文章发表于2024-12-25 09:21:50,归属【ERP系统】分类,已有651人阅读
软件即服务(SaaS)的超高速增长被恰当地称为 SaaS 大爆发,因为如今,从中小型企业到大集团,每个细分市场和公司都有 SaaS 解决方案。而且,SaaS 的数量不但不会减少,还会不断增加。它们被广泛使用是有充分理由的。
但是,任何过量的东西都需要管理。
管理这些软件即服务应用程序的需求是必不可少的,幸运的是,这也是可以实现的。
什么是 SaaS 管理?
SaaS 管理本质上是一个发现、管理和治理组织技术组合中所有 SaaS 应用程序的过程,并且要监控其明显的(购买、许可证、续费等)和不明显的资产或属性(使用情况、费用、合规性、重复情况等)。
即使这些 SaaS 记录是通过电子表格来维护的,这也可以被称为 SaaS 管理,但是这种管理方式很难扩展。因此就需要自动化。
当实现自动化时,SaaS 管理的功能会得到拓展,因为它与其他重要的公司目标相互关联,或者有助于实现这些目标,如企业组织架构、预算优化、创新、技术普及和整体数字化转型。
SaaS 应用程序 —— 闪光的不都是金子。
86% 的组织表示,他们至少 80% 的软件需求将完全由 SaaS 满足。而且,如果员工只需 7 个小时就能部署新软件,那几乎肯定不用再考虑别的选择。
软件即服务(SaaS)应用程序有无数的好处:
1. 以最少的人力和时间实现顺利的部署、集成和启动。
2. 平台或功能易于升级、可无限扩展且价格合理。
3. 合同灵活,可随时随地访问。
4. 有创新的垂直和水平 SaaS 解决方案。
但是每条路都有坎坷,就连 SaaS 也不是完美无缺的。
现在,SaaS 云托管订阅模式给组织带来的便利已经无法倒退。唯一的出路是识别并解决问题;或者简单地说 —— 管理 SaaS 应用程序。
SaaS 管理:是迫切的需求吗?
但是,当所有公司都将大量精力放在向 “云优先” 转型上时,软件即服务(SaaS)就会变成一个云数据孤岛。更重要的是,如果没有 “SaaS 管理” 方法,“云优先” 的做法就是不完整的。
组织为什么要投资于 SaaS 管理呢?
管理 SaaS 的成本远远低于如果对其放任不管所产生的后续影响的成本。研究发现,企业采购中平均有 30% - 40% 涉及影子 IT 支出。
未受管理的 SaaS 会带来以下四大严峻挑战:
1. 相互冲突的自主性
SaaS 的设计初衷就是便于获取,因此,SaaS 应用程序已经改变了公司(尤其是员工)使用 IT 资源的方式。2022 年,该领域的终端用户支出超过 4800 亿美元。
埃森哲公司称,87% 的高管认为技术普及对于激发组织创新能力至关重要。
SaaS 确实鼓励终端用户自由选择技术,减轻了 IT 部门的负担,但问题也正是从这里开始出现的。
事后看来,技术的普及正在让 IT 部门去中心化。赋予各部门权力的同时,也让 IT 部门失去了控制权。在去中心化的 IT 环境中,400 个 SaaS 应用程序可能会有 800 个同步协作人员。
每个 SaaS 应用程序在以下几个方面都有分散的协作人员:
(1)SaaS 供应商或发行商。
(2)负责组织或管控软件栈的管理团队:IT、法务、采购以及风险管理部门。
(3)对软件栈进行优化和管理的咨询公司。
(4)购买并实施 SaaS 应用程序的业务部门或团队。
当极具吸引力且难以避免的 SaaS 解决方案导致 IT 部门去中心化时(据预测,到 2030 年,SaaS 的数量将增长九倍),对去中心化的 IT 部门进行管理并使其统一是最大的挑战之一。
2. 可见性差
业务部门负责满足自身需求,而 IT 部门则可以袖手旁观。但是,当行为后果无人负责时,自由是有风险的。
技术栈可见性差是由以下原因导致的:
(1)被遗忘的 SaaS 应用程序:公司会根据需求随时购置工具。每解决一个问题,就会添加一个 SaaS 应用程序。按照这种做法,组织往往最终会拥有大量应用程序,其中有不少应用程序已经没有需要解决的问题了,但它们依然存在于后台,而且由于许可证未被撤销,相关费用还在不断累积。
(2)重复和重叠的 SaaS 应用程序:在大中型企业中,功能冗余的 SaaS 应用程序并不少见 —— 不同的应用程序有着相同的用途,却被多个(或同一个)部门使用。这些重叠情况往往容易被忽视。此外,由于可见性差,还会出现不同团队使用有着不同合同的相同应用程序的情况。如果从一开始就能发现这些冗余情况,就有可能通过签订更大的合并合同来获得折扣。
(3)过量和自动续费:与 SaaS 工具一次性采购步骤不同,其套餐续费是周期性的。虽然许可证续费有手动和自动两种方式,但如果对续费期限没有恰当的把控,这两种方式都会造成同样程度的混乱。错过续费期限往往会导致又一轮的费用支付。
(4)所有权和用户信息不明:通常情况下,数据泄露和安全漏洞都能追溯到这些 SaaS 工具上。在这种情况下,如果没有人对此负责,局面就会失控。必须为每一个采购的 SaaS 应用程序指定负责人,而且有可能出现一个应用程序在不同部门有多个负责人的情况。但负责人与用户不同,用户数量往往众多,而且没有被妥善记录。
