In una recente analisi, Sharon Metz, research director di Gartner (www.gartner.com), ha sottolineato come “la situazione economica attuale porti le aziende a prendere in considerazione alternative più flessibili all’acquisto di asset. Allo stesso tempo la popolarità del modello SaaS e del cloud computing cresce mentre diminuiscono i timori legati alla sicurezza, all’affidabilità e ai tempi di risposta di queste applicazioni”.
Se anche le paure del passato diminuiscono, non significa che non continueranno a rappresentare uno dei fattori di freno nella scelta del SaaS come modello di fruizione del software. A rallentare l’adozione delle tecnologie SaaS, secondo Gartner, saranno infatti ancora:
– le preoccupazioni legate alla confidenzialità dei dati
– la percezione di un’ancora insufficiente differenziazione competitiva delle offerte
– l’incertezza sulla longevità dei vendor
– la necessità di non svalorizzare gli investimenti già effettuati in applicazioni interne e in competenze.
A tal proposito NetConsulting (www.netconsulting.it) sottolinea come l’adozione di soluzioni SaaS non può non tener conto delle implicazioni in termini di sicurezza, con particolare riferimento alla conservazione sia di dati che sono sottoposti alla tutela della legge sulla privacy, i cosiddetti dati sensibili, sia di dati critici, in quanto fondamentali per il business dell’azienda. Si tratta di dati che per diversi motivi vanno protetti da eventuali perdite o violazioni e su cui il fornitore deve essere in grado di fornire garanzie adeguate.
La sicurezza del SaaS…
Quanto all’aspetto della sicurezza delle soluzioni fruite in modalità SaaS, in genere, i fornitori offrono funzionalità di sicurezza embedded nei loro prodotti, ma ciò non esime l’azienda dal porre attenzione sugli aspetti di sicurezza legati all’end point e in generale alla gestione degli accessi a dati e ad applicazioni, raccomanda NetConsulting. Inoltre, è opportuno regolamentare in modo chiaro nel contratto la responsabilità legata al trattamento dei dati oggetto di obbligo normativo, la cui violazione o manomissione può comportare implicazioni anche penali per il titolare dell’azienda o amministratore delegato, che resta il responsabile del trattamento dei dati stessi. Le aziende fornitrici devono opportunamente condividere questo rischio con le aziende clienti al fine di superare eventuali remore o dubbi legati all’incertezza della responsabilità del trattamento dei dati.
Non esistono metodologie ufficiali per affrontare il passaggio al modello SaaS, sottolinea NetConsulting. Comunque, generalmente, una strategia SaaS-oriented richiede un approccio simile a quello che viene adottato per l’outsourcing, per cui occorre confrontare i costi sostenuti per gestire internamente le applicazioni (compresi i costi di manutenzione sia del software che delle infrastrutture) con i canoni relativi all’offerta SaaS. Inoltre, i contratti SaaS in genere devono contenere parametri dettagliati dei livelli di servizio (SLA), al fine di garantire una continuità operativa adeguata alle esigenze del business dell’azienda.
…e il SaaS per la sicurezza: Security as a Service
Il binomio sicurezza SaaS non riguarda solo l’attenzione agli aspetti di protezione di cui l’azienda deve tener conto nel momento in cui si decide di adottare una soluzione in modalità di servizio, ma coinvolge anche la fruizione, come SaaS, di soluzioni per la sicurezza aziendale. Secondo gli analisti, quest’ambito di applicazione del SaaS è ancora in una fase iniziale di adozione a livello globale, ma si prevedono crescite in questa direzione a causa, soprattutto, dell’aumento della diffusione del malware e del crimine online, nonché degli attacchi mirati nei confronti delle aziende. Oggi, per garantire la business continuity e, quindi, la competitività delle aziende è necessario un livello di protezione elevato, cosa che rappresenta ancora un problema per molte aziende, soprattutto quelle piccole e medie, con risorse interne e budget limitati.
Il modello “Security as a Service” risolve questi problemi offrendo protezione sotto forma di servizio, eliminando soprattutto la complessità di gestione della sicurezza. Parallelamente alla tecnologia, le minacce evolvono in modo sempre più veloce, assumendo forme diverse, colpendo più rapidamente cercando soprattutto di sfruttare le vulnerabilità dei sistemi It aziendali. Nel peggiore dei casi, il costo delle violazioni dei sistemi di sicurezza e del downtime causato dal malware può danneggiare seriamente un’azienda sia in termini economici sia di reputazione e immagine. Diventa quindi sempre più necessario dedicare all’interno dei dipartimenti It, personale e risorse adeguate per rimanere al passo con l’evoluzione della tecnologia e delle minacce informatiche. In questo contesto, il modello S(Security)aaS permette alle aziende di dimenticare il “problema” sicurezza, fruendone come servizio e lasciando a terzi l’incombenza della gestione e del continuo aggiornamento.