De meeste organisaties en personen zijn er inmiddels van overtuigd dat het veiliger is om geld bij de bank te bewaren dan in een kluis of onder een matras. Maar gaat dit ook op voor het onderbrengen van vertrouwelijke gegevens bij een SaaS-leverancier versus hosting op eigen servers? Net als bij geld gaat het hier om twee aspecten van veiligheid. Kan ik er op elk moment zelf bij en kan ik er op vertrouwen dat anderen er niet mee vandoor gaan? Onze experts van het topic SaaS aan het woord.
Maarten van Emmerik, directeur, Axxerion
Een belangrijk verschil tussen SaaS en interne hosting is dat de interne ict-afdeling niet meer bij de servers en database kan. Bij interne software hebben ict-medewerkers vaak wachtwoorden waarmee vertrouwelijke gegevens zoals salarissen en e-mailberichten opgevraagd kunnen worden. Voor unitmanagers en directie kan dit een argument zijn om juist voor een SaaS te kiezen. Hetzelfde kan spelen bij samenwerkingsverbanden of conglomeraten die via een SaaS aan bedrijfsprocessen samenwerken. Het installeren van de software bij één van de partijen kan gevoelig liggen bij de overig partijen. De SaaS-aanbieder wordt als neutrale partij gezien en heeft zelf ook geen enkel belang bij inzage in interne informatie.
Over het algemeen zou je kunnen stellen dat SaaS in de meeste gevallen een betere combinatie van beschikbaarheid en vertrouwelijkheid kan bieden dan interne hosting. Organisaties die voldoende budget en faciliteiten hebben, kunnen de veiligheid nog verhogen door op een intern netwerk te werken. De keuze wordt ook bepaald door (bedrijfs)politieke factoren. Sommige SaaS-aanbieders leveren ook een soort 'best of both worlds'-oplossing waarbij de klant een eigen server krijgt die wel bereikbaar is voor eigen medewerkers en alleen via een speciaal netwerk. Deze 'single-tenant'-configuratie is misschien formeel geen SaaS meer, maar een soort 'private banking' naar analogie van het bankwezen.
Marco Boerlage, manager development, DBS Business Solutions
Als management/directie kiest voor SaaS omdat hierbij salarissen en e-mailberichten niet toegankelijk zouden zijn voor interne medewerkers, dan zijn deze beslissers niet goed voorgelicht. Hosting providers bemoeien zich meestal niet met het beheer van de bedrijfsapplicatie zelf. De dienst stopt vaak bij het DBMS, het aanmaken van databases en het upgraden van de applicatielaag is de taak van de specialisten die het ook al deden toen het systeem nog on site stond. Bij hosting door een externe partij neemt het aantal personen met toegang tot de gegevens alleen maar toe. Maar wie weet, misschien zijn die onbekenden wel meer te vertrouwen dan je eigen personeel…
Gregor Petri, sr. director enterprise it-management, CA EMEA
Vragen wat veiliger is, is mijns inziens het stellen van de verkeerde vraag. 95 procent of 97 procent veilig maakt namelijk geen verschil. Statistisch wel, maar de meeste van ons zijn geen statistiek en willen er ook geen worden. Een betere vraag is: Als, of wanneer, het mis gaat, ben ik dan overgeleverd aan mijn provider of kan ik het zelf (laten ) oplossen? Vragen die dan volgen zijn krijg ik regelmatig een back-up en kan ik die back-up ook draaien? Kan ik dat in-house en/of kan dat bij een andere provider? En, wanneer data wordt gestolen , is deze dan versleuteld? Kortom, in ict is iets kunnen genezen vaak belangrijker dan het (theoretisch en kostbaar) trachten te voorkomen.
Peter Boogaard, managing partner, Compass ICT
In een overstap naar SaaS-diensten hebben bedrijven soms last van 'koudwatervrees'. Daarbij komt dat de ict-manager ( of een andere functionaris die ict in het portefeuille heeft) het gevoel zou kunnen hebben dat er minder werkzaamheden overblijven voor de afdeling ict. Wat weer zou kunnen leiden tot rationalisering van zijn of haar afdeling. Maar waarom zou je dure mensen werk laten doen wat je als dienst (commodity) kunt afnemen? Ja, natuurlijk moet je kritisch kijken als bedrijf naar de oplossing die het beste bij je organisatie en functionele eisen past. En zaken als compliancy en security moeten ook afdoende afgedekt zijn. De internetverbinding of IP-verbinding naar de SaaS-provider wordt daarbij ook belangrijker dan voorheen.
