Veel gestelde vragen aan aanbieders van SAAS (software as a service) producten en dus ook aan Qics als leverancier van QicsMilestones, hebben als onderwerp de beveiliging van vertrouwelijke bedrijfsgegevens. Met name grotere bedrijven zouden wars zijn van het gebruik vanuit de cloud, waar het betreft de software applicaties die zij voor hun eigen bedrijfsvoering gebruiken. Deze bedrijven willen slechts werken met software die ‘on premises’ is geïnstalleerd. Daarbij leeft het idee dat de eigen kantoorruimte, waar de computer servers staan waarop de bedrijfssoftware is geïnstalleerd, het veiligst is. Immers, de eigen kantoren zijn fysiek beveiligd tegen bedreigingen van buiten af en je hebt er zelf 100% invloed op. Nu leveren wij als Qics ook deze software, te weten QicsPlanner, QicsTime en QicsAnalytics, maar…
waar moet dan op worden gelet bij het afnemen van software uit de cloud, om het gevoel te hebben dat het werken met cloud software net zo veilig is als met software die ‘on premises’ is geïnstalleerd? Ik pretendeer niet een volledig overzicht te schetsen, maar duid hierbij enkele belangrijke issues.
1) Betrouwbaarheid, beschikbaarheid en continuïteit van de software en de daarmee verwerkte gegevens
Welke maatregelen zijn getroffen door de dienstaanbieder teneinde verlies, diefstal of onbevoegde inzage van de eigen bedrijfsgegevens tegen te gaan? Te denken valt hierbij aan back ups en wijze van hosting door de aanbieder van cloud software.
Eén van de voordelen overigens, van het afnemen van software uit de cloud is, is dat het de aanbieder van de software mogelijk maakt voortdurend verbeteringen aan de software door te voeren in plaats van het continu moeten installeren van nieuwe batches/versies door de klant op haar eigen server omgeving. Het spreekt voor zich dat wijzigingen zoveel mogelijk buiten reguliere werktijd om worden doorgevoerd, om de werkprocessen bij de afnemers van de software niet te verstoren. Alvorens de dienstaanbieder de software update, moet deze natuurlijk eerst worden getest in een testomgeving die representatief is voor de productieomgeving.
2) Ongeautoriseerde toegang tot gegevens (veiligheid)
Door technische maatregelen in hard- en software en door het gebruik van veilige internetverbindingen (in softwaretermen ‘hardening’ genoemd) wordt het IT- beheer afgedwongen. Denkt u hierbij aan toegangsbeveiliging (werken met wachtwoorden, regelmatig aanpassen van wachtwoorden, automatisch uitloggen), de audit trail (logging), maken van back ups en documentatie.
Bij de communicatie tussen applicatie en gebruiker wordt gebruik gemaakt van SSL-verbindingen. SSL (secure sockets layer) zorgt ervoor dat gegevens gecodeerd (encrypted) worden verzonden tussen webbrowser (bezoeker) en server, zodat eventueel onderschepte gegevens niet oneigenlijk gebruikt kunnen worden.
De aanbieder van de software maakt gebruik van lokale firewalls.
De web applicatie valideert de inhoud van een http-verzoek (communicatie tussen gebruiker browser en server) voordat het wordt gebruikt en checkt dat de initiator van het verzoek is geauthentiseerd.
Omdat cloud oplossingen multi tennant (meerdere afnemers maken gebruik van dezelfde software en database) zijn, monitort de dienstaanbieder voortdurend dat de scheiding van gegevens van individuele klanten daadwerkelijk geborgd is. Gebruikers hebben uiteraard alleen toegang tot de eigen gegevens.
3) Onafhankelijkheid van de aanbieder
Ik wijs u in dit verband op de ongewenstheid van een ‘vendor lock in’. Is het eenvoudig om van softwareleverancier te veranderen?
Uiteraard moet worden vastgelegd dat de afnemer van de software te allen tijde eigenaar blijft van zijn/haar bedrijfsgegevens. Kunnen gegevens aan het einde van de looptijd van een contract eenvoudig worden geëxporteerd of geconverteerd of moet er bijvoorbeeld een abonnement worden aangehouden bij de leverancier om te kunnen blijven beschikken over de met het softwarepakket verwerkte gegevens? En als dat moet, wat zijn dan de daaraan verbonden jaarlijkse kosten?
4) Bedrijfszekerheid van de gegevensverwerking
Hoe is het support op de software geregeld. Is er een servicedesk waar gebruikers hun vragen en opmerkingen kunnen melden? Worden meldingen geregistreerd en vindt bewaking van de afhandeling van incidenten plaats?
Hoe solvabel is de dienstaanbieder? Vernieuwt de dienstaanbieder voldoende en wordt gebruik gemaakt van een escrow overeenkomst voor het geval van discontinuïteit bij de dienstaanbieder?
De juridische relatie tussen aanbieder en afnemer van de software is over het algemeen vastgelegd in algemene leveringsvoorwaarden. De leveringsvoorwaarden van ICT office (de bracheorganisatie voor de IT branche) voorzien in een evenwichtige balans van rechten en plichten voor zowel aanbieders als afnemers.
Bij Qics maken wij gebruik van het Windows Azure platform van Microsoft om onze cloud oplossing QicsMilestones te ontwikkelen, hosten en beheren. Dit heeft als voordeel dat wij als kleine software vendor gebruik kunnen maken van de kracht van een wereldwijde speler, die bovendien 99,95% beschikbaarheid (SLA) biedt.
Microsoft hanteert daarbij de hoogste beveiliging standaarden, zorgt voor schaalbaarheid en levert automatisch patches voor uw webserver en besturingssysteem, zodat ook de aan uw kant benodigde infrastructuur om optimaal met onze cloud software te werken up to date blijft.
Ik hoop u met dit blog een (weliswaar summier) inkijkje gegeven te hebben in de black box van de cloud. Inzicht draagt bij aan het verminderen van onze vooroordelen en angst gevoelens over de beveiligingsaspecten van het werken met software uit de cloud. In dit verband worden momenteel ook waardevolle particuliere initiatieven ontplooit, teneinde uw als gebruiker meer zekerheid te bieden. Zeker Online is één van deze initiatieven. Zeker Online beperkt zich nu nog tot de aanbieders van boekhoudprogramma’s, maar zal in de toekomst ongetwijfeld ook ingezet gaan worden door aanbieders van apps voor deze boekhoudprogramma’s.
