Is saas dwaas?

Saas (software as a service) staat volop in de belangstelling. Organisaties besteden in toenemende mate softwarediensten uit. Die variëren van crm, url-filtering en web-conferencing tot erp, archivering en desktop-applicaties. De voordelen lijken duidelijk: minder kosten en minder rompslomp. Maar wat zijn de risico's en hoe ga je die te lijf?

Door Rob van der Staaij

Omdat het besparen van kosten en het behalen van meer efficiency voor bijna elke organisatie belangrijke doelstellingen zijn, ligt het uitbesteden van softwarediensten op het eerste gezicht voor de hand. Maar daarbij moeten die andere vereisten waarmee organisaties te maken hebben niet uit het oog worden verloren: het verminderen van risico's en het voldoen aan wet- en regelgeving. Het zijn juist die aspecten, risicomanagement en compliance, die extra aandacht vragen bij saas.
Saas maakt snel opgang en dat is niet zonder reden. De kosten en inspanning die gemoeid zijn met het invoeren en onderhouden van bedrijfseigen applicaties zijn niet mis. Hardware, licenties, implementatie, upgrades, beheer en support vereisen diepe zakken. Om nog maar niet te spreken over de lange duur die gepaard kan gaan met de invoering van een beetje ingewikkelde bedrijfsapplicatie.
Met saas daarentegen beperken de activiteiten zich in de kern goeddeels tot het in kaart brengen van de vereisten, het zoeken van een leverancier, het configureren van de applicatie en het opzetten van de verbinding. De kosten zijn transparant, want direct zichtbaar in de vorm van de periodieke bijdrage. Daarmee lijkt de organisatie verzekerd van een kosteneffectieve en snelle 'time-to-market'.
De meest in het oog springende nadelen van saas nemen de klanten voor lief. Zo bieden saas-applicaties weinig tot geen mogelijkheden voor maatwerk en is integratie in de bestaande it-infrastructuur minder gemakkelijk dan bij traditionele applicaties. Ook mogen de bedrijfsprocessen die met saas moeten worden ondersteund, niet al te afwijkend en complex zijn. Maar al met al lijkt de business case voor saas een kat in het bakkie.

Risico's
Saas brengt echter ook risico's met zich mee. En een risicoanalyse wordt niet altijd meegenomen of niet altijd even grondig uitgevoerd bij het besluit om gebruik te maken van saas.
Vooropgesteld moet worden dat software als dienst ook risico's kan helpen verminderen. Dat is echter wel afhankelijk van de functionaliteit en het type applicatie. Het uitbesteden van softwarediensten vermindert in de eerste plaats het risico van het niet beschikbaar zijn van applicaties in geval van een calamiteit. Url-filtering vermindert het risico op criminele activiteiten als 'phishing' en het naar binnen sluizen van kwaadaardige software.
Een van de redenen dat risicoanalyses nogal eens tekortschieten, is dat risico's moeilijk scherp te krijgen zijn in termen van cijfers. Risico's zijn veel minder grijpbaar dan, bijvoorbeeld hard- en software. Misinterpretatie, gewenning, onderschatting en te veel vertrouwen zijn veel voorkomende fouten die gemaakt worden bij risicoanalyses. Risicomanagement is geen exacte wetenschap - 'fingerspitzengefühl', alertheid en gezond verstand zijn hierbij niet onbelangrijke instrumenten.
Enkele risico's rondom saas zijn overduidelijk en zullen niet gauw over het hoofd worden gezien. Zo ligt het voor de hand dat er een risico kan bestaan dat de betreffende applicatie niet beschikbaar zal zijn, bijvoorbeeld door het uitvallen van de internetverbinding of door een andere storing. Ook kan iedereen bedenken dat het versturen van informatie via het internet - inherent aan saas - het risico kan inhouden dat gegevens, bijvoorbeeld door 'eavesdropping' of een 'man in the middle'-aanval, in handen vallen van internetcriminelen of andere onbevoegden.
Een niet weg te cijferen risico wordt gevormd door het feit dat een saas-omgeving uit meerdere infrastructuren bestaat  waarover geen van de deelnemende partijen volledige controle heeft. In een saas-omgeving komen de infrastructuur van de organisatie, het internet en de infrastructuur van de saas-leverancier samen. Niet zelden maakt de saas-leverancier echter op zijn beurt gebruik van de diensten van derden, bijvoorbeeld voor de opslag van data, wat de complexiteit en ondoorzichtigheid nog groter maakt.

