9 minute read
Blog ISPConnect: benchmarking
Benchmarking
Hostingbedrijven en Cloud aanbieders, leden van ISPConnect en deelnemers van DHPA, hebben in december een uitnodiging ontvangen om mee te doen aan een kengetallen onderzoek naar de sector.
Advertisement
Het is een lange vragenlijst, die best wel gedetailleerd ingaat op wat je met je bedrijf doet: de producten, het functie huis, maar ook de omzet en de financiële cijfers. De twee brancheorganisaties vragen je het hemd van het lijf. De antwoorden worden natuurlijk niet zomaar publiek gedeeld (zelfs de opdrachtgevers krijgen er geen inzicht in), maar door het onderzoekbureau geaggregeerd en uiteindelijk gepubliceerd in de vorm van een rapport en op een website.
Waarom eigenlijk? Waarom vragen we onze achterban om hieraan mee te werken en wat zijn we van plan met al die gegevens? En waarom is het belangrijk om mee te doen?
Ten eerste omdat het er nog niet is. Andere sectoren kunnen precies opsommen wat het economische gewicht van hun branche is, de werkgelegenheid, de gemiddelde omzetten, de trends. Wij hebben dat nog helemaal niet. We hebben niet eens SBI codes die de lading dekken van wat onze achterban doet. Hierdoor kan het CBS geen statistieken verzamelen over onze sector. Met andere woorden: niemand weet hoeveel bedrijven precies werkzaam zijn in de hosting en Cloud sector, wat hun omvang is, hoeveel mensen er werken en wat ze doen, en of de sector groeit of krimpt.
We zijn al een tijd in gesprek met het CBS om hier verandering in te brengen, maar dat is een tergend traag proces en het gaat nog wel even duren.
In de tussentijd is het wel van levensbelang dat wij in staat zijn om geloofwaardige cijfers naar buiten te brengen over de branche. In gesprekken met de overheid moeten we onze statements kunnen onderbouwen met geloofwaardige cijfers.
Daarnaast hebben we veel te veel onduidelijkheid over definities. Wat doet een hostingbedrijf? Wat is een Cloud aanbieder? Wanneer mag je je zo noemen? Wanneer ben je het niet? Hoe verhouden de rollen die je in je bedrijf kent zich tot de rollen die anderen hebben gedefinieerd? Het is ook een onderdeel van de stap naar volwassenheid van onze sector om hier inzicht in te krijgen en te geven.
Dat brengt me tot het laatste en misschien wel het belangrijkste punt voor onze leden en deelnemers: benchmarking. Zoals gezegd worden de antwoorden door het onderzoeksbureau (Conclusr Datacollection Services) niet gedeeld, zelfs niet met DHPA en ISPConnect. Maar ze worden wel geaggregeerd en aan de deelnemers aan het onderzoek ter beschikking gesteld voor benchmarking.
Hiermee maken we voor de deelnemers inzichtelijk hoe je eigen bedrijfsvoering zich verhoudt met die van je peers in de sector. Een compleet salarissenvergelijk inclusief secundaire arbeidsvoorwaarden. Betaal ik ongeveer hetzelfde als mijn concullega’s voor iemand die on call is tijdens het weekend? Hoe vergelijkt mijn omzet zich? Hoe zit dat met mijn cijfers? Mijn winstgevendheid?
Ik hoef niet uit te leggen, hoe belangrijk dit is. En vandaag ontbreekt een tool om jezelf te benchmarken volledig. Je moet het hebben van informele gesprekken met mensen die je kent en vertrouwt op de borrels van ISPConnect (dat is wel gezellig natuurlijk).
ISPConnect en DHPA willen de sector met onderzoek een stap verder helpen op de weg naar volwassenheid. En vanuit deze plek wil ik iedereen oproepen om mee te doen aan het onderzoek. Mail me als je vragen hebt!
Vragen? Zin om je ook aan te sluiten bij ISPConnect? Stuur een mailtje naar simon@ispconnect.nl
Simon Besteman is directeur van ISPConnect
Wat te doen als het Service Level van uw SaaS-partner plotsklaps 0,00% is?
