Korzystanie z oprogramowania jako usługi (SaaS) oraz innych modeli XaaS (Everything as a Service) stało się powszechną praktyką w nowoczesnych firmach. Aplikacje te oferują wiele korzyści, takich jak skalowalność, elastyczność oraz brak konieczności zarządzania infrastrukturą na miejscu. Niemniej jednak, zrozumienie modeli wspólnej odpowiedzialności jest kluczowe, aby uniknąć poważnych błędów w ochronie danych.
Wzrost popularności SaaS
Przeciętna firma średniej wielkości korzysta z ponad 200 aplikacji SaaS. Trend ten nie dotyczy tylko cyfrowych firm rodzimych, ale także gigantów z listy Fortune 500. Ta powszechność niesie za sobą wyzwania związane z zarządzaniem i ochroną danych.
Jednym z największych nieporozumień dotyczących SaaS jest założenie, że dostawcy tych usług są odpowiedzialni za bezpieczeństwo danych klientów. W rzeczywistości, choć dostawcy SaaS zarządzają infrastrukturą, to odpowiedzialność za dane, ich kopie zapasowe oraz zgodność z przepisami spoczywa na klientach.
Model wspólnej odpowiedzialności
Aby lepiej zrozumieć wspólną odpowiedzialność, warto posłużyć się analogią do parkingu. Garaż odpowiada za technologię budynku i dostępność miejsc, ale za zabezpieczenie samochodu odpowiada jego właściciel. Podobnie, dostawca SaaS zapewnia infrastrukturę, ale zabezpieczenie danych leży po stronie klienta.
Firmy muszą zatem dbać o:
- Regularne tworzenie kopii zapasowych i ich bezpieczne przechowywanie.
- Spełnienie wymagań zgodności, takich jak NIS2 czy DORA.
- Zabezpieczenie dostępu i autoryzacji.
Najczęstsze mity dotyczące zakresu odpowiedzialności dostawcy SaaS
1. Bezpieczeństwo danych to wyłącznie problem dostawcy
Klienci często myślą, że cała odpowiedzialność za bezpieczeństwo danych spoczywa na dostawcy SaaS. W rzeczywistości, choć dostawca odpowiada za infrastrukturę i zabezpieczenia platformy, użytkownicy są odpowiedzialni za zarządzanie dostępem, konfigurację uprawnień oraz zabezpieczenia końcówek.
2. Dostawca SaaS zapewnia pełną zgodność z przepisami
Klienci mogą wierzyć, że dostawca SaaS automatycznie zapewnia zgodność z wszystkimi przepisami prawnymi i regulacjami branżowymi. W rzeczywistości, dostawca może wspierać zgodność poprzez oferowanie narzędzi i funkcji, ale to na użytkowniku spoczywa obowiązek prawidłowego korzystania z tych narzędzi i zapewnienia zgodności operacyjnej.
3. Dane są zawsze dostępne i bezpieczne w chmurze
Istnieje przekonanie, że dane w chmurze są zawsze dostępne i bezpieczne. Chociaż dostawcy SaaS zazwyczaj mają wysokie poziomy dostępności i solidne mechanizmy bezpieczeństwa, awarie, przerwy w działaniu oraz potencjalne ataki cybernetyczne mogą się zdarzyć. Klienci powinni zrozumieć zasady SLA (Service Level Agreement) i mieć plany awaryjne.
4. Brak potrzeby zarządzania kopiami zapasowymi
Klienci mogą sądzić, że dostawca SaaS automatycznie zajmuje się kopiami zapasowymi wszystkich danych. Chociaż dostawcy często oferują pewien poziom backupu, użytkownicy powinni znać szczegóły dotyczące polityki backupu i rozważyć dodatkowe środki, jeśli jest to konieczne dla ich specyficznych potrzeb biznesowych.
5. Personalizacja i aktualizacje nie wymagają żadnego wysiłku
Istnieje mit, że wszelkie personalizacje systemu i aktualizacje oprogramowania będą zarządzane bez problemów. W rzeczywistości, aktualizacje mogą wpływać na dostosowane funkcje lub integracje, a personalizacja może wymagać dodatkowej pracy po stronie klienta w przypadku zmian.
6. Dostawca SaaS rozwiąże wszystkie problemy techniczne
Klienci mogą wierzyć, że dostawca SaaS rozwiąże wszystkie problemy techniczne, z którymi się spotkają. W rzeczywistości, chociaż dostawcy oferują wsparcie, odpowiedzialność za rozwiązywanie problemów z konfiguracją, integracjami lub specyficznymi dla użytkownika problemami może spoczywać na kliencie.
7. Koszty SaaS są zawsze przewidywalne i niższe
Klienci mogą myśleć, że koszty SaaS będą zawsze niższe i przewidywalne. Choć model subskrypcyjny często zmniejsza początkowe koszty, dodatkowe opłaty za nadprogramowe użytkowanie, wsparcie premium, integracje lub rozszerzenia funkcjonalności mogą zwiększyć całkowity koszt posiadania (TCO).
Aby uniknąć poważnych problemów związanych z utratą danych, firmy muszą zrozumieć swoje obowiązki wynikające z modeli wspólnej odpowiedzialności w SaaS. Kluczowe jest, aby regularnie tworzyć kopie zapasowe danych, zabezpieczać je i spełniać wymagania zgodności. Znajomość liczby używanych aplikacji SaaS oraz świadome zarządzanie danymi to podstawowe kroki, które każda firma powinna podjąć, aby zapewnić sobie bezpieczeństwo i zgodność z przepisami.
