De meeste organisaties en personen zijn er inmiddels van overtuigd dat het veiliger is om geld bij de bank te bewaren dan in een kluis of onder een matras. Dit ondanks, of misschien juist dankzij, recente ervaringen met instanties als Icesave en DNB. Maar gaat dit ook op voor het onderbrengen van vertrouwelijke gegevens bij een SaaS-leverancier versus hosting op eigen servers? Net als bij geld gaat het hier om twee aspecten van veiligheid. Kan ik er op elk moment zelf bij en kan ik er op vertrouwen dat anderen er niet mee vandoor gaan? Kortom, beschikbaarheid en vertrouwelijkheid.
Beschikbaarheid
De beschikbaarheid is bij een SaaS goed te kwantificeren en wordt meestal in een service level agreement (SLA) opgenomen. Een beschikbaarheid van 99,8 procent betekent dat het systeem maximaal 1,5 uur per maand niet bereikbaar is. Een systeem kan alleen beschikbaar zijn als aan alle randvoorwaarden is voldaan: electriciteit, netwerk, storage, servers en software. Om de beschikbaarheid te verhogen zal een SaaS-leverancier deze componenten ten minste dubbel moeten uitvoeren. In de praktijk betekent dit aansluiting op meerdere electriciteitsnetwerken, meerdere datanetwerken, dieselgeneratoren en batterij back-up en dubbele hardware. Deze faciliteiten worden standaard door professionele datacenters aangeboden.
Om een goede beschikbaarheid te leveren is één datacentrum niet genoeg. Er kan altijd een calamiteit plaatsvinden en back-ups moeten sowieso op een andere beveiligde locatie worden opgeslagen. Een SaaS kan een tweede datacenter als back-up of 'disaster recovery'-site inrichten. De dagelijkse back-ups worden via een beveiligde verbinding van de productiesite naar de back-upsite overgestuurd. Aangezien daar ook een volledige omgeving ingericht is kunnen de back-ups hier gerestored worden. Dit heeft als voordeel dat de klant zelf de back-ups kan controleren door op de back-upsite in te loggen. In deze configuratie heeft de SaaS-aanbieder een N+2 redundante infrastructuur. Een hot back-up op de productiesite en een extra back-up op een andere locatie.
Wat betreft beschikbaarheid kan een SaaS-leverancier dus meestal een betere beschikbaarheid bieden dan een organisatie die de software zelf op één enkele locatie heeft draaien. Organisaties met meerdere interne datacenters kunnen uiteraard een soortgelijke beschikbaarheid intern bereiken, zei het tegen hoge kosten. Alle componenten moeten dus drie maal uitgevoerd worden en daarnaast zijn er kosten voor synchronisatie en 24 uur monitoring van de applicatie. We kunnen stellen dat het voor kleine organisaties praktisch niet uitvoerbaar is om dezelfde beschikbaarheid te bieden en voor grote organisaties alleen tegen veelal hogere kosten.
Vertrouwelijkheid
Om te voorkomen dat onbevoegden gegevens kunnen inzien of wijzigen is veel standaardtechnologie beschikbaar zoals databaseversleuteling, versleutelde internetverbindingen (https), firewalls en IP-filtering. Daarnaast moet de applicatie zelf een goed ingebouwd beveiligingsmodel bieden op basis van rollen en rechten. Gebruikers worden toegekend aan groepen en per groep wordt bepaald welke gegevens bekeken of gewijzigd mogen worden. Ook is een zogenaamde audit trail van belang. Systeembeheerders kunnen zien wie er heeft ingelogd en welke data wanneer gewijzigd is. Deze audit trail kan helpen om het beveiligingsmodel te controleren en verder te optimaliseren.
De infrastuctuur zoals boven beschreven kan met relatief lage kosten zelf ingericht worden of zit deels in de software zelf. Een SaaS-aanbieder zal wat dit betreft vaak niet heel veel toegevoegde waarde leveren ten opzichte van intern hosten. Als de software alleen intern gebruikt hoeft te worden, dan kan intern hosten veiliger zijn omdat het netwerk niet van buiten bereikbaar is. Deze confguratie werkt uiteraard niet als organisaties informatie willen uitwisselen met derde partijen zoals klanten, leveranciers, partners en prospects. Het participeren in bedrijfsprocessen door de 'extended enterprise' is veelal juist de reden om voor een SaaS te kiezen.