Cloud vraagt om nieuwe vorm van escrow
Het gebruik van SaaS (Software as a Service) verandert het risicoprofiel van de organisatie. Traditionele software-escrow past niet bij de karakteristieken van SaaS. Broncode-depot is geen oplossing omdat je weinig aan de software hebt zonder de systemen waarop deze draait. En die staan ergens in de cloud. Een goede op SaaS gerichte escrow zorgt ervoor dat de gebruiker toegang krijgt tot de software, de systemen én de data.
Escrow is de regeling waarbij intellectueel eigendom (bijvoorbeeld de broncode van software) ter bescherming van de gebruiker wordt gedeponeerd bij een derde partij. Deze aanpak heeft in de ‘oude’ economie haar waarde duidelijk bewezen. Maar in de wereld van cloud services voldoet traditionele software-escrow niet meer. SaaS is wezenlijk anders dan software die on-premise bij de gebruiker draait.
Traditionele aanpak
Toen IT en software steeds belangrijker werden voor het voortbestaan van bedrijven, ontstond de behoefte om de risico’s af te dekken die voortkomen uit het mogelijk uitvallen van informatiesystemen. Business continuity werd een belangrijk onderwerp op de agenda van de CIO. Security, redundancy, SLA’s, hoge beschikbaarheid - het zijn net als escrow allemaal begrippen en concepten uit de wereld van business continuity.
Escrow beantwoordt de vraag hoe de organisatie zich kan indekken tegen het in het ongerede raken van de softwareleverancier, bijvoorbeeld bij een faillissement. Doel van software(broncode)escrow is het kunnen voortzetten van het onderhoud van de software die op de eigen servers (on-premise) draait en waar licenties voor zijn afgenomen. De softwareleverancier deponeert op gezette tijden zijn softwarebroncode bij de escrow-agent. Deze stelt de code onder vooraf afgesproken condities ter beschikking aan de gebruiker, zodat deze de software kan blijven onderhouden.
SaaS en cloud
Nu steeds meer bedrijven hun IT naar de cloud brengen en hun software bij voorkeur As a Service afnemen, is een nieuwe situatie ontstaan. Software-escrow heeft geen antwoord op die nieuwe situatie. Immers, wat heb je aan softwarecode als je geen toegang meer hebt tot je data? En je kunt als gebruiker wel back-ups hebben van je data of deze synchroniseren, maar data krijgen pas betekenis in de context die software aan ze geeft.
Die software is dus noodzakelijk. Zonder de systemen waar de software op draait, heb je er niets aan. Zelf knutselen is geen optie. Het opbouwen en in de lucht houden van een IT-omgeving voor bedrijfskritische SaaS-software is een tijdrovende uitdaging. En die tijd is er niet, de onderneming moet doordraaien. In de realtime business die elk bedrijf tegenwoordig is, kun je geen dag uit de lucht zijn en kun je niet werken met informatie die verouderd is.
SaaS-escrow
Om deze problematiek het hoofd te bieden, is SaaS-escrow in het leven geroepen. SaaS-escrow waarborgt niet alleen de beschikbaarheid van de functionaliteit, maar ook het gebruik van de software en de toegang tot de data. Dat lukt door de hosting- of housing-partij waar de software is ondergebracht, in de regeling op te nemen. Als de SaaS-leverancier in gebreke blijft, krijgt de klant toegang tot de systemen die bij de hosting provider staan opgesteld, inclusief de software en zijn data.
In tegenstelling tot de generieke softwareEscrow is SaaS-escrow dus maatwerk. Elke situatie is immer anders. De hosting-partij moet bovendien meewerken. Dat kan een uitdaging zijn als deze zich in het buitenland bevindt of een public cloud provider is. De ene cloud provider is coöperatiever dan de andere.
Urgentie
Een ander groot verschil is de urgentie, die bij software-escrow minder is. De gebruiker kan blijven doorwerken, ook als de softwareleverancier in gebreke blijft.
De software draait immers on-premise. Alleen is onderhoud niet meer mogelijk zonder toegang tot de broncode. Dat probleem lost software-escrow recht-toerecht-aan op door de broncode te verstrekken. De gebruiker kan dan zelf onderhoud (laten) doen en heeft daar ook de tijd voor.
