Komentuje Łukasz Piątkowsk, architekt rozwiązań biznesowych, SAP Polska[/b]
Wybierając dostawcę usługi SaaS, warto zwrócić uwagę na dwie sprawy: fizyczne zabezpieczenia serwerów, na których dostawca będzie przechowywał dane naszej firmy, oraz zabezpieczenia dotyczące dostępu do systemu.
Zabezpieczenia fizyczne warto obejrzeć samemu. Jeżeli jest taka możliwość, należy się wybrać do centrum hostingowego firmy, poprosić o pokazanie zabezpieczeń przed pożarem, powodzią, antywłamaniowych itp. W ten sposób przekonamy się, czy wzbudzają one zaufanie. W trakcie oprowadzania po centrum hostingowym można sprawdzić, jak dużo swobody zostawia nam przedstawiciel dostawcy.
Zorientujemy się wówczas, czy trudno uzyskać bezpośredni dostęp do pracujących serwerów.
Należy się także zapoznać z certyfikatami jakości, jakimi dysponuje firma. Warto poszukać np. certyfikacji ISO czy SAS 70.
Niezależnie od tego, czy korzystamy z systemu dostarczanego w modelu SaaS czy z tradycyjnego, bezpieczeństwo danych zawsze musi zapewnić dostawca.
Natomiast klient powinien przeszkolić pracowników w zakresie bezpiecznego i odpowiedzialnego korzystania ze służbowych laptopów oraz mechanizmów autoryzacyjnych. Chodzi przede wszystkim o odpowiednie fizyczne zabezpieczenie służbowych komputerów oraz zabezpieczenie haseł przed nieodpowiednim ich wykorzystaniem.[/ramka]
[ramka][b]Umowa z gwarancją jakości
Komentuje Jarosław Samonek, Trend Micro[/b]
Umowa dotycząca usług informatycznych w modelu SaaS powinna nie tylko dokładnie określać zakres odpowiedzialności, ale też precyzować, na jaką rekompensatę może liczyć klient, jeśli firma świadcząca usługę nie wywiąże się z zobowiązań.
Na przykład w naszej umowie gwarantujemy przestrzeganie jakości usług poprzez eliminację złośliwego oprogramowania i spamu. Zapewniamy też niezauważalność opóźnień związanych z przekierowaniem poczty na serwery zewnętrzne.
Jeśli nie dotrzymamy zobowiązań, klient może być nawet zwolniony z opłat za dany miesiąc.
Dbamy też o ochronę danych podczas przekazywania ich na zewnętrzny serwer, szyfrowania i przetwarzania. Do klienta należy ochrona własnych zasobów przed wyciekiem danych.[/ramka]
[ramka][b]Zadbaj o poufność loginów i haseł
Komentuje Bożena Skibicka, prezes Stowarzyszenia Praktyków Zarządzania Wiedzą, założycielka firmy MIS[/b]
Na konferencji poświęconej rozwiązaniom informatycznym udostępnianym w modelu SaaS zapytałam szefa IT międzynarodowej firmy, która wdrożyła aplikację w trybie SaaS, czy nie obawia się o bezpieczeństwo swoich danych. Był zdziwiony pytaniem. Odpowiedział, że za bezpieczeństwo odpowiada profesjonalna firma świadcząca usługę. Polscy przedsiębiorcy z sektora MŚP inaczej rozumieją bezpieczeństwo. Uważają, że gdy dane znajdują się w ich siedzibie, to są bezpieczne.
Pytam wtedy, jak zabezpieczony jest serwer przed dostępem z zewnątrz. Czy na pewno zabezpieczenie to zostało zaprojektowane i wdrożone przez wyspecjalizowaną firmę, czy może przez zaprzyjaźnionego informatyka zatrudnionego na część etatu? Czy firma ma opracowaną politykę bezpieczeństwa?
Czy ma przygotowane i zatwierdzone odpowiednie procedury? Czy krytyczne dane przechowywane są na serwerze czy na lokalnych komputerach? Jak zabezpieczony jest serwer przed nieuprawnionym dostępem?
Jak firma zabezpiecza dane przed nieuprawnionym kopiowaniem, drukowaniem, przesyłaniem na zewnątrz przez własnych pracowników? Czy standardowo robione są kopie bezpieczeństwa? Jak zabezpieczony jest serwer przed utratą zasilania?
A jak przed pożarem czy powodzią?
Niestety, większość odpowiedzi na te pytania świadczy o tym, że świadomość przedsiębiorców w kwestii bezpieczeństwa jest niewielka. Jeśli korzystamy z systemu w modelu SaaS, znaczna część obowiązków dotyczących zabezpieczania danych spada na dostawcę usługi.
Klient powinien zadbać o poufność loginów i haseł swoich pracowników. Badania wskazują, że to pracownicy są głównym źródłem zagrożenia dla firmowych systemów informatycznych. Dzięki usługom SaaS zagrożenie to jest w dużym stopniu minimalizowane.[/ramka]
