Per saldo wordt steeds meer software as a service (SaaS) afgenomen. Het is een onomkeerbare trend, maar wel een waarover de meningen van it-managers verdeeld zijn. Waar de ene groep twijfels heeft over de veiligheid, ziet de andere groep juist enkel voordelen. Wat mij opvalt, is dat iedereen elkaar een beetje napraat. Bijvoorbeeld: 'In de cloud is alles goed beveiligd!'.
Zo worden er dus veel aannames gedaan. Bij standaard hosting zijn we deze fase al voorbij en het wordt tijd dat ook bij het inschakelen van leveranciers van clouddiensten een eigen plan getrokken wordt. Hoe zorg je ervoor dat leveranciers aantonen dat het goed zit?
Certificeringen en testen
De eerste vraag die je een SaaS-leverancier kunt stellen, is of hij de juiste certificeringen in huis heeft. Veelal hebben leveranciers een mooi rijtje certificaten op de website staan. Grote kans dus dat de zoektocht naar bewijsvoering je tot zover gemakkelijk af gaat. ISO 27001 is bijvoorbeeld een standaard voor informatiebeveiliging. Maar dit certificaat bevestigt niet dat jouw data beschikbaar blijft in het geval van een calamiteit en dat de data in het geval van verlies kan worden hersteld. Daarom is het belangrijk om SaaS-leveranciers ook te laten aantonen dat zij goed kunnen uitwijken en restoren.
Hoe ver en goed je ook virtualiseert uiteindelijk draait alles op fysieke hardware en dat kan kapot. Niet alleen vanwege slijtage, maar ook een incident als een brand in het datacenter is niet uit te sluiten. Er moeten dus maatregelen worden getroffen, zodat er geen data verloren gaat in het geval van een onvoorziene situatie. De boel moet verder kunnen draaien. Een van de manieren hiervoor is synchrone data replicatie op een andere locatie. Dit wordt ook wel een mirror genoemd. Mocht hardware op locatie a beschadigen, dan kun je uitwijken naar exact dezelfde data en andere hardware op locatie b. Een leverancier kan met een uitwijktest aantonen tot een dergelijke exercitie in staat te zijn.
Met uitwijktesten alleen ben je nog niet veilig. Aangezien de ene omgeving een realtime kopie is van de andere, worden ook beschadigingen van de data één op één overgenomen. Het kan de beste gebeuren: je verwijdert per ongeluk een tabel met belangrijke data. Of erger, je verwijdert het complete klantenbestand met alle orders. In dat geval is het van essentieel belang dat de data veilig kan worden gerestored. Het is daarom belangrijk om de vraag te stellen of de leverancier in dat geval de data kan herstellen. En ook hiervoor geldt dat het verstandig is om de proef op de som te nemen. Creëer hiervoor een testomgeving waar jij of je leverancier een dergelijk scenario kan nabootsen.
Bespreken is weten
Wil je dus niet achter de meute aanlopen en er zelf achter komen of het goed zit bij jouw SaaS-leverancier, ga dan het gesprek aan. Vraag naar de certificaten en bespreek of de leverancier met uitwijktesten en restore testen kan aantonen dat de data, jouw data, in alle mogelijke scenario’s onbeschadigd blijft of hersteld kan worden. Het is een kleine moeite en je krijgt er veel voor terug. Bespreken is weten. En zeg nou zelf, weten is toch veel prettiger dan zomaar iets aannemen? Ongeacht of die onvoorziene situatie zich nu wel of niet voordoet, zo kom je nooit met je mond vol tanden, of erger, met lege handen te staan.