In de afgelopen jaren nam de verplaatsing naar ‘as-a-service’ een vlucht, gedreven door de pandemie en bestaande en oplopende tekorten met betrekking tot mensen, kennis en tijd. Software-as-a-service (saas) biedt organisaties een volledig beheerde softwareomgeving. Laat juist dát tegenwoordig een van de grootste uitdagingen waarvoor it-teams staan.
Waar er, vooral binnen de security-markt, eerst terughoudendheid bestond om saas te gebruiken, lijkt dat inmiddels verleden tijd en wordt het breed geadopteerd. Dit heeft te maken met onjuiste vooroordelen over deze as-a-service-dienst. Het was lange tijd niet denkbaar dat bedrijven de controle over hun managementomgeving af zouden geven aan een externe partij. Dit zou zelfs extra beveiligingsrisico’s introduceren. De praktijk heeft uitgewezen dat dit niet het geval is. Het kan juist een voordeel zijn om dit deel van de omgeving door de leverancier of serviceprovider te laten beheren vanwege hun specialisme hierin. Daarnaast wordt het beheren van de managementomgeving een steeds grotere uitdaging voor veel it-teams dankzij de tekorten.
Complexiteit van de it-omgevingen
Een van de grootste voordelen die organisaties kunnen behalen door saas af te nemen, is een hoger niveau van beveiliging. De (gecreëerde) complexiteit van de it-omgevingen van tegenwoordig en het tekort aan mankracht hebben het lastig gemaakt voor it-teams om een actueel beheerbeleid te voeren, bijvoorbeeld met betrekking tot updates en patches. En dat terwijl het up-to-date houden van de omgeving een basisprincipe is van een veilige omgeving. Het steeds groter wordende aantal updates en patches in combinatie met de eerdergenoemde uitdagingen, maakt het voor veel it-teams simpelweg onmogelijk om deze op tijd door te voeren. Een saas-partner kan ervoor zorgen dat updates en patches wel tijdig worden doorgevoerd, waardoor de omgeving niet ten prooi kan vallen aan cyberaanvallen gericht op oude ongepatchte kwetsbaarheden – iets dat nog al te vaak voor komt.
Daarnaast brengen saas-partners specialistische kennis met zich mee over het aanvalslandschap en de tactieken die cybercriminelen gebruiken om organisaties te compromitteren. Met name leveranciers die kunnen putten uit data-lakes, kunnen in near realtime nieuwe aanvalspatronen en -tactieken ontdekken en updates uitbrengen en doorvoeren die organisaties hiertegen beschermen.
Flexibiliteit
De ontwikkelingen van de afgelopen jaren hebben het mogelijk gemaakt om de managementomgeving te verplaatsen van on-premises naar buiten de fysieke perimeters van de organisatie, zoals in de cloud. Ook saas-diensten hebben zich hierop aangepast en zijn toe te passen op elke omgeving. Dit geeft organisaties de flexibiliteit om applicaties en workloads te plaatsen in de omgeving die daarvoor het geschikts is, zonder dat zij zich zorgen hoeven te maken dat die omgeving niet goed te beheren of beveiligen valt.
Naast dat saas is in te zetten in elke it-omgeving, levert ook de manier waarop deze geleverd wordt extra flexibiliteit op. As-a-service-diensten evolueren zich steeds vaker naar een pay-per-use-model waarbij de afnemers enkel betalen voor wat zij gebruiken. Hierdoor wordt er niet langer een vast maandelijks of jaarlijks bedrag betaald voor een vast scala aan diensten, maar is dit veel meer afgestemd op wat de organisatie op dat moment nodig heeft. Dit scheelt in de kosten – deze zijn beter in lijn met de business die je op dat moment doet – en geeft de organisatie ook de mogelijkheid om snel op of af te schalen zonder compromissen te doen aan de algehele beveiliging.
Lagere kosten
Een hoger niveau van beveiliging en ook de toegenomen flexibiliteit leiden op zowel korte als lange termijn tot lagere kosten. Zo verlaagt het up-to-date houden van het beheer van de it-omgeving de kosten die nodig zijn updates en patches uit te rollen en heeft de organisatie niet te maken met de hoge kosten die vaak gepaard gaan met achterstallig onderhoud. Daarnaast wordt het risico dat de organisatie gecompromitteerd wordt door ongepatchte kwetsbaarheden sterk gereduceerd. De kosten van een inbraak worden door Forrester geschat op twee miljoen dollar per inbraak. Vervolgens geeft een pay-per-use-model organisaties de ruimte om enkel te betalen voor dat wat zijn gebruiken. Op de lange termijn levert het saas-model meer tijd op voor it-teams om hun aandacht te richten op innovatie en projecten die extra waarde leveren.