Een belangrijk verschil tussen SaaS en interne hosting is dat de interne ict-afdeling niet meer bij de servers en database kan. Bij interne software hebben ict-medewerkers vaak wachtwoorden waarmee vertrouwelijke gegevens zoals salarissen en e-mailberichten opgevraagd kunnen worden. Voor unit managers en directie kan dit een argument zijn om juist voor een SaaS te kiezen. Hetzelfde kan spelen bij samenwerkingsverbanden of conglomeraten die via een SaaS aan bedrijfsprocessen samenwerken. Het installeren van de software bij één van de partijen kan gevoelig liggen bij de overig partijen. De SaaS-aanbieder wordt als neutrale partij gezien en heeft zelf ook geen enkel belang bij inzage in interne informatie.
Conclusie
Over het algemeen zou je kunnen stellen dat SaaS in de meeste gevallen een betere combinatie van beschikbaarheid en vertrouwelijkheid kan bieden dan interne hosting. Organisaties die voldoende budget en faciliteiten hebben kunnen de veiligheid nog verhogen door op een intern netwerk te werken. De keuze wordt ook bepaald door (bedrijfs)politieke factoren. Sommige SaaS-aanbieders leveren ook een soort 'best of both worlds'-oplossing waarbij de klant een eigen server krijgt die wel bereikbaar is voor eigen medewerkers en alleen via een speciaal netwerk. Deze 'single-tenant'-configuratie is misschien formeel geen SaaS meer, maar een soort 'private banking' naar analogie van het bankwezen.
Als management/directie kiest voor SaaS omdat hierbij salarissen en e-mailberichten niet toegankelijk zouden zijn voor interne medewerkers, dan zijn deze beslissers niet goed voorgelicht. Hosting providers bemoeien zich meestal niet met het beheer van de bedrijfsapplicatie zelf. De dienst stopt vaak bij het DBMS, het aanmaken van databases en het upgraden van de applicatielaag is de taak van de specialisten die het ook al deden toen het systeem nog on site stond. Bij hosting door een externe partij neemt het aantal personen met toegang tot de gegevens alleen maar toe. Maar wie weet, misschien zijn die onbekenden wel meer te vertrouwen dan je eigen personeel…
Vragen wat veiliger is, is m.i. het stellen van de verkeerde vraag. 95% of 97% veilig maakt namelijk geen verschil . Statistisch wel, maar de meeste van ons zijn geen statistiek en willen er ook geen worden. Een betere vraag is: Als – of wanneer – het mis gaat, ben ik dan overgeleverd aan mijn provider of kan ik het zelf (laten ) oplossen? Vragen die dan volgen zijn: Krijg ik regelmatig een back-up, en kan ik die back-up ook draaien? Kan ik dat in-house en/of kan dat bij een andere provider? En, wanneer data wordt gestolen , is deze dan versleuteld? Kortom, in IT is iets kunnen genezen, vaak belangrijker dan het (theoretisch en kostbaar) trachten te voorkomen.
In een overstap naar SAAS-diensten hebben bedrijven soms last van ‘koudwatervrees’. Daarbij komt dat de ICT manager ( of een andere functionaris die ICT in portefeuille heeft) het gevoel zou kunnen hebben dat er minder werkzaamheden overblijven voor afdeling ICT. Wat weer zou kunnen leiden tot rationalisering van zijn of haar afdeling. Maar waarom zou je dure mensen werk laten doen wat je als dienst (commodity) kunt afnemen.
Ja, natuurlijk moet je kritisch kijken als bedrijf naar de oplossing die het beste bij je organisatie en functionele eisen past. En zaken als compliancy en security moeten ook afdoende afgedekt zijn. De internetverbinding of IP verbinding naar de SAAS-provider wordt daarbij ook belangrijker dan voorheen.
Een groot nadeel van SaaS is dat je niet kunt kijken in de keuken van de SaaS aanbieder. Een goed contract biedt geen zekerheid en mogelijke misstanden zullen niet aan het licht komen (bijvoorbeeld het doorverkopen van gevoelige data). SaaS afnemen is dus een kwestie van vertrouwen. SaaS is ook het deels uitsourcen van ICT, dit brengt organisatorische veranderingen met zich mee. Ook speelt ketenaansprakelijkheid een rol als de SaaS oplossing onderdeel is van het product of dienst wat je als bedrijf levert aan je klanten. Saas inzetten kan wel het onderscheidend vermogen van de organisatie vergroten, dit moet weer afgezet worden tegen de mogelijke risico’s.
