Tips voor het inkopen van SaaS

Waar moeten IT-managers op letten als zij een SaaS-dienst inkopen? Volgens Allan Leinwand, vice president en chief technology officer Cloud Platform Infrastructure van ServiceNow, zijn vier punten heel belangrijk: beschikbaarheid, schaalbaarheid, security en goed inkopen. “Dat klinkt misschien als vier open deuren, maar dat klopt niet”, meent Leinwand.

Tijdens Knowledge 2014 - de jaarlijkse gebruikersconferentie van ServiceNow; zie hier voor een verslag -  gaf Leinwand een aantal tips aan IT-managers die cloud services willen inkopen:

Allan Leinwand is als vice president en chief technology officer verantwoordelijk voor de cloud-infrastructuur van ServiceNow.

Beschikbaarheid

- Het gaat niet om de beschikbaarheid over de hele infrastructuur heen.

- Centraal dient de vraag te staan: hoe definieert de klant beschikbaarheid?

- Leinwand: “Laatst hadden we een klant die een probleem met een ‘password’ had. Hij kon niet inloggen. ‘Dus is in zijn eigen ogen de service down, terwijl de gehele infrastructuur ruim boven vijf negens presteerde.”

- Focus niet enkel en alleen op SLA’s.

Schaalbaarheid

- Bij SaaS-modellen werken we met ‘instances’. Een belangrijke vraag is hoe de leverancier het geregeld heeft dat een instance die meer resources nodig heeft ook daadwerkelijk kan groeien.

- Hoe is daarnaast de scheiding tussen instances geregeld? Zowel tussen instances van een en dezelfde klant, maar uiteraard ook tussen instances van meerdere klanten.

Security

- Security is meer dan ‘enkel en alleen’ meer firewalls of intrusion detection systemen kopen.

- Vraag de SaaS-leverancier hoe hij scheiding aanbrengt tussen instances - alleen logisch of ook fysiek?

- Hoe test de aanbieder zijn security? Periodiek? Via continu uitgevoerde penetratietests? Wie voert die tests uit?

- Welke compliance-tests voert de leverancier uit? In welke certificeringen is voorzien?

- Encryptie is cruciaal, maar wat wordt versleuteld en wanneer? Is sprake van SSL-verbindingen? Wordt data-in-transit versleuteld? Kan data-in-ruste ook versleuteld worden? Wordt gewerkt met API’s? Zijn die apart beveiligd en zo ja, hoe?

Goed inkopen en de SaaS-leverancier aansturen

- Ten tijde van klassieke outsourcing kwamen veel bedrijven te laat tot de ontdekking dat zij ook de sourcing-kennis zelf buiten de deur hadden geplaatst, zodat zij geen grip meer hadden om hun toeleverancier.

- Zorg voor voldoende interne kennis over de vraag hoe SaaS ingekocht moet worden en hoe de integratie met on-premise moet worden aangepakt.

- Eis transparantie van de leverancier. Van ieder ‘incident’ dient een ‘problem’ te worden gemaakt dat vervolgens tot een ‘change’ leidt. Dit hele proces wil je als klant volledig kunnen volgen.

- Sourcing professionals kunnen tegenwoordig beschikken over functioneel rijke ‘automation tools’. Gebruik die ook, want de voordelen van het werken met deze hulpmiddelen zijn erg groot en zorgen er voor dat de kosten voor aanschaf van die tools snel terugverdiend worden.

Robbert Hoeffnagel