Er zijn inmiddels saas-aanbiedingen voor organisaties van elk formaat en voor alle sectoren. Ook organisaties in zwaarder gereguleerde sectoren – zoals de zorg, overheden en financiële instellingen – beginnen SaaS inmiddels te adopteren. Deze organisaties kunnen terecht bij gespecialiseerde saas-partners die bijvoorbeeld kunnen garanderen dat hun data de Nederlandse grenzen niet verlaten of dat gevoelige data gehost worden in een Europees datacenter, waardoor zij altijd compliant zijn met bestaande wet- en regelgeving. Zo bestaan er voor elke sector passende partners.
Saas zorgt voor een sneller en completer beheer- en beveiligingsbeleid van de it-omgeving en maakt dat bedrijven zich sneller kunnen aanpassen aan elke situatie. it. Het is een toekomstbestendig model dat organisaties het beveiligingsniveau en de flexibiliteit geeft die nodig zijn om de uitdagingen van vandaag de dag aan te pakken.
Google, Facebook, Twitter.
Allemaal SaaS oplossingen, veilig he.
En flexibel, al een geprobeerd iets uit de google cache te laten verwijderen of iets bij fb/twitter voor elkaar te krijgen ?
en dan dat beheerbeleid en dat gehuil om tekorten.
Dokters willen fatsoenlijk consult doen, geen verantwoording van hun tijd aan iemand zonder kennis maar met excel sheet.
Leraren willen voor de klas, geen malle sheets invullen
Verzorgers bij de patient, of zouden ze dat vak gekozen hebben vanwege hun liefde voor administratie ?
en beheerders ? Patchen, ze willen patchen. Updaten, Testen. Laat ze patchen, updaten, testen … opgelost.
toch wonderlijk dat management zich nu ineens druk maakt om de ongepatchte kwetsbaarheden, terwijl zo’n maandelijkse patchdag uit alle macht werd tegengehouden.
dan de kosten.. “Zo bestaan er voor elke sector passende partners.”
Sywert leverde mondkapjes, met zn mondkapjes service (“gewoon die shit naar Nederland halen”) middelvinger naar klant er gratis bij.
Overheid ontzorgd.
En wie willen jullie gillend rijk maken ?
Dit artikel heeft wel een heel erg WC-eend gehalte.
Allereerst is SaaS natuurlijk niets anders dan dat je alles bij een ander neerlegt.
Stelselmatig in ik weet niet hoeveel kleurenfolders wordt er dan gewag gemaakt dat de kosten lager zijn en de kennis bij al die partijen top-notch is. Mijn ervaring is dat dit niet altijd het geval is. Veelal zijn het software leveranciers die verSaaSen, maar van IT-Infra merk je gewoon dat ze dat nog niet echt onder knie hebben. Wat er dan vaak gebeurd is dat dat deel weer bij een andere partij ligt en daar begint dan de technische en juridische geneuzel wie waar voor verantwoordelijk is en wat daarvoor gedaan moet worden.
Over security en privacy kan ik nog uren doorpraten. maar dat begrijpen veel helaas veel software ontwikkelaars ook niet. Een 27001 certificaatje gaat je bij mij daarbij niet helpen.
Het andere punt, dat het stukken goedkoper wordt, bestrijdt, ja voor de software ontwikkelaar. Als je van 1000 install bases naar een SaaS omgeving gaat en die heb je goed ingericht, dan heb je niet al die verbijzonderde maatwerk rommel bij je klanten meer. Dus de kosten van de software leverancier gaan naar beneden. Voor de klant krijg je er eensheidsworst voor terug, omdat alles standaard moet blijven. En de standaard van veel leveranciers is toch vaak niet wat de vragende kant wil. En je moet op je knieen om iets gewijzigd te krijgen.
SaaS is de trend, maar laten we nu niet doen of het de heilige graal is.
Dat SaaS een vorm van uitbesteding is lijkt me een open deur, de vraag is echter wat je uitbesteed want ik denk dat beveiliging geen product of dienst is maar een attitude. En SaaS gaat uiteindelijk vooral om een functionele uitbesteding. Wat betreft WC-eend ben ik benieuwd wat Pieter probeert te verkopen, leveranciers die kunnen putten uit data-lakes lijken me namelijk in strijd met enkele Europese regels te handelen.