(5)离职交接:20% 的公司曾因离职员工发生过数据泄露事件。大多数公司几乎都没有制定相应流程,以便让离职员工从他们之前有权访问的所有 SaaS 应用程序中退出。如果离职员工的许可证未被撤销,公司就得一直为他们支付费用,直至完成彻底的离职交接。正如前文所讨论的 —— 用户信息不明可能会不知不觉地导致离职交接方面的混乱。如果不知道谁使用了该应用程序,就永远无法及时察觉到他们本应在离职时退出该程序。
(6)使用情况:即使公司通过用电子表格手动梳理每个细节的方式,找到了管理闲置、重复、重叠以及过量的 SaaS 应用程序的办法,这些 SaaS 应用程序实实在在的投资回报率(ROI)也只有通过各团队对其的使用情况或采用程度才能得到验证。跟踪使用情况也有助于未来的采购决策。
3. 安全风险增加
SaaS 应用程序本身并非天然就有危险,但在大多数组织中,它们往往数以百计,而且每一个应用程序都相当于一个风险暴露点,会使风险增加 10 倍。
与本地部署的大型软件相比,管理 SaaS 应用程序几乎没有受到重视。IT 治理针对本地部署软件有着成熟的实践做法和政策来进行管理,因为若这些软件不合规,可能会导致巨大的财务风险,而 SaaS 应用程序在很大程度上被忽视了,因为相对而言其成本微不足道。但对于这些 SaaS 工具所带来的风险,可就不能这么说了。
由未受管理的 SaaS 引发的 3 个关键安全风险及关注点如下:
(1)影子 IT—— 问题皆源于此
声名狼藉的影子 IT,近来也被称为地下数字化,指的是组织内的个人在 IT 部门不知情的情况下采购并使用的系统、软件或应用程序。
这一概念在 “SaaS” 情境下更为适用,因为 SaaS 是已知最快的数字化方式。
这个问题的规模和范围被普遍低估了。Beamy 公司在客户组织中一贯发现的影子 IT 应用程序数量是已知 SaaS 应用程序数量的 3 倍之多。
80% 的员工承认在工作中使用过未经 IT 部门批准的 SaaS 应用程序。自主的终端用户(即员工)觉得没有理由让 IT 部门参与到 SaaS 采购流程中。此外,大多数以产品为主导的 SaaS 都是自助服务模式,而且这种模式正日益增多。
因此,“SaaS” 可以被恰如其分地看作一把双刃剑 —— 它激发了自由和自主性,但一旦放任不管就会造成严重破坏。结果就是,这种在业务部门内部萌生的数字化转型不可避免地导致了难以管控的 SaaS 应用程序无序扩张以及幕后的费用超支情况。
(2)数据泄露
大量企业数据进入了 SaaS 工具中,并且可能会因以下任何原因而遭到泄露:
数据存储:数据存储在哪里,由谁控制?企业信任第三方 SaaS 供应商来托管其业务信息数据,有时这些数据是像客户记录这样的敏感信息。但在与供应商签订服务水平协议(SLA)时,几乎从不讨论供应商的数据存储政策。如果不清楚公司数据的存储位置以及公司是否对其有控制权,那所要承担的风险就太大了,毕竟数据泄露的全球平均成本可达 424 万美元。
配置错误:谁有权访问 SaaS 的安全设置?SaaS 越来越多地由业务部门为完成特定工作相关任务而使用,这也意味着他们有权访问 SaaS 的安全设置,但却未经过配置设置方面的培训。
访问管理:谁有权访问您的数据?在客户和供应商双方,访问权限级别都未明确界定,因此对任何敏感数据都缺乏管控。
数据流:数据会流动,并与员工甚至第三方共享,访问权限也会发生变化。这些变化(其中一些永远无法恢复到原始状态)会带来风险。
很容易陷入上述任何一种风险因素中,因为没有哪两个 SaaS 应用程序是完全相同的,它们的安全环境也是如此。
实际上,它们因具有吸引人的集成功能和扩展功能而变得复杂。最重要的是,它们极具发展野心,路线图上总是不断涌现新的更新和新的功能。
而且随着 SaaS 应用程序数量的增多,安全方面的漏洞和缺口也会越来越多。
(3)法规遵从性
随之而来的是保护数据的需求。全球的立法者越来越要求 IT 部门遵守数据保护规定,并试图通过《通用数据保护条例》(GDPR)、SOC 2 标准、外部审计、安全认证等方式对其进行规范。
公司对自身 SaaS 环境的认知与数据以不合规方式存储的实际情况之间存在差距,这凸显了数据保护法的必要性。GDPR是欧洲关于个人信息(姓名、IP 地址、电子邮件等)的法律,对线上和线下存储的数据都进行规范(从这个角度来看,它适用于全球范围内有业务布局的所有公司)。
违反《通用数据保护条例》(GDPR)的公司,可能会被处以高达 5000 万欧元的罚款,或者是其上一财年全球年营收的 4%,以金额较高者为准。
4. 指数效应
在 Beamy 公司的客户组织中,每年新增的 SaaS 工具在其技术组合中的占比超过 30%。
甚至企业级软件公司也在朝着 SaaS 模式转型。
相应地,如果随着时间推移,SaaS 环境一直处于未受管理的状态,那么如今发现的每个 SaaS 问题在未来几年都会呈指数级增长。
与公司数字化发展多年来的情况相结合,再考虑到不同业务部门和业务单元人员数量的增加以及复杂性的提升,相较于当下,风险因素只会呈指数级增加。
因此,数字化转型正在加速,但并非一帆风顺,而是充满坎坷。
这些挑战如何对您的组织构成威胁?
