Door: Kluwer
Organisaties besteden in toenemende mate softwarediensten uit. De voordelen lijken duidelijk: minder kosten en minder rompslomp. Maar er zijn ook risico's.
Dat uitbesteden vindt plaats onder de noemer software as a service (saas). Het past in de doelstelling om te besparen op kosten. Het in eigen beheer invoeren en onderhouden van it-applicaties - desktop-applicaties, crm, url-filtering, web-conferencing, archivering - is duur en vergt veel tijd.
Transparant
Saas dus. Want daarbij is het een kwestie van de wensen op een rij zetten, leverancier zoeken, het configureren van de applicatie en het opzetten van de verbinding. De kosten zijn transparant, want er wordt per tijdvak afgerekend.
Nadelen zijn dat er van maatwerk nauwelijks sprake is en de inpassing in de bestaande systemen lastig kan zijn, maar gezien het gemak en de kosten worden die voor lief genomen.
Risico's verminderen
Een van de voordelen is dat saas risico's kan helpen verminderen, afhankelijk van de functionaliteit en het type applicatie. Het uitbesteden van softwarediensten vermindert in de eerste plaats het risico van het niet beschikbaar zijn van applicaties in geval van een calamiteit. Url-filtering vermindert het risico op criminele activiteiten als 'phishing' en het naar binnen sluizen van kwaadaardige software.
Aan de andere kant: als de webverbinding uitvalt is de software niet beschikbaar. Een ander risico: de gegevens gaan over internet en dan is er altijd een risico dat ze in handen vallen van (kwaadwillende) onbevoegden.
Encryptie
Verder is het nooit erg duidelijk waar de gegevens zich bevinden. De saas-omgeving bestaat uit meerdere infrastructuren en ook de saas-leverancier maakt weer gebruik van derden voor de opslag van gegevens. Vergeleken met de it-infrastructuur in eigen huis hebben veel meer mensen buiten de deur toegang tot de gegevens. Ook de saas-omgeving is niet immuun voor Trojaanse paarden, phishing en andere narigheid. De afnemer van software as a service moet dus goed nagaan of de leverancier met encryptie de risico's voldoende verkleint. Ook moet helder zijn wie er toegang tot de gegevens heeft en hoe dat, in log-files, wordt bijgehouden.
Audit
Of de saas-leverancier dat kan waarmaken moet worden nagegaan met het natrekken van referenties of een audit volgens SAS 70 (Statement on Auditing Standards). Een dergelijke audit mag echter alleen door een gecertificeerde accountant worden uitgevoerd. Dat kost niet alleen geld, de saas-leverancier moet er mee instemmen en hij kan inzage in het (eventueel ongunstige) rapport weigeren.
Al te gevoelige informatie
Kortom, saas kan grote voordelen bieden in de vorm van kostenbesparing en efficiency. Aan de andere kant brengt het afnemen van softwarediensten van derden de nodige risico's met zich mee. Die zijn voornamelijk gerelateerd aan het feit dat informatie van de klant zich letterlijk elders bevindt. Ook al zijn er voldoende waarborgen geschapen, dan nog zouden organisaties zich tweemaal moeten bedenken, voordat zij besluiten om al te gevoelige informatie bij de saas-leverancier onder te brengen.
[ Bron: Dr. Rob van der Staaij, principal consultant bij Everett en competence leader van de Governance, Risk management & Compliance (GRC) Competence Group, via IT Executive ]