Een uitstekende uiteenzetting van overwegingen die organisaties maken bij de keuze voor SaaS. Hij noemt specifiek veiligheid en beschikbaarheid en gaat daar heel diep op in. Naar mijn mening zijn die facetten niet de belangrijkste overwegingen die in de markt spelen. Het zijn vraagstukken waar de grotere (misschien ouderwetse?) bedrijven en instellingen als eerste aan denken bij hun keuze. Zij doen dat vanuit een bepaalde weerstand tegen verandering. Neem bijvoorbeeld de beschikbaarheid: er zullen niet veel bedrijven zijn die hun beschikbaarheid beter op orde hebben dan een hoster, die vanuit een doorsnee datacenter opereert. Zodra de dienst echter uit handen moet worden gegeven, wordt het ineens een belangrijk thema en worden er hogere eisen gesteld. Zo langzamerhand hebben professionele SaaS-bedrijven kunnen bewijzen dat het wel snor zit met de beschikbaarheid. Daardoor gaan de echt belangrijke voordelen meer aandacht verdienen, die Maarten overigens ook vermeldt op de website van zijn bedrijf: flexibiliteit, snelheid en lagere kosten.
Het is enigszins gedateerd om nog een balletje op te werpen of externe hosting (Saas) voldoende beschikbaarheid oplevert. De markt van Saas-leveranciers is groot genoeg en heeft voldoende volwassenheid. Kan een interne IT-afdeling dit evenaren? in bijzondere gevallen wel, maar veelal niet.
Geldt dat ook voor vertrouwelijkheid? Ja, het zal ook voor een interne afdeling een hele uitdaging zijn om te kunnen concurreren met partijen die daar hun specialiteit van hebben gemaakt. Ook hier geldt de markt heeft inmiddels voldoende volwassenheid om goed om te gaan vertrouwelijkheid.
Waarom dan nog wel zelf intern hosten? Kosten kunnen hier een grote rol spelen en morele redenen. Uiteraard kan de hosting goedkoop uitvallen, de benodigde services kunnen echter een stuk duurder zijn dan inzet door eigen mensen. Het antwoord zal moeten zitten in het hebben van voldoende kennis en tijd.
Prima artikel, maar wat is een SLA nou echt waard?Vodafone had waarschijnlijk ook een SLA van (minimaal) 99,8 procent met leveranciers afgesproken. Toch hadden zij een storing van een dag of twee. Daar sta je dan: ‘Maar je zei toch dat het maar anderhalf uur per maand zou falen?’
Tegelijkertijd wil je ook niet zelf verantwoordelijk zijn voor back-up. Je ziet jezelf al elke dag met je externe harde schijf naar de brandkluis lopen. Je weet immers nooit of er brand uitbreekt…
De oplossing is simpel: software plus services. Gebruikers kiezen zelf welke onderdelen zij vertrouwen aan een extern datacenter en welke onderdelen zij alleen lokaal ge?nstalleerd willen hebben. Of allebei. Op deze manier houden ze vertrouwelijke gegevens, indien gewenst, afgeschermd, maar met de zekerheid van online back-up en toegang tot gegevens op afstand.
Een SaaS-oplossing kent hoogstwaarschijnlijk een betere beschikbaarheid dan een organisatie die de software zelf lokaal draait. Dit door de omstandigheden waar de software draait, vaak een erkend datacenter met bijbehorende certificeringen, en de schaalgrootte van de SaaS-dienst. Let er hierbij als organisatie wel op dat de SaaS-dienst daadwerkelijk in een kwalitatief goed datacenter is ondergebracht.
Bij vertrouwelijkheid spelen psychologische overwegingen mee. De server waar de IT-manager controle over had, verdwijnt ?in the cloud?. Dat kan een onbehaaglijk gevoel geven. Niet nodig, omdat er bij goede SaaS-diensten nauwkeurig is nagedacht over de beveiliging.
Koudwatervrees bij de keuze voor SaaS heeft alles te maken met vertrouwen. Bij ‘platte’ producten als werkplek, email en websites is de klik om dit via SaaS te doen al redelijk geaccepteerd. Kijk maar naar Google, Microsoft, etc. Voor SaaS op business kritieke applicaties wordt het alleen gegund aan “vertrouwde” leveranciers. De ideale SaaS leverancier is dus een bedrijf dat zowel commodity diensten op een standaard manier aanbiedt en ook de bedrijfsapplicaties ermee kan integreren.