Encryptie
Dat maakt het er allemaal niet gemakkelijker op om problemen te diagnosticeren en helemaal om inzicht te krijgen in wie toegang heeft tot de informatie van de organisatie. Want het aantal individuen dat toegang heeft tot de informatie, neemt in saas-omgevingen aanzienlijk toe: naast eigen medewerkers zijn dat de medewerkers van de saas-leverancier en mogelijk ook medewerkers van een derde partij waarvan de saas-leverancier gebruik maakt. En net zoals bij vrijwel iedere andere organisatie zullen daar ook inhuurkrachten en uitzendkrachten deel van uitmaken. Het is niet gezegd dat al die medewerkers vooraf gescreend worden of dat zelfs maar wordt bijgehouden tot welke informatie zij precies toegang hebben.
Een ander mogelijk risico is dat andere klanten van de saas-leverancier onbedoeld toegang verkrijgen tot vertrouwelijke informatie. Immers, de gegevens van meerdere organisaties bevinden zich verspreid op een beperkte hoeveelheid systemen. Weliswaar is het in bepaalde gevallen mogelijk om een eigen stukje infrastructuur te verkrijgen binnen de saas-omgeving, maar daar hangt dan wel een hoger prijskaartje aan.
Hierboven is al gerefereerd aan het risico dat gegevens, tijdens het versturen ervan over het internet, in handen kunnen vallen van onbevoegden of criminelen. De systemen en applicaties van de saas-leverancier kunnen in dit verband echter ook niet als risicofactor worden uitgesloten, want die zijn net zo goed gevoelig voor internetcriminaliteit zoals 'phishing'-aanvallen en 'Trojaanse paarden'. 'Denial of service'-aanvallen mogen evenmin ongenoemd blijven.
Maatregelen tegen de hier genoemde risico's bestaan uit encryptie van gegevens, adequate mechanismen voor toegangscontrole (bijvoorbeeld sterke authenticatie, rolgebaseerde toegangscontrole en taakscheiding), inbraakpreventie/detectie, antimalware en firewall-technieken. Deze maatregelen komen tegemoet aan het zeker stellen van de vertrouwelijkheid en integriteit van gegevens. De beschikbaarheid van gegevens moet worden geborgd met maatregelen voor herstel bij rampen, 'business continuity management', performance-technieken en voldoende opslagcapaciteit. Daaromheen moeten strakke procedures worden ingericht om zeker te stellen dat de maatregelen ook worden opgevolgd.

