Sharing IT Best Practices with youSharing IT Best Practices with you
SaaS beveiligingsrisico’s
SaaS (Software as a Service) is in de afgelopen jaren de IT basis geworden voor veel ondernemingen over de hele wereld. Het biedt niet alleen een stap voorwaarts voor het delen van data, maar ook het bewijs dat men bereid is de nieuwste technologien toe te passen. SaaS is een stap in de toekomst, een stap waarbij gebruikers afscheid nemen van serverruimtes, cd’s, dvd’s en externe schijven.
SaaS wordt meestal gekozen vanwege een aantal voordelen voor businessmanagers en het gebruiksgemak voor medewerkers. De SaaS technologie is echter nog relatief nieuw en er zijn nog steeds zorgen, risico’s en misvattingen met betrekking tot deze diensten. Dit komt vooral omdat het gebruik van SaaS vaak impliceert dat je minder grip hebt op de data-opslag.
Omdat ze hun data in beheer van een derde partij geven, maken veel gebruikers zich zorgen over wie toegang krijgt. Ze hebben er minder zicht op en vrezen voor de mogelijke verspreiding, verwijdering of corruptie van hun data door niet-geautoriseerde mensen. Het is vooral zorgwekkend voor gebruikers die van plan zijn om data op te slaan met een hoog risico als die in de handen van anderen komt, vooral van hun concurrenten.
Het beleid en de procedures die door de SaaS-provider worden geïmplementeerd kan iedereen echter beoordelen en bespreken. De klant kan het toegangsniveau bepalen en aan wie het wordt verleend. Alle providers zijn verplicht om deze voorwaarde in de Algemene voorwaarden op te nemen, maar zorg ervoor dat je deze controleert voordat je tekent. Wees zelfsbewust over het soort privacyvragen dat SaaS-aanbieders zouden moeten stellen en aarzel niet om jezelf goed te informeren over de technische kant van de oplossing.
Hoe krijg je bijvoorbeeld je data terug als je besluit om het abonnement niet te verlengen?
Veiligheid en stabiliteit zijn de pijlers waarop betrouwbare SaaS-software steunt. De diensten worden steeds populairder, wat een tweesnijdend zwaard is. Aan de ene kant betekent dit meer opties voor gebruikers en hoogwaardige services. Iedere provider wordt gedwongen om de concurrentie bij te houden. Niet iedereen kan de groeiende markt echter bijhouden. Uiteindelijk kan een aanbieder failliet gaan omdat hij niet meer kan concurreren.
Dataportabiliteit kan dan een probleem zijn. Helaas is dit een risico dat je neemt als je kiest voor SaaS. De situatie kan onvoorspelbaar worden. Wat gebeurt er met de data als de SaaS-provider failliet gaat? Het is misschien niet zo dramatisch als het volledige afsluiten van de service, maar je kan tegen prijswijzigingen of wijzigingen in de voorwaarden aanlopen.
Om je zorgen weg te nemen, moet je de algemen voorwaarden met betrekking tot deze problemen zorgvuldig lezen voordat je geconfronteerd wordt met een mogelijk datalek omdat hun beveiligingsdiensten niet langer actief zijn.
SaaS-providers vereisen altijd betaling die op afstand kunnen worden gedaan via creditcards. Het is een snelle en handige methode, maar het brengt een potentiële risico met zich mee. Er bestaan talloze beveiligingsprotocollen om problemen te voorkomen. Identiteitsbeheer kan in de bedrijfsprocessen zijn opgenomen, binnen de firewall van het bedrijf of op de site van de SaaS-provider. Aanbieders hebben vaak geen betere oplossing voor identiteitsbeheer dan de eigen firewall.
Identiteitsdiefstal is dan een groot probleem dat vaak alleen wordt voorkomen met behulp van een groot aantal beveiligingshulpmiddelen. Dat impliceert het gebruik van aanvullende software en misschien ook de betaling van diensten die de veiligheid van uw creditcardinformatie garanderen. Het is een bekend SaaS probleem dat voortvloeit uit het toegangsbeheer en uit het feit dat de algemene voorwaarden in de loop van de tijd kunnen veranderen. Dat levert vaak zorgen op, vooral voor nieuwe gebruikers die de provider niet goed hebben onderzocht op betaaldiensten.
De meeste SaaS-providers onthullen niet waar hun datacenters zich bevinden, dus klanten weten niet waar hun data wordt opgeslagen. Tegelijkertijd moeten ze zich ook bewust zijn van de voorschriften van de GDPR waarin staat dat klanten verantwoordelijk zijn voor hun gevoelige data. Dat betekent dat je mogelijk geen toegang tot je data hebt als je de EU verlaat.
Als je de EU verlaat, zal je SaaS-provider je laten weten dat je data naar een ander datacenter wordt verzonden (bijvoorbeeld in de VS). Dat betekent dat je gevoelige data worden overgedragen maar dat je je tegelijkertijd afvraagt waar precies.
