Coraz więcej firm dzierżawi oprogramowanie przez Internet (Software as a Service, czyli w skrócie SaaS). W ten sposób można pozyskać praktycznie każdą aplikację. Nie trzeba wtedy kupować licencji. Oprogramowanie od razu po wydzierżawieniu jest gotowe do użytku.
Za korzystanie z niego płaci się miesięczny abonament. Firma nie musi utrzymywać dodatkowej infrastruktury informatycznej i działu informatyki, gdyż cała kontrola nad systemem powierzona jest dostawcy usługi.
Minusem wynajmu oprogramowania jest to, że firma przez wiele lat musi płacić abonament. Gdy kupi licencję, po kilku latach inwestycja się zwróci. Należy jednak pamiętać o dodatkowych kosztach związanych z posiadaniem rozwiązania na własność.
Nie są to wyłącznie koszty licencji, ale także sprzętu, utrzymania infrastruktury, płace specjalistów w dziale IT, wydatki na uaktualnienia i wdrażanie nowych wersji oprogramowania.
[srodtytul]Wszystko zgodnie z procedurami[/srodtytul]
Użytkownicy doceniają korzyści z dzierżawy aplikacji, ale ciągle obawiają się o bezpieczeństwo danych znajdujących się na zewnętrznych serwerach. Obawy takie są bezpodstawne. Dane są o wiele mniej bezpieczne na własnych serwerach firmy niż w zewnętrznym, profesjonalnym data center.
– Dzięki zastosowaniu SaaS pracownicy korzystają z aplikacji i danych, które nie są przetrzymywane na lokalnych dyskach. Dane mogą być zabezpieczone przed kopiowaniem, przesyłaniem, drukowaniem, a dostęp do nich może być ściśle określony zgodnie z systemem działającym w danej firmie. Jeśli chodzi o zagrożenia zewnętrzne, mniejsze jest ryzyko włamania – mówi Artur Cyganek z Citrix Systems.
Wiele firm do modelu SaaS zniechęca obawa, że będą musiały zapewnić sobie niezawodne łącze internetowe. Poza tym boją się uzależnienia od zewnętrznego dostawcy.
– Łącza internetowe są coraz szybsze, a serwery mają zwiększony poziom bezpieczeństwa. Ponadto nad bezpieczeństwem danych czuwają wykwalifikowani administratorzy. Dane są wymieniane przy użyciu szyfrowanych połączeń – przekonuje Andrzej Miłosz, dyrektor działu rozwiązań systemowych w Asseco Business Solutions.
– Jeśli chodzi o uzależnienie od dostawcy, warto pamiętać, że gdy klient nie chce już korzystać z systemu w modelu SaaS, można przenieść system na infrastrukturę klienta bez obawy przed utratą zgromadzonych danych.
[srodtytul]Uzbrojony strażnik i certyfikaty[/srodtytul]
Ważnymi elementami bezpieczeństwa są profesjonalna obsługa systemów oraz zdublowana infrastruktura, dzięki której ewentualne przestoje systemów są mniej groźne.
– Można też spotkać bardziej wyszukane sposoby zwiększania bezpieczeństwa. Może to być na przykład uzbrojony strażnik, trudno dostępna lokalizacja centrum przetwarzania czy sprzętowe moduły zapewniające bezpieczeństwo połączeń – mówi Sebastian Pikur, konsultant w Infovide-Matrix.
Zanim skorzysta się z usług dostawcy oprogramowania, należy uważnie mu się przyjrzeć. Trzeba zapytać o referencje oraz sprawdzić, czy dostawca ma certyfikaty gwarantujące bezpieczeństwo, takie jak ISO 27k, SAS 70. Według normy ISO 27k analizowane jest ryzyko związane z bezpieczeństwem informacji, SAS 70 zaś to standard audytu dla firm prowadzących biznes oparty na zaawansowanej infrastrukturze informatycznej.
Dobrze jest osobiście odwiedzić centrum, w którym będą gromadzone firmowe dane. Warto obejrzeć serwerownię, zobaczyć, jakie zabezpieczenia fizyczne zostały użyte, czy dostęp do systemu nie jest zbyt łatwy.
[srodtytul]Wyjątki od reguły[/srodtytul]
Najważniejszym dokumentem dla klienta i dostawcy usługi jest umowa. Zapisy w niej mają m.in. gwarantować satysfakcjonujące bezpieczeństwo usługi oraz dostęp do zewnętrznych serwerów przez określony czas.
Większość dostawców oferuje umowy SLA (Service Level Agreement) ze standardowym już dziś dostępem do usługi na poziomie 99,5 proc. Ale możliwy jest także dostęp na poziomie 99,99 proc. Rzetelna umowa SLA powinna również zobowiązywać usługodawcę do płacenia kar umownych, jeśli nie można korzystać z programu przez czas dłuższy, niż zostało to ustalone.
Bywa, że danego rodzaju aplikacji nie można wydzierżawić, ale takich sytuacji jest niewiele.
– Z tradycyjnego modelu przechowywania danych we własnej infrastrukturze trzeba korzystać wtedy, gdy jest to wymagane przez prawo lub normy branżowe. Może być też tak, że efektywność używania własnych serwisów IT jest wyższa w porównaniu z outsourcingiem lub SaaS – mówi Piotr Nogaś z Symantec Polska. – Zdarza się też, że własne systemy informatyczne charakteryzują się unikalnymi rozwiązaniami i zapewniają długotrwałą przewagę konkurencyjną, jakiej nie zdobędziemy, używając rozwiązań w modelu SaaS.
[ramka][b]Argumenty za skorzystaniem z usługi SaaS[/b]
Wskazania ankietowanych przedstawicieli firm (w proc.)