Audits
Vanuit het oogpunt van wet- en regelgeving (zoals de Wet Bescherming Persoonsgegevens en natuurlijk Sarbanes-Oxley), maar ook vanwege eigen richtlijnen van de klant is het nodig inzicht te verkrijgen in wie wat voor toegang heeft tot de informatie van de klant. Dat is in een saas-omgeving veel minder transparant, zeker als gegevens door de saas-leverancier zijn ondergebracht bij een datacenter van derden. Dat kan zich zelfs buiten de grenzen bevinden, wat extra complicaties heeft voor wet- en regelgeving.
Het is niet alleen nodig om nauwkeurig bij te houden wie toegang heeft (gehad) tot informatie, ook moeten de logbestanden die dergelijke auditinformatie bevatten zelf afdoende beveiligd zijn, met zowel technische maatregelen als deugdelijke procedures. Anders dan bij de eigen infrastructuur, heeft de klant daar nauwelijks controle over. Voor het verkrijgen van het nodige inzicht hierin kan een beoordeling of audit van de saas-leverancier uitkomst bieden.
Eén manier - zij het dat dit bij lange na niet voldoende is - om een saas-leverancier te beoordelen is door te informeren naar diens reputatie. Een leverancier met een goede reputatie heeft kennelijk tot dan toe op adequate wijze saas-diensten geleverd. Informatie over de reputatie van een saas-leverancier kan worden verkregen door bijvoorbeeld referenties na te trekken. Het is dan wel aan te raden om ook zelf referenties proberen te verzamelen en niet alleen af te gaan op referenties die door de leverancier zijn verstrekt.
Een grondigere methode om de beveiligingsmaatregelen van een saas-leverancier te beoordelen is door een audit uit te laten voeren in de vorm van SAS 70 (Statement on Auditing Standards). Een dergelijke audit mag echter alleen door een gecertificeerde accountant worden uitgevoerd. Dat kost geld, geld dat de saas-leverancier alleen wil uitgeven als hij een SAS 70-audit van belang acht voor zijn reputatie en daarmee voor het aantrekken van nieuwe klanten.
Maar ook aan een SAS 70-audit zitten verschillende haken en ogen. Zo is het de vraag of de hele saas-infrastructuur wel wordt meegenomen in de audit. Zoals we eerder hebben gezien, kan ook de saas-leverancier gebruik maken van faciliteiten van derden. Die hoeven niet vanzelfsprekend onderdeel te zijn van de audit. Daarnaast moet de klant er op letten dat de maatregelen die onderwerp zijn van de audit, overeenkomen met de eigen vereisten. SAS 70 schrijft namelijk geen maatregelen voor, maar controleert alleen of de opgegeven maatregelen daadwerkelijk geïmplementeerd zijn. Ten slotte kan het voorkomen dat een saas-leverancier geen inzage zal willen verlenen in een ongunstig SAS 70-rapport of alleen delen hiervan zal willen overhandigen. Een alternatief voor SAS 70 is het uitvoeren van een eigen audit, maar hierom staan saas-leveranciers doorgaans niet te trappelen.

Tweemaal bedenken
Saas kan grote voordelen bieden in de vorm van kostenbesparing en efficiency. Aan de andere kant brengt het afnemen van softwarediensten van derden de nodige risico's met zich mee. Die zijn voornamelijk gerelateerd aan het feit dat informatie van de klant zich letterlijk elders bevindt. Er moeten afdoende maatregelen worden getroffen om de vertrouwelijkheid, de integriteit en de beschikbaarheid van die informatie zoveel mogelijk te waarborgen. Maar dan nog zouden organisaties zich tweemaal moeten bedenken, voordat zij besluiten om al te gevoelige informatie bij de saas-leverancier onder te brengen.
Het is verder aan te bevelen om de aansprakelijkheden en verantwoordelijkheden van de saas-leverancier zoveel mogelijk op voorhand, dat wil zeggen vóór het ondertekenen van de overeenkomst, vast te leggen. Overigens kunnen nooit volledige garanties van de saas-leverancier worden verkregen, simpelweg omdat veel bedreigingen niet volledig onder zijn controle zijn.
'Last but not least': het is een goed idee om bij het aangaan van een overeenkomst meteen de relevante mechanismen te implementeren, bijvoorbeeld voor monitoring en rapportage, zodat het bedje gespreid is voor risicomanagement en 'compliance'.

Wat is saas?
Saas (software as a service) is een concept waarbij een leverancier, ook wel 'application service provider' (asp) genoemd, een of meer applicaties ‘verhuurt' aan klanten. De saas-leverancier ontwikkelt de software, laat de applicatie in eigen beheer draaien en levert alle nodige support voor de applicatie. Klanten kunnen de applicaties via het internet benaderen. Meestal gebeurt dit op de gebruikelijke wijze, dus via een webbrowser, maar andere mechanismen, zoals api's (application programming interface) komen ook voor.
Saas is niet hetzelfde als het ‘hosten' van een applicatie ofwel het onderbrengen van een applicatie bij derden. Hierbij blijft de klant zelf eigenaar van de applicatie.

Dr. Rob van der Staaij is principal consultant bij Everett en competence leader van de Governance, Risk management & Compliance (GRC) Competence Group.