Veel organisaties maken intensief gebruik van SaaS-applicaties. In het onderwijs, de gezondheidszorg en binnen overheidsorganisaties is het zelfs de norm. Logisch, want deze organisaties hebben andere dingen te doen. Met de inzet van Software-as-a-Service (SaaS) profiteren ze van de nieuwste IT-ontwikkelingen zonder de extra beheerlast. Tegelijkertijd brengt deze “ver-SaaS-ing” ook uitdagingen met zich mee. Zo maak je als grootgebruiker van SaaS-applicaties intensief gebruik van een veelheid aan externe leveranciers. De enige manier om in deze situatie in control te blijven, is door een cloud regieorganisatie te worden. Hoe je dat doet, lees je in dit artikel.
Van beheerorganisatie naar regieorganisatie
Een regieorganisatie is het tegenovergestelde van een beheerorganisatie. Waar je in een beheerorganisatie je IT zelf regelt, besteed je die in een regieorganisatie uit aan een of meerdere externe partijen. Zo komt er tijd en ruimte vrij voor de organisatie om zich op kerntaken te richten, zoals onderwijs of zorg.
Voor SaaS-grootgebruikers speelt de uitdaging dat de vraag naar IT vanuit de organisatie zelf komt, en de oplossing van buitenaf, in de vorm van SaaS-applicaties. Dat betekent dat je regie moet voeren over externe SaaS-leveranciers waar je maar beperkt mandaat hebt. En dat is hartstikke moeilijk. Want SaaS-leveranciers zitten niet bij je op kantoor en werken met andere processen en werkwijzen.
Grip op SaaS-leveranciers begint intern
Omdat de samenwerking met externe leveranciers een uitdaging is, richten veel organisaties zich naar buiten - naar die leveranciers. Voldoen zij aan alle veiligheidsvoorwaarden en voldoet de integratie aan onze eisen? Zo proberen organisaties hun leveranciers te managen. Niet onlogisch, maar cloudregie begint intern. SaaS gaat immers pas voor je werken als je het optimaal in kunt zetten in jouw organisatie, zodat het een middel wordt om je doelstellingen te halen. Pas als je intern aan alle (veiligheids)voorwaarden voldoet om met een SaaS-applicatie aan de slag te gaan, kan je je blik op je leveranciers richten. Vandaar mijn advies aan onze klanten:
"Draai de stoel eens wat vaker af van het raam naar de buitenwereld en kijk naar binnen. Want daar gebeurt het echte werk van jouw organisatie!"
Cloudregie begint met een regieteam
Een snelle recap. Als je SaaS-applicaties voor je wilt laten werken, moet je regie krijgen over SaaS-leveranciers en de interne organisatie zó inrichten dat je hun applicaties optimaal benut, maar met behoud van veiligheid, integratie en compliance. En ook dat is een uitdaging, zo blijkt uit onderstaand voorbeeld:
Bij de workshops die wij uitvoeren met klanten, en dan met name in het hoog-gereguleerde segment zoals zorg of financiën, horen we regelmatig dat SaaS-leveranciers grote moeite hebben om het vereiste niveau aan beveiliging aantoonbaar te realiseren. We horen onze klanten mopperen over SaaS die helemaal geen SaaS is ("nep-saas") en zien dat met name klanten in de financiële sector (dus onder regulering) daardoor het eisenpakket nog verder optrekken. Waar aanvankelijk ISO 27001 zo'n beetje de enige eis was, zien we dat klanten steeds vaker naar striktere control frameworks grijpen zoals ISAE 3402 of zelfs SOC type II verklaringen.
Dit voorbeeld toont aan hoe belangrijk het is om controle te houden over wat je gebruikt, waarvoor en door wie.
Cloudregie over SaaS-applicaties begint daarom bij een regieteam. Dit is een interne groep mensen die contact houdt met de SaaS-leveranciers, de IT-afdeling en andere interne stakeholders zoals de CFO. Het regieteam brengt in kaart welke verschillende clouds er gebruikt gaan worden. Ze zorgen ervoor dat er afspraken worden gemaakt met SaaS-leveranciers, regelen de borging van contracten maar voeren ook audits uit en stellen rapportages op. Daarnaast heeft zo’n regieteam ook een technische rol. Die SaaS-toepassingen dienen immers ingebed te worden in het bestaande applicatielandschap, moeten netjes aangesloten worden op de IAM zodat medewerkers via single-sign-on kunnen aanmelden en last but not least moet er een exitstrategie worden opgesteld.
Om het regieteam te ondersteunen, raad ik je aan om ons cloud governance framework te gebruiken. Met dit framework krijg je grip op cloudtechnologie en zet je deze zó in dat je bedrijfsdoelstellingen behaalt en innovatie versnelt.
Het WCGF bestaat uit categorieën, capabilities en bouwblokken en zorgt ervoor dat je regie (governance) in afgestemde samenhang en met afgesproken doelstellingen kunt uitvoeren.
Een voorbeeld is het bouwblok “strategic value tracking” in de Strategy kolom. Daarin is op het niveau van taken, bevoegdheden, verantwoordelijkheden én werkbelasting een praktisch toepasbare uitwerking gemaakt, waarmee je de inzet van SaaS optimaal in lijn brengt met de strategische doelstellingen van jouw organisatie.
Uiteraard hebben we de verdere detaillering van álle relevante bouwblokken voor handen, waardoor we ook in jouw situatie voor jouw SaaS regievraag antwoorden hebben. Kijk voor het gehele framework én de uitleg op onze governance website of mail naar carl.reitsma@weolcan.eu.
