Veel organisaties vragen ons een cloudstrategie voor ze te formuleren. De eerste stap die wij dan meestal uitvoeren, is het inventariseren van hun applicatielandschap. Vrijwel altijd blijkt dat een flink deel van de applicaties al in de vorm van Software-as-a-Service (SaaS) wordt afgenomen. Vaak tot verrassing van de organisatie zelf! Zo’n situatie, waarin veel SaaS-applicaties worden afgenomen zonder plan of goede voorbereiding, kan problemen veroorzaken. Belangrijke zaken zijn namelijk niet geregeld, zoals back-ups, disaster recovery en koppelingen met andere applicaties. Omdat deze situatie vaak voorkomt, lees je in dit artikel hoe je orde schept in de SaaS-chaos én welk model hierbij handig is om te gebruiken.
Het belang van Cloud Governance
Wij adviseren meestal om daar waar mogelijk applicaties uit het (eigen) datacenter te vervangen door SaaS-applicaties, afhankelijk van bepaalde applicatiekarakteristieken. Meestal gaat dit over de standaard “commodity applicaties” die door veel andere, soortgelijke organisaties ook gebruikt worden en een organisatie niet per se onderscheiden. De logische reden hiervan is dat dit veel voordelen oplevert. Echter, wanneer deze beweging naar SaaS zonder vorm van Cloud governance (regie) plaatsvindt, kan dit leiden tot problemen. Maar dat wil niet zeggen dat je de eventuele negatieve impact van de risico’s niet kunt beperken! Zo hebben wij een risicobeheersingsmodel voor multi-cloud & SaaS ontwikkeld dat je kan gebruiken om de risico's te adresseren. Hieronder leg ik uit hoe dit model gebruikt wordt.
Risicobeheersingsmodel voor multi-cloud & SaaS
Onderstaand model toont risicogebieden en inperkende maatregelen. Niet alle risicogebieden zijn altijd even relevant voor elke SaaS-applicatie. Daarom is het belangrijk om de SaaS-applicaties te classificeren op basis van bijvoorbeeld de BIV (Beschikbaarheid, Integriteit en Vertrouwelijkheid) indeling. De BIV-classificatie geeft nuttige informatie die je kan gebruiken om een verhoogd risico vast te stellen. Aangevuld met extra informatie (bijvoorbeeld op het gebied van datafragmentatie en beheerlast) kan je vervolgens per applicatie bepalen voor welke risicogebieden risico's bestaan die ingeperkt moeten worden. Overigens pretendeert dit model niet 100% volledig te zijn. Het is best mogelijk dat er andere inperkende maatregelen te bedenken zijn.
Multi-cloud - risicogebieden
In het model behandelen we 8 risicogebieden:
- Beveiliging - is de SaaS-applicatie beschermd tegen ongewenste toegang?
- AVG-schendingen - indien de SaaS-applicatie Persoonlijk Identificeerbare Informatie (PII) verwerkt, is er kans op AVG-schendingen.
- Naleving regelgeving - vrijwel alle organisaties moeten zich houden aan wet- en regelgeving, wat impact kan hebben op de applicaties.
- Bedrijfscontinuïteit - wat gebeurt er als de SaaS-leverancier failliet gaat? Wat gebeurt er als er een ramp plaatsvindt waardoor de infrastructuur waarop de applicatie gehost wordt langere tijd niet beschikbaar is?
- Prestaties en beschikbaarheid - zijn de prestaties van de leverancier geborgd? Zijn er afspraken over de beschikbaarheid van de applicatie en wat zijn de DR- maatregelen?
- Data-fragmentatie en -kwaliteit - bij gebruik van veel SaaS-applicaties is de kans groot dat dezelfde data op meerdere plaatsen verspreid is. Ook is er een verhoogde kans dat bij gebruik op meerdere plaatsen er fouten in de data zitten.
- Administratieve last - hoe is het geregeld met bijvoorbeeld het (account-)beheer en de wijze waarop gegevens worden ingevoerd in de afzonderlijke applicaties? Vaak vinden er handmatige acties plaats die vele malen herhaald worden.
- Schaduw IT – SaaS-applicaties kunnen eenvoudig worden afgenomen door elke afdeling met een budget. Wat is het gevolg hiervan voor de organisatie en is dit gewenst?
Per risicogebied kan je de risico's in kaart brengen, waarna je kan besluiten of er inperkende maatregelen nodig zijn. Deze inperkingen zijn niet altijd nodig, je kan natuurlijk ook besluiten een risico te accepteren.
Risico-inperkende maatregelen in multi-cloud
Zodra je weet welke risico's ingeperkt moeten worden, is het tijd om te kijken naar de maatregelen die je gaat nemen. Deze maatregelen kan je indelen in technologische en governancemaatregelen. Dit is een nuttig onderscheid. Organisaties die veel SaaS-applicaties gebruiken, hebben een sterke regiefunctie of moeten deze ontwikkelen. Zij zijn vaak wel in staat om de governancemaatregelen zelf uit te voeren, maar hebben vaak ondersteuning nodig op het gebied van technologische maatregelen. Hoevéél ondersteuning ze nodig hebben, dat hangt af van de volwassenheid van de organisatie op het gebied van techniek en governance.
Maatregelen met een technologisch karakter zijn bijvoorbeeld het gebruik van SaaS beveiligings- en integratie-tools. Denk aan Cloud Access Security Brokers en Hybrid Integration Platforms. Maar ook automatisering valt hieronder. Veel van de maatregelen vallen echter in de categorie governance. Denk bijvoorbeeld aan het uitvoeren van audits, het opstellen van een exitstrategie en het implementeren van servicemanagement rollen voor SaaS-leveranciers. Bij de transformatie naar een regieorganisatie is het daarom heel belangrijk het beheermodel onder de loep te nemen. Eventuele nieuwe rollen, taken en verantwoordelijkheden worden hierin belegd zodat er een structuur ontstaat binnen de organisatie om de multi-cloud situatie beheersbaar te houden.
Implementatie van maatregelen zal niet alleen leiden tot beperking van de negatieve impact van bestaande risico's. Op termijn levert dit ook een hogere return on investment (ROI) op omdat er makkelijker data gedeeld kan worden, gebruikers makkelijker en sneller in kunnen loggen en repetitieve taken geautomatiseerd worden.
Krijg grip op SaaS-applicaties
Zou je meer grip willen hebben op jullie cloudsituatie? En heb je het gevoel dat je te weinig lusten en te veel lasten hebt van je SaaS-applicaties? Download onze quick guide, waarin je leest hoe je een intern samenstelt dat jullie Cloud governance naar een hoger niveau tilt.
