Our expert opinion on cloud.

Multi-cloud realiteit - veilig SaaS applicaties gebruiken

Geschreven door Dirk Straat op 27-feb-2019 16:34:50
Volg mij op:

Veel organisaties benaderen ons met de vraag een cloudstrategie te formuleren omdat ze er over nadenken "naar de cloud" te gaan. De eerste stap die wij dan meestal uitvoeren is het inventariseren van het applicatielandschap van de betreffende organisatie. Vrijwel altijd blijkt dat een flink deel van de applicaties al in de vorm van Software as a Service (SaaS) wordt afgenomen. Vaak tot verrassing van de opdrachtgever. Deze situatie is dan meestal ontstaan zonder plan waardoor belangrijke zaken zoals backup, disaster recovery en koppelingen met andere applicaties niet per sé goed geregeld zijn.

Wij adviseren organisaties veelal om daar waar mogelijk applicaties uit het (eigen) data center te vervangen door SaaS applicaties, afhankelijk van bepaalde applicatiekarakteristieken, omdat dit vele voordelen oplevert. Indien deze beweging naar SaaS echter zonder vorm van governance dan wel regie plaatsvindt, kan dit soms leiden tot problemen. Het gebruik van SaaS applicaties is dus niet geheel zonder risico's maar negatieve gevolgen hiervan zijn wel te beperken. Weolcan heeft hiervoor een multi-cloud & SaaS risico- en beheersings-model ontwikkeld wat gebruikt kan worden om deze risico's te adresseren. Wanneer u van plan bent om SaaS applicaties te gaan gebruiken kunt u dit model inzetten binnen uw organisatie.

Hieronder leg ik uit wat dit model is en hoe het gebruikt wordt. 

Multi-cloud & SaaS risico- en beheersings-model

Weolcan Cloud Risk and Mitigation ModelHet model toont risicogebieden en mitigerende maatregelen.  Niet alle risicogebieden zijn altijd even relevant voor elke SaaS applicatie. Daarom is van belang om de SaaS applicaties te classificeren gebruikmakend van bijvoorbeeld de BIV (Beschikbaarheid, Integriteit en Vertrouwelijkheid) indeling. De BIV classificatie geeft nuttige informatie  welke gebruikt kan worden om een verhoogd risico vast te stellen. Aangevuld met extra informatie - bv. op het gebied van datafragmentatie en beheerlast - kan vervolgens per applicatie bepaald worden voor welke risicogebieden er risico's bestaan welke gemitigereerd moeten worden.  Overigens pretendeert dit model niet per sé 100% volledig te zijn. Het is best mogelijk dat er andere mitigerende maatregelen te bedenken zijn. 

 

Multi-cloud - risicogebieden 

In het model worden er 8 risicogebieden onderkend:

  • beveiliging - is de SaaS applicatie beschermd tegen ongewenste toegang?
  • GDPR schendingen - indien de SaaS applicatie Persoonlijk Identificeerbare Informatie (PII) verwerkt is er kans op GDPR schendingen.
  • naleving regelgeving - vrijwel alle organisaties moeten zich houden aan wet- en regelgeving hetgeen impact kan hebben op de applicaties. 
  • bedrijfscontinuiteit - wat gebeurt er indien de SaaS leverancier failliet gaat? Wat gebeurt er indien er een ramp plaatsvindt waardoor de infrastructuur waarop de applicatie gehost wordt langere tijd onbeschikbaar is?
  • prestaties en beschikbaarheid - zijn de prestaties van de leverancier geborgd? Zijn er afspraken over de beschikbaarheid van de applicatie en wat zijn bijvoorbeeld de DR maatregelen?
  • data-fragmentatie en -kwaliteit - bij gebruik van veel SaaS applicaties is de kans groot dat  dezelfde data op meerdere plaatsen verspreid is. Ook is er een verhoogde kans dat bij gebruik op meerdere plaatsen er fouten in de data zitten.
  • administratieve last - hoe is het geregeld met bijvoorbeeld het (account-)beheer en de wijze waarop gegevens worden  ingevoerd in de afzonderlijke applicaties? Veelal vinden er handmatige acties plaats die vele malen herhaald worden. 
  • schaduw IT - SaaS applicaties kunnen eenvoudig worden afgenomen door elke afdeling met een budget. Wat is het gevolg hiervan voor de organisatie en is dit gewenst?

Per risico gebied kunnen de risico's in kaart worden gebracht waarna er besloten wordt of er mitigerende maatregelen nodig zijn. Mitigeren is niet altijd nodig, een organisatie kan ook besluiten een risico te accepteren.

Multi-cloud - risico-mitigerende maatregelen

Zodra bekend is welke risico's gemitigeerd moeten worden dient er gekeken te worden naar mitigerende maatregelen. Deze maatregelen kunnen in technologische en governance maatregelen ingedeeld worden. Dit is een nuttig onderscheid. Organisaties die veel SaaS gebruiken hebben een sterke regiefunctie of moeten deze ontwikkelen. Zij zijn veelal wel in staat om de governance maatregelen zelf uit te voeren maar hebben vaak ondersteuning nodig op het gebied van technologische maatregelen.

Maatregelen met een technologisch karakter zijn bv. het gebruik van SaaS beveiligings- en integratie-tools - denk aan Cloud Access Security Brokers en Hybrid Integration Platforms. Maar ook automatisering valt hieronder. Veel van de maatregelen vallen overigens in de categorie governance. Te denken valt aan het uitvoeren van audits, het opstellen van een exit strategie en het implementeren van service management rol voor SaaS leveranciers. Bij de transformatie naar een regieorganisatie is het daarom cruciaal het beheermodel onder de loep te nemen. Eventueel nieuwe rollen, taken en verantwoordelijkheden worden hierin belegd zodat er een structuur ontstaat binnen de organisatie om de multi-cloud realiteit beheersbaar te houden.

Implementatie van maatregelen zal niet alleen leiden tot beperken van de negatieve gevolgen van bestaande risico's. Op termijn levert dit ook een  hogere return on investment (ROI) op omdat er makkelijker data gedeeld kan worden, gebruikers makkelijker en sneller in kunnen loggen en repetitieve taken geautomatiseerd worden.

Weolcan kan u helpen met het uitvoeren van een risico-analyse omtrent de door u gebruikte SaaS applicaties. De resultaten leggen wij vast in een risico heat map. 

 Download hier gratis het PowerPoint template met de Heat Map (inclusief  instructies)

Onderwerpen: Cloud Strategie, Cloud Governance, SaaS, multi-cloud