2008-03-14 06:59
- Computer Sweden:
Gå inte på leverantörernas saas-löften
Av
| 
Säkerhetsfrågan
Fråga: Hej, vi har läst i CS att man ska satsa på saas om man vill få billigare program, större flexibilitet och slippa krångel med uppdateringar och licenser. Är det något särskilt man ska tänka på när det gäller säkerheten?
Tomas Djurling är konsult inom it- och informationssäkerhet.
Svar: Om man funderar på att använda saas-tjänster är det några saker man bör vara medveten om och ta med i beräkningen inför beslutet. Vid en första anblick kan saas se ut som en god affär rent ekonomiskt, men om man har någon information i sin verksamhet som är värd att skydda måste även säkerhetsaspekten genomlysas. Om verksamheten hanterar känslig information är en saas-lösning tveksam. Kundregister brukar till exempel i de flesta företag räknas som en företagshemlighet.
Jag är tveksam av flera anledningar. Förutom de rent tekniska säkerhetsproblemen i konceptet, kan nämnas att vid Googles lansering av saas i Sverige förra året sade deras representant att de räknade med att ha 200 000 svenska kunder inom två år. Denna monumentala samling av företagskänslig och företagshemlig information på ett och samma ställe är en guldgruva för varenda brottsling. Även om ditt företag inte är huvudmålet för ett eventuellt intrång kommer även din information att stjälas när den ändå finns där. Ingen brottsling lämnar kvar något som har ett värde.
Oavsett vilken leverantör du väljer behöver du inte bara ta hänsyn till din egen hotbild, utan också ta höjd för saas-leverantörens övriga kunders hotbild. Företag som du inte ens vet vilka de är.
Fall inte för fagra löften från leverantören. Om de är så säkra på att deras säkerhet är hundraprocentig har de säkert inget emot att skriva in det i avtalet och garantera kunderna ersättning för alla kostnader om något skulle hända.
En annan utmaning är när du vill byta saas-leverantör eller ta hem driften igen. Finns det reglerat i avtalet? Vem äger informationen i systemen och hur kan du säkerställa att inga dubletter av backupen finns kvar? Enligt svensk lag kanske det går att fastställa ägarfrågan men hur är det med utländsk?
Om leverantören av saas-tjänsten blir uppköpt är du som kund inte den första som får reda på det. Vid tidpunkten för information till kunderna har det mesta av informationen redan flyttats till den nya ägarens it-system. Det är i det läget du som kund blir informerad.
Det är först då du får veta om din information finns kvar i Sverige eller finns lagrad i ett annat land. Vilken lagstiftning gäller i det nya landet?
Vid alla typer av outsourcing gäller att ha en mycket god beställarkompetens.
Ett självklart krav som alla borde ställa är att i avtalet göra klart att du som kund har rätt att göra oannonserade besök hos leverantören för att säkerställa att säkerhet och annat i avtalet efterlevs.
Så ta en ordentlig fundering på om din verksamhet verkligen lämpar sig för saas eller annan typ av outsourcing.
Synpunkter på sajten? Kontakta Linus Larsson | Kontakta CS redaktion | Policy om personuppgifter & copyrightinfo
OBS! Denna artikel är mer än tio dygn gammal och är därför stängd för vidare debatt.