Henri Koppen, it-consultant, Kennis Momentum
Een groot nadeel van SaaS is dat je niet kunt kijken in de keuken van de SaaS-aanbieder. Een goed contract biedt geen zekerheid en mogelijke misstanden zullen niet aan het licht komen (bijvoorbeeld het doorverkopen van gevoelige data). SaaS afnemen is dus een kwestie van vertrouwen. SaaS is ook het deels outsourcen van ict en dit brengt organisatorische veranderingen met zich mee. Ook speelt ketenaansprakelijkheid een rol als de SaaS-oplossing onderdeel is van het product of dienst wat je als bedrijf levert aan je klanten. SaaS inzetten kan wel het onderscheidend vermogen van de organisatie vergroten, dit moet weer afgezet worden tegen de mogelijke risico's.
Roland Sars, director marketing and business development, BackupAgent
Naar mijn mening zijn veiligheid en beschikbaarheid niet de belangrijkste overwegingen die in de markt spelen. Het zijn vraagstukken waar de grotere (misschien ouderwetse?) bedrijven en instellingen als eerste aan denken bij hun keuze. Zij doen dat vanuit een bepaalde weerstand tegen verandering. Neem bijvoorbeeld de beschikbaarheid: er zullen niet veel bedrijven zijn die hun beschikbaarheid beter op orde hebben dan een hoster, die vanuit een doorsnee datacenter opereert. Zodra de dienst echter uit handen moet worden gegeven, wordt het ineens een belangrijk thema en worden er hogere eisen gesteld. Zo langzamerhand hebben professionele SaaS-bedrijven kunnen bewijzen dat het wel snor zit met de beschikbaarheid. Daardoor gaan de echt belangrijke voordelen, flexibiliteit, snelheid en lagere kosten, meer aandacht verdienen.
Emo Prins, ceo, BusinessBase
Het is enigszins gedateerd om nog een balletje op te werpen of externe hosting (SaaS) voldoende beschikbaarheid oplevert. De markt van SaaS-leveranciers is groot genoeg en heeft voldoende volwassenheid. Kan een interne ict-afdeling dit evenaren? In bijzondere gevallen wel, maar veelal niet. Geldt dat ook voor vertrouwelijkheid? Ja, het zal ook voor een interne afdeling een hele uitdaging zijn om te kunnen concurreren met partijen die daar hun specialiteit van hebben gemaakt. Ook hier geldt dat de markt inmiddels voldoende volwassen is om goed om te gaan vertrouwelijkheid. Waarom dan nog wel zelf intern hosten? Kosten kunnen hier een grote rol spelen en morele redenen. Uiteraard kan de hosting goedkoop uitvallen, de benodigde services kunnen echter een stuk duurder zijn dan inzet door eigen mensen. Het antwoord zal moeten zitten in het hebben van voldoende kennis en tijd.
Dave Kroder, country manager, Mamut Software
Wat is een SLA nou echt waard?Vodafone had waarschijnlijk ook een SLA van (minimaal) 99,8 procent met leveranciers afgesproken. Toch hadden zij een storing van een dag of twee. Daar sta je dan: 'Maar je zei toch dat het maar anderhalf uur per maand zou falen?' Tegelijkertijd wil je ook niet zelf verantwoordelijk zijn voor back-up. Je ziet jezelf al elke dag met je externe harde schijf naar de brandkluis lopen. Je weet immers nooit of er brand uitbreekt… De oplossing is simpel: software plus services. Gebruikers kiezen zelf welke onderdelen zij vertrouwen aan een extern datacenter en welke onderdelen zij alleen lokaal geïnstalleerd willen hebben. Of allebei. Op deze manier houden ze vertrouwelijke gegevens, indien gewenst, afgeschermd, maar met de zekerheid van online back-up en toegang tot gegevens op afstand.
Paul van der Velde, commercieel product manager, KPN
Een SaaS-oplossing kent hoogstwaarschijnlijk een betere beschikbaarheid dan een organisatie die de software zelf lokaal draait. Dit door de omstandigheden waar de software draait, vaak een erkend datacenter met bijbehorende certificeringen, en de schaalgrootte van de SaaS-dienst. Let er hierbij als organisatie wel op dat de SaaS-dienst daadwerkelijk in een kwalitatief goed datacenter is ondergebracht. Bij vertrouwelijkheid spelen psychologische overwegingen mee. De server waar de ict-manager controle over had, verdwijnt 'in the cloud'. Dat kan een onbehaaglijk gevoel geven. Niet nodig, omdat er bij goede SaaS-diensten nauwkeurig is nagedacht over de beveiliging.
Experts gezocht
Computable heeft op al zijn 26 topics een expertpanel. Wij zoeken echter altijd meer expert, op al onze topics, maar voor de komende tijd zoeken wij specifiek naar experts op de volgende vakgebieden:
Besturingssystemen: besturingssystemen@computable.nl
eHRM: ehrm@computable.nl
Internet: internet@computable.nl
Maatschappij: maatschappij@computable.nl
Mobility: mobility@computable.nl
Ben jij expert op een van bovengenoemde vakgebieden of een ander Computable-topic en wil je als vraagbaak van de redactie dienen, stuur dan een e-mail met je gegevens (naam, functie, bedrijf, werkzaamheden) naar het bijbehorende e-mailadres.