SaaS-providers zijn vaak geheimzinnig en verzekeren hun klanten dat ze beter op hun data letten dan alle andere. Ze garanderen dat ze in staat zijn om data beter te beveiligen dan de klant zelf. Er zijn veel zorgen over het gebrek aan transparantie van de providers.
Dit gebrek aan transparantie kan wantrouwen veroorzaken bij klanten. Zowel de klanten als sectoranalisten krijgen geen antwoord op verschillende beveiligingsvragen. Dit geeft ruimte voor speculatie over de services. SaaS-providers stellen dat het gebrek aan transparantie hun diensten veilig houdt. Het achterhouden van informatie over datacenters of verwerking kan de veiligheid echter in gevaar brengen.
Tal van providers zijn trots op hun veiligheidsreferenties en bewijzen aan hun gebruikers dat zij controle hebben over hun data en beveiliging. In de SLA staat wel veel over hoe volwassen de service is maar de meeste zwijgen echter over de standaarden die niet up-to-date zijn. Hierdoor ontstaat het risico dat, hoewel de data nu veilig is, het misschien over een of twee jaar niet meer zo is.
Iedere provider is verplicht om algemene voorwaarden te bieden waarin, in detail, wordt uitlegt hoe hun service werkt. Niet iedereen leest echter het lange document dat doorgaans standaard is. Dat kan ertoe leiden dat je het eens bent met bepaalde dingen die niet goed zijn begrijpen. En als er zich problemen voordoen, weten de meeste klanten niet precies wat ze tijdens het ondertekenen zijn overeengekomen.
Ideaal zou zijn om het document door te nemen met iemand die bekend is met de SaaS-service. Of laat afzonderlijke afdelingen verschillende secties lezen die van invloed kunnen zijn op hun activiteit. Het is de veiligste manier verrassingen te voorkomen.
Klanten moeten altijd weten waar en hoe hun data is beveiligd, maar sommige uitleg wordt misschien niet begrepen. Klanten kunnen zich zorgen maken over bepaalde aspecten van het technische gedeelte, zoals hoe hun data kan worden hersteld na calamiteiten. Het bestaan van herstelfuncties houdt natuurlijk ook in dat er servers zijn die je gevoelige data opslaan en veilig houden. Maar hoe veilig?
SaaS-providers moeten ervoor zorgen dat hun klanten via hun Privacybeleid goed worden geïnformeerd over hoe het allemaal werkt. Sterker nog, ze zouden een gestandaardiseerde vorm moeten bieden van recovery in het geval hun servers worden afgesloten door een verstoring. Er zijn helaas geen garanties en het is zeker een zorg dat gevoelige data voor altijd verloren kan gaan.
Naast zorgen dat de servers van de SaaS-provider definitief kunnen worden afgesloten, zijn er risico’s en zorgen met betrekking tot het feit dat je data niet echt in eigen beheer is. Het voordeel is dat je de software niet hoeft te configureren, beheren, onderhouden of upgraden. Het nadeel is dat je de feitelijke controle over je data verliest. De SaaS-provider is verantwoordelijk voor de data-opslag. Als er bijvoorbeeld iets gebeurt en je data is verloren gegaan, moet je contact opnemen met de serviceprovider, wachten op hun antwoord om te horen wat er is gebeurd.
Er zijn ook financiële onzekerheden die kunnen voortvloeien uit de overeenkomst met een SaaS-provider. Een meerderheid van hen eist betaling vooraf en voor de lange termijn. Het is een zorg om te investeren in een cruciaal onderdeel van het bedrijf dat misschien niet klopt en je als klant ontevreden maakt. De dienst zal blijven bestaan, zoals geregeld in het contract, maar de kwaliteit en veiligheid kunnen veranderen. Er kunnen zorgen ontstaan over een applicatie die niet meer wordt ge-update. Dit kan zowel het gebruik als de veiligheid beïnvloeden. Het is een issue dat moet worden gecontroleerd voordat je de provider betaalt.
Zoals hierboven vermeld, dringen de meeste leveranciers aan op een langetermijninvestering in hun SaaS-software. Je moet eisen dat je provider de beveiligingsmaatregelen naleeft. Je kan er echter zeker van zijn dat velen van hen hun software regelmatig bijwerken en hun servers goed onderhouden. SaaS is altijd een uitstekende optie, maar er zijn valkuilen die in de praktijk nog niet zijn opgelost. Dit maakt sommige klanten terughoudend om het abonnement te verlengen. De valkuilen kunnen echter allemaal worden omzeilt als je oplet en ze met de grootste zorg behandelt.
In een grote reeks artikelen wordt op ITpedia ingegaan op de Selectie en Implementatie van Standaard Software en SaaS (SISp). Klik hier voor een overzicht van SISp artikelen.
Discussieer mee op LinkedIn.
Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.