Een derde verschil is de technische kant van de zaak. Bij SaaS-escrow krijgt de gebruiker geen broncode, maar een basisdocument met daarin informatie over de adminrechten voor de servers en de software, welke IP-adressen whitelisted moeten zijn, de encryptiesleutels, de API’s, informatie over de precieze locatie in het datacenter, welke systemen daar staan, en hoe je erbij komt. Denk verder aan informatie over de architectuur, over remote onderhoud, over patching en wachtwoorden.
Deze basisinformatie heeft dezelfde vertrouwelijkheidsgraad als de broncode in het geval van software-escrow. De informatie moet doorlopend worden geactualiseerd. De escrow-agent ziet erop toe dat dit gebeurt en test regelmatig of alles klopt.
Universele aanpak SaaS-escrow
Omdat elke situatie anders is, is de huidige praktijk van SaaS-escrow dat iedereen zijn eigen benadering kiest. Dat maakt het voor alle betrokken partijen lastig om al die uiteenlopende benaderingen te valideren en eraan tegemoet te komen. Als de SaaSleverancier voor de ene klant informatie op een bepaalde manier moet aanleveren en voor een andere op een geheel andere wijze, maakt dat het bewilligen in SaaSescrow minder aantrekkelijk. De hostingpartijen hebben ook weinig zin om voor iedere gebruiker een andere afspraak te moeten maken.
Het is beter om maatwerk te leveren door standaardmodules te combineren tot een oplossing die voor een specifieke situatie werkbaar is. Dat kan, want de componenten zijn al ontwikkeld. De met hosting providers te maken afspraken zijn bijvoorbeeld al geformaliseerd. Een belangrijk aspect van cloud en SaaS-delivery is standaardisatie van de diensten. Ook in SaaS-escrow moeten we toe naar standaardisatie. Gelukkig zien de serieuze escrow-aanbieders hier het belang van in.
Tips voor gebruikers
• Kijk bij de keuze van een SaaS-aanbieder naar de randvoorwaarden op het gebied van continuïteit van de klant, waaronder escrow. Dus niet alleen naar de SLA’s en de certificaten, maar ook of en zo ja welke escrow-regeling wordt geboden. • Neem geen genoegen met softwaredepot. Toegang tot de data en het kunnen gebruiken van het systeem zijn minstens zo belangrijk. Periodieke overdracht leidt in een realtime omgeving tot achterhaalde data. • Vermijd de papieren werkelijkheid van software-escrow. Een SaaS-omgeving opbouwen kost weken en is heel duur.
Het is beter dat de boel door blijft draaien in de huidige omgeving. Vergelijk het met een kapotte auto. Je wilt snel een andere auto en niet een handleiding om de auto te repareren. Kies dus voor het voorkomen van fouten in plaats van achteraf te moeten herstellen. • Gebruik het nuchtere verstand. Niet alle elementen van de SaaS hoeven in de escrow te worden opgenomen. Bijvoorbeeld API’s voor het checken van postcodes of KvK-data zijn niet noodzakelijk voor het voortbestaan van de onderneming. Kijk naar de kosten en baten ten opzichte van een redundante en gespiegelde omgeving, een veel gebruikte maatregel voor business continuity. Kijk verder dan het eigen belang. Een goede escrow-regeling houdt de belangen van de eindgebruiker, de SaaS-leverancier en de hosting provider in balans en houdt de escrow werkbaar.
Tips voor SaaS-leveranciers
• Het standaard voorzien in een goede regeling rond SaaS-escrow zal bedenkingen bij de klant over zijn business continuity in de cloud wegnemen. • Het bieden van SaaS-escrow is een sterk verkoopargument. In sommige markten, bijvoorbeeld de gemeentemarkt, doe je zelfs niet mee als je geen escrow hebt. • De verplichtingen die een escrowregeling met zich brengt op het gebied van het vastleggen van informatie, is een krachtige impuls voor de algehele kwaliteit van de interne IT-processen van de SaaS-leverancier. • Kijk goed naar de kwaliteit van de agent die SaaS-escrow mogelijk maakt. Is deze in staat om de financiële verplichtingen aan de hosting provider daadwerkelijk na te komen? • Wie escrow wil aanbieden, moet het wel goed doen. Denk na over de optimale inrichting. Die hoeft niet te leiden tot hogere kosten.
