Shadow-IT als ‘onzichtbaar’ gevaar

Waarom zou je als gebruiker op IT moeten wachten als je met behulp van een emailadres en creditcard met één druk op de knop diverse tools binnen handbereik hebt om makkelijker en effectiever te werken? Software-as-a-Service-toepassingen zijn afgelopen jaren als paddenstoelen uit de grond geschoten. En dat is niet zo vreemd. Toepassingen die in de cloud draaien bieden namelijk precies de voordelen die medewerkers van hun IT verlangen.

Een overvloed aan op maat gemaakte apps. Alles werkt snel en is vooral ook eenvoudig beschikbaar en vanaf elk apparaat via de cloud toegankelijk. Het klinkt verleidelijk en dat is het ook vanuit het oogpunt van de business en medewerkers. Maar hoe aantrekkelijk deze remote-IT ook is, het brengt grote risico’s met zich mee op zowel financieel en operationeel vlak. Shadow-IT is een valkuil.

IT wordt niet betrokken bij het inkoopproces. Toegang is vanaf elk apparaat mogelijk, ook buiten het beveiligde netwerk. De toegangsgegevens worden niet centraal beheerd, waardoor gegevensbescherming in het gedrang komt. Het leveren en intrekken van cloud-applicaties is een handmatig en dus foutgevoelig proces. En kostenoptimalisatie is zonder kennis van het daadwerkelijke gebruik niet mogelijk.

Centraal beheer toepassingen

Als die diverse SaaS- en Cloud-toepassingen niet centraal beheerd worden, ontstaat een bonte verzameling van apps, systemen en cloudoplossingen die op het gebied van beveiliging, compliance en financiële licentierisico’s niet meer beheersbaar zijn. IT heeft geen zicht op de toegangsgegevens en toegang tot webapplicaties. Daardoor ontbreekt vanzelfsprekend ook de controle en het beheer.

Daarbij komt dat niemand weet of dergelijke SaaS-toepassingen veilig zijn, of multi-factor-authenticatie beschikbaar is en welke gegevens in de cloud zijn opgeslagen zonder encryptie. Ook blijven toepassingen bij de inventarisatie van IT vaak buiten beeld wanneer het beheer niet centraal geregeld is. Op deze manier worden belangrijke veiligheidschecks overgeslagen.

Verschillende technologieën

Een niet te onderschatten factor zijn de negatieve gevolgen voor de standaardisering van bedrijfsprocessen. Zulke processen lopen alleen gesmeerd als bij gestandaardiseerde processen dezelfde applicaties gebruikt worden. Wanneer meerdere afdelingen verschillende technologieën (zoals bijvoorbeeld verschillende SaaS-applicaties) voor vergelijkbare toepassingen gebruiken, gaat het mis.

Naast beveiliging speelt ook het gebrek aan licentie-compliance een rol. Anders dan bij on-premises software gaat het bij SaaS niet langer primair om de vraag of er genoeg licenties voorhanden zijn. Belangrijker zijn eerder vragen over het gebruik en kostenmanagement: wie autoriseert de budgetten, wie zorgt ervoor dat toegangslicenties die niet langer in gebruik zijn gedeactiveerd worden? Wanneer lopen welke abonnementen af? Blijft een medewerker in de SaaS-toepassing automatisch geregistreerd, ook wanneer hij/zij deze niet gebruikt?

Uitdaging

Hoe kan een IT-organisatie een aantrekkelijk Cloud Service Portfolio opzetten waarbij medewerkers precies krijgen wat ze nodig hebben voor hun dagelijkse werk? En hoe kan het cloudgebruik controleerbaar en in overeenstemming met licenties vormgegeven worden? Met welke

instrumenten kan men SaaS-kosten optimaliseren? Flexibiliteit en snelheid zijn de belangrijkste onderdelen voor zowel business als cloud-leveranciers. Effectief SaaS-management heeft hierdoor meerdere aspecten. Er is niet één allesomvattende oplossing. Een Software Asset Management-oplossing voor SaaS functioneert alleen bij perfecte samenwerking met meerdere disciplines. Software Asset Management brengt deze zaken voor het voetlicht met de volgende verbeteringen.

1 Software governance – zonder spelregels werkt het niet

Software governance is onderdeel van IT governance en biedt richtlijnen voor de keuze, de aanschaf en de inzet van bedrijfssoftware aan. Voor SaaS-compliance kan dat betekenen dat medewerkers de volledige verantwoordelijkheid moeten nemen voor de software die op hun apparaten is geïnstalleerd. Ook kan dit ervoor zorgen dat niet gebruikte software na 90 dagen automatisch wordt verwijderd.

2 Adequate centrale service catalogus die snel en gemakkelijk werkt

Om zeker te zijn dat IT ieder moment de controle heeft over geïnstalleerde toepassingen en log-ins is het aan te raden een service catalogus te gebruiken. Dit werkt als een zakelijke app store waar alle beschikbare en op beveiliging geteste SaaS-apps, beschikbaar gesteld, gekeurd en gefactureerd worden. Bij levering vindt geautomatiseerd wijzigingsbeheer en een update van het licentiesaldo plaats in de backend.

3 Centraal contractbeheer voor operatie en kosten inzicht

Net zoals bij het scenario van klassieke over-licensering leiden SaaS apps, die niet of slechts sporadisch gebruikt worden tot hoge (en vermijdbare) IT-kosten. Om kosten- en uitgavenmanagement te optimaliseren is inzicht in het gebruik van de SaaS-services nodig. Het is daarom raadzaam om te kiezen voor een cloudaanbieder die transparante gebruikersgegevens en kostenrapporten verstrekt. Deze gegevens kunnen naar een centrale cloud cost management-oplossing worden getransporteerd, wat flexibele contractaanpassingen mogelijk maakt.

Bij Software as a Service gaat het niet alleen meer om het aantal licenties. Naast technische vragen omtrent toegangs- en autorisatiebeheer en beveiliging gaat het vooral om de onderwerpen gebruik, kostenbeheersing en contractmanagement. Een Software Asset Management-tool moet tegenwoordig het complete proces van de softwarekeuze, de aanschaf, de goedkeuring, de inventarisatie en de facturering tot aan de gebruikersanalyse omvatten. Want alleen dan kunnen de risico’s en het potentieel om je cloud applicaties en contracten verder te optimaliseren 24/7 in beeld gebracht worden.

Edwin Rijper is Account Sales Manager Benelux bij Matrix42