Det finns många fördelar med Software-as-a-Service (SaaS), eller det som också kallas molnbaserade programvaruprodukter. Som kund får du tillgång till snabb, stabil, innovativ och kostnadseffektiv teknik och applikationsinfrastruktur. Många organisationer är medvetna om dessa fördelar. Det är därför SaaS har blivit den föredragna leveransmodellen inom många områden. Men som vi alla vet finns det oftast också en baksida av myntet som man måste ta hänsyn till.
När det gäller SaaS kan omständigheterna kring datasäkerhet lätt bli den andra sidan, och därför är det en mycket viktig faktor att undersöka.
Frågan är: "Har du gjort ett grundligt förberedande arbete när det gäller att utvärdera din SaaS-leverantörs inställning till datasäkerhet?"
Moln eller lokalt?
De flesta av er vet säkert redan vad moln respektive on-premise står för. Men för att ytterligare sätta scenen ska jag kortfattat beskriva skillnaderna mellan de två leveransmodellerna. I ett molnbaserat tillvägagångssätt tillhandahålls programvara och data off-site. När vi däremot talar om on-premise är hela installationen med hårdvara och servrar som behövs för att köra applikationer och lagra data placerad hos dig själv - därav namnet on-premise. Den största fördelen med molnlösningen är att den är mer flexibel och kostnadseffektiv. Som företag behöver du inte investera i den hårdvara eller programvara som krävs för att köra applikationer. Du behöver inte heller oroa dig för underhåll och uppdateringar av respektive programvaruprodukt. Däremot förlorar ni möjligheten att ha full kontroll över datasäkerheten.
När vi talar om SaaS delar du och din leverantör ansvaret för datasäkerheten - leverantören tar hand om allt som rör den underliggande infrastrukturen, och du ansvarar för att produkten används på ett korrekt, säkert och tryggt sätt.
Frågan är: "Kan du lita på att din SaaS-leverantör är seriös med sin del av jobbet?"
Vad du behöver tänka på
Jag har 3 tips till dig när det gäller säkerhet och SaaS solutions. De är relevanta både om du letar efter ny programvara och är ute och analyserar marknaden, men också om du överväger att granska dina befintliga leverantörer. Förresten, det är en bra sak att göra då och då.
Okej, då kör vi:
1. Välj dina SaaS-leverantörer med omsorg
Det första tipset är, enligt min mening, det viktigaste. Det handlar om förtroende.
Utbudet av SaaS-baserade solutions är enormt. Du har massor av alternativ. Som ett exempel, inom vårt expertområde, Expense Management och solutions för hantering av resekostnader, finns det många alternativ att välja mellan idag. Faktum är att en stor del av ansvaret för datasäkerhet ligger hos programvaruleverantören, så du måste vara försiktig när du väljer vem du ska arbeta med.
Du måste leta efter leverantörer som erbjuder solid kontroll med användarrättigheter och dataåtkomst i lösningen, och om möjligt är det också ett plus om leverantören kan erbjuda datakryptering. Det är också viktigt att du frågar dig var och hur data lagras. Förvaras data i hemlandet, i EU, utanför EU eller i en källare någonstans? Vad kännetecknar serverinstallationen och säkerheten kring denna?
Du måste också kontrollera hur processen relaterad till säkerhetskopiering och datahämtning fungerar.
Kom också ihåg att det inte är kostnadsfritt för en SaaS-leverantör att upprätta och underhålla en stark säkerhetsinstallation med väldokumenterade processer. Därför råder jag dig att tänka två gånger innan du väljer den billigaste lösningen på din lista - det kan bli en dyr affär i det långa loppet!
2. Implementera regler för användning av molnbaserade applikationer
Detta tips är relaterat till din del av jobbet - med andra ord handlar det om lämplig och säker användning av SaaS-produkter. Du måste formulera och implementera en tydlig policy och ett regelverk för användningen av molnbaserad programvara.
Helst ska denna policy både rikta sig till användarna och till de beslutsfattare som köper programvaran. Det måste vara ett regelverk som definierar vilken typ av anställda som ska få tillgång till respektive verktyg, och vilka åtkomstnivåer de olika anställda ska ha. Det måste också specificeras hur produkterna kan nås - dvs. via vilka enheter.
En policy som denna bör också kopplas till hur företaget utbildar de anställda i korrekt beteende i samband med användning av internetbaserad programvara solutions. Hur skyddar t.ex. medarbetarna sig själva, sina identiteter, användarnamn och lösenord på bästa möjliga sätt?
3. Fundera på om ni behöver ett separat verktyg för att skydda era SaaS-data
Kanske använder du redan SaaS-produkter från flera respekterade leverantörer med starka säkerhetsåtgärder. Men samtidigt kanske ert applikationslandskap har blivit så komplext att det nu är meningsfullt att investera i ett eget säkerhetslager.
Detta tips hänger naturligtvis nära samman med tips nummer 2, eftersom det finns solutions på marknaden som hjälper dig att hantera din del av säkerhetsuppgiften. Det är dock en god idé att ha ett ramverk med regler och policies på plats (enligt tips nummer 2) innan du börjar leta efter ett verktyg som hjälper dig att upprätthålla dem. Säkerhetsöverträdelser kan ske på många olika sätt, t.ex. genom olämplig delning av data, stöld (t.ex. anställda som stjäl data), komprometterade användarkonton på grund av dåliga lösenord, överdrivna användarrättigheter osv. Det är dessa typer av intrång som du måste hantera.
Poängen är att när du inför regler för användningen av organisationens molnbaserade verktyg måste du också se till att dina anställda följer reglerna. Och detta kan vara en utmaning om landskapet har blivit stort och komplext. Det finns en hel del solutions där ute som kan hjälpa dig med detta, och till att börja med kan du kolla in vad några av de stora aktörerna, som McAfee och RSI, har att erbjuda.
Ett delat ansvar
Som jag nämnde tidigare i det här blogginlägget har du och din leverantör ett delat ansvar för datasäkerheten när det gäller SaaS solutions. Enligt min mening är detta viktigt att komma ihåg. Och det är där jag går med dessa 3 tips. Så oavsett hur försiktig din egen organisation kan vara kring SaaS-säkerhet, har det ingen inverkan om du har valt en leverantör som inte klarar av sin del av uppgiften. Och tvärtom, naturligtvis.
Mitt företag, Acubiz, är en väletablerad leverantör av molnbaserad programvara för hantering av personal- och reseräkningar. Vi ser allvarligt på vår del av jobbet som rör datasäkerhet. Verkligen mycket seriöst. Det är en viktig komponent i vår produktstrategi, eftersom vi anser att en stark datasäkerhetsuppsättning skyddar den investering som våra kunder har gjort i vår tjänst.
Kom ihåg att du har rätt att ställa krav på dina leverantörer. Det är så det ska vara i en förtroendefull relation.
Frågan är: "Litar du på dina nuvarande SaaS-leverantörer?"