- szybszy proces wdrożenia 57
- cykliczne opłaty abonamentowe zamiast licencji 54
- wyeliminowanie dodatkowych nakładów na infrastrukturę 52
- wewnętrzne jednostki IT w firmie mogą się koncentrować na strategicznych projektach 48
- za utrzymanie systemu odpowiada dostawca 31
- zredukowane jest niebezpieczeństwo porażki przy wdrożeni 31
- dodatkowe funkcje 19
- inne korzyści 13
[i]Źródło: raport Cutter Consortium[/i][/ramka]
[ramka][b]Sam sprawdź zabezpieczenia fizyczne
Komentuje Łukasz Piątkowsk, architekt rozwiązań biznesowych, SAP Polska[/b]
Wybierając dostawcę usługi SaaS, warto zwrócić uwagę na dwie sprawy: fizyczne zabezpieczenia serwerów, na których dostawca będzie przechowywał dane naszej firmy, oraz zabezpieczenia dotyczące dostępu do systemu.
Zabezpieczenia fizyczne warto obejrzeć samemu. Jeżeli jest taka możliwość, należy się wybrać do centrum hostingowego firmy, poprosić o pokazanie zabezpieczeń przed pożarem, powodzią, antywłamaniowych itp. W ten sposób przekonamy się, czy wzbudzają one zaufanie. W trakcie oprowadzania po centrum hostingowym można sprawdzić, jak dużo swobody zostawia nam przedstawiciel dostawcy.
Zorientujemy się wówczas, czy trudno uzyskać bezpośredni dostęp do pracujących serwerów.
Należy się także zapoznać z certyfikatami jakości, jakimi dysponuje firma. Warto poszukać np. certyfikacji ISO czy SAS 70.
Niezależnie od tego, czy korzystamy z systemu dostarczanego w modelu SaaS czy z tradycyjnego, bezpieczeństwo danych zawsze musi zapewnić dostawca.
Natomiast klient powinien przeszkolić pracowników w zakresie bezpiecznego i odpowiedzialnego korzystania ze służbowych laptopów oraz mechanizmów autoryzacyjnych. Chodzi przede wszystkim o odpowiednie fizyczne zabezpieczenie służbowych komputerów oraz zabezpieczenie haseł przed nieodpowiednim ich wykorzystaniem.[/ramka]
[ramka][b]Umowa z gwarancją jakości
Komentuje Jarosław Samonek, Trend Micro[/b]
Umowa dotycząca usług informatycznych w modelu SaaS powinna nie tylko dokładnie określać zakres odpowiedzialności, ale też precyzować, na jaką rekompensatę może liczyć klient, jeśli firma świadcząca usługę nie wywiąże się z zobowiązań.
Na przykład w naszej umowie gwarantujemy przestrzeganie jakości usług poprzez eliminację złośliwego oprogramowania i spamu. Zapewniamy też niezauważalność opóźnień związanych z przekierowaniem poczty na serwery zewnętrzne.
Jeśli nie dotrzymamy zobowiązań, klient może być nawet zwolniony z opłat za dany miesiąc.
Dbamy też o ochronę danych podczas przekazywania ich na zewnętrzny serwer, szyfrowania i przetwarzania. Do klienta należy ochrona własnych zasobów przed wyciekiem danych.[/ramka]
[ramka][b]Zadbaj o poufność loginów i haseł
Komentuje Bożena Skibicka, prezes Stowarzyszenia Praktyków Zarządzania Wiedzą, założycielka firmy MIS[/b]
Na konferencji poświęconej rozwiązaniom informatycznym udostępnianym w modelu SaaS zapytałam szefa IT międzynarodowej firmy, która wdrożyła aplikację w trybie SaaS, czy nie obawia się o bezpieczeństwo swoich danych. Był zdziwiony pytaniem. Odpowiedział, że za bezpieczeństwo odpowiada profesjonalna firma świadcząca usługę. Polscy przedsiębiorcy z sektora MŚP inaczej rozumieją bezpieczeństwo. Uważają, że gdy dane znajdują się w ich siedzibie, to są bezpieczne.
Pytam wtedy, jak zabezpieczony jest serwer przed dostępem z zewnątrz. Czy na pewno zabezpieczenie to zostało zaprojektowane i wdrożone przez wyspecjalizowaną firmę, czy może przez zaprzyjaźnionego informatyka zatrudnionego na część etatu? Czy firma ma opracowaną politykę bezpieczeństwa?
Czy ma przygotowane i zatwierdzone odpowiednie procedury? Czy krytyczne dane przechowywane są na serwerze czy na lokalnych komputerach? Jak zabezpieczony jest serwer przed nieuprawnionym dostępem?
Jak firma zabezpiecza dane przed nieuprawnionym kopiowaniem, drukowaniem, przesyłaniem na zewnątrz przez własnych pracowników? Czy standardowo robione są kopie bezpieczeństwa? Jak zabezpieczony jest serwer przed utratą zasilania?
A jak przed pożarem czy powodzią?
Niestety, większość odpowiedzi na te pytania świadczy o tym, że świadomość przedsiębiorców w kwestii bezpieczeństwa jest niewielka. Jeśli korzystamy z systemu w modelu SaaS, znaczna część obowiązków dotyczących zabezpieczania danych spada na dostawcę usługi.
Klient powinien zadbać o poufność loginów i haseł swoich pracowników. Badania wskazują, że to pracownicy są głównym źródłem zagrożenia dla firmowych systemów informatycznych. Dzięki usługom SaaS zagrożenie to jest w dużym stopniu minimalizowane.[/ramka]