Saas - software as a service - er den mest omtalte endringen i IT-bransjen om dagen. I stedet for å kjøpe, installere, oppdatere og drifte selv, ser vi omrisset av en verden der vi kan leie det meste og få det levert over internett.
Men kravene til sikkerhet og opptid blir ekstreme når kanskje både applikasjon og data ligger hos utleier. Og mange av leverandørene er ferske utfordrere som ser Saas som en mulighet til å utfordre etablerte aktører. 247Office vil utfordre Mamut, Google vil utfordre Microsoft og SugarCRM vil utfordre Oracle.
Både for aktørene og systemene er ferske, er risikoen for IT-problemer kanskje større enn med etablerte, eldre systemer. En sikkerhetssjekk er derfor ekstra viktig.
Analyseselskapet Gartner har derfor laget en lang liste med vriene spørsmål du kan stille til leverandøren. Får du ikke svarene du liker eller får du vage løfter om "vi skal snart installere det", bør du gå videre.
Her er sjekkelisten, fordelt på de ulike sidene ved et totalsystem:
Nettverk:
- Har leverandørern et to-faktor system for autentisiering når deres folk skal administere nettverket?
- Støtter de minst 128-bit SSL eller tilsvarende når brukere skal koble seg til?
- Driftes brannvegg, innbruddssikring og andre kritiske sikkerhetssystemer på servere med belastnings-fordeling og redundans?
- Gjør egne ansatte eller innleide konsulenter innbruddsforsøk?
- Gjennomføres årlige eksterne IT-revisjoner?
- Kan man dokumentere at IT-problemer hos en kunde ikke rammer alle
- Har de kjøpt eller har tilgang til hjelp mot Ddos-angrep?
Plattform:
- Tilpasser de sine operativsystem selv for å øke sikkerheten?
- Kan de dokumentere patching og oppdatering av malware-beskyttelse på alle PCer og servere som brukes til drift?
- Hvis man lagrer kundedata, har man prosedyrer for å holde data og sikkerhetsinformasjon fra hverandre på tvers av applikasjoner og kunder?
Applikasjon og data:
- Hvordan sikrer og tester man kvalitet i egenutviklet kode?
- Kjører man innholds-filtrering for å holde øye med at kunde-data bare går til de som skal ha dem?
Drift:
- Hvordan vurderer man ansatte - både når de ansettes og underveis? Sjekker man rulleblad?
- Har man rutiner på å teste oppdateringer før man tar dem i bruk?
- Lagres system-logger på ikke-endrbare systemer?
- Har man tilgang til ressurser for IT-etterforskning?
- Hva slags katastrofe-planer har man og er de prøvd det siste året?
Totaltjeneste:
- Har en av leverandørens sikkerhetsfolk minst fire års erfaring?
- Hva slags sertifisering har sikkerhetsfolkene?
- Hva slags autentisiering/rutiner kjører man når brukere ringer inn og ber om å få gjort endringer/omstarter?
Utenlandske leverandører:
- Hva slags samarbeid er du lovpålagt å gi til politi og domstol eller andre offentlige aktører? Vil du bli varslet? Få dette i detaljert, skriftelig form. Vær klar over at mange land bedriver industrispionasje, påpeker Gartner. Hvis leverandøreren er vag på svarene her, bør du gå videre, mener Gartner.
