en deze daar ook op controleren. En van tevoren melden dat beveiliging bij u hoog op de agenda staat en een goed contract afsluiten waarbij ook de afspraken over de beveiliging duidelijk worden vastgelegd.
Ik heb hier al eerder aandacht op gevestigd. Identity management binnen de bedrijfsmuren is goed te regelen, maar voorzieningen voor identiteiten buiten de bedrijfsmuren zijn er niet. Procedures zijn er ook vaak nog niet. Waarschijnlijk moeten we eerst wachten op een groot incident. 😉