如果如今不投资于软件即服务(SaaS)管理,从长远来看,数字化虽然会快速发展,但也会十分脆弱。这会使您的组织面临以下几类风险:
1. 网络安全风险,例如数据泄露(数据丢失和数据遭入侵)以及网络攻击等事件引发的风险。
2. 运营风险,因为各类事件往往会导致重大的业务中断。
3. 合规风险,源于不遵守法律法规,进而导致意想不到的罚款。
4. 声誉风险,多年积攒的声誉可能会因公众舆论的改变而毁于一旦。
5. 财务风险,源于计划外的支出和浪费,扰乱当前及未来的财务状况。
6. 组织风险,源于无法按比例拓展业务目标以及正确实施战略。
SaaS 管理的作用
SaaS 应用无序扩张带来的挑战 —— 自主性问题、可见性不足以及安全隐患,不可能一蹴而就全部解决。这是一个从理解上述挑战开始,进而围绕每个挑战制定有着明确目标的框架的过程。
可以通过询问以下问题来确定最终目标:
1. 哪些是必备的 SaaS 应用程序?哪些是可有可无的应用程序?
2. 我们如何确切知晓 SaaS 软件栈中所有敏感信息的存放位置?
3. 我们如何知道公司的 SaaS 软件栈是否符合所有相关法规?
4. 我们如何应对安全事件?应遵循怎样的流程?
由于 IT 部门自认为对公司 SaaS 环境的了解与实际情况之间存在较大差距,所以不可能有一站式解决方案,也无法一次性回答这些以及其他诸多问题。
SaaS 管理方法就是弥合这一差距的途径。它涉及实时扫描 SaaS 环境、将这一步骤以及其他必要行动自动化,并且当 IT 部门准备制定一套规章制度框架来支持并在全公司范围内使 SaaS 管理实现规范化时,它能与之完美契合。
SaaS 管理策略
SaaS 管理策略的整体思路是一个循序渐进的过程,它基于对公司技术生态系统准确的、由数据驱动的洞察,涵盖识别问题以及解决问题这两方面。
按以下 5 个步骤管理您的 SaaS:
步骤 1:发现
全面认识问题应当是任何策略的第一步。但就软件即服务(SaaS)管理而言,存在一些人们不知道且无法知晓的问题。
虽说并非所有的 SaaS 应用程序都有风险,但不知道哪些存在风险,风险就会加倍。
在整个组织内,不同业务部门或员工未经适当批准就购买并使用 SaaS 应用程序的情况时有发生。
识别或发现这一步骤,就是 IT 部门在组织的各个层面发起审查,或者更正式地说,开展审计,以便发现并记录经过批准和未经批准(影子 IT)的 SaaS 应用程序。
理想情况下,审计应当涵盖 SaaS 采购的财务支出情况、员工操作记录、单点登录(SSO)数据,还可以扩展到对个人设备的筛查,毕竟在混合办公环境下,个人设备的使用日益增多。
步骤 2:分类
在了解所有 SaaS 应用程序的情况后,紧接着就应该进行分类。分类就是要维护一个可更新的记录系统,明确谁在使用什么应用程序。
所发现的每个 SaaS 应用程序都可以根据应用程序的相关利益者(可以是一个部门,甚至是终端用户)来进行标注。
通过分类,还应该能够获取与 SaaS 相关的特定且最新的数据及洞察信息,比如:
(1)SaaS 应用程序的总数、重叠或闲置的 SaaS 应用程序的数量。(2)合同、续费期限等资产信息。(3)每个应用程序的使用情况和支出情况。(4)合规程度以及更多相关事项。
步骤 3:系统化
合理化和标准化是实现可扩展性的第一步。
在充分了解所有 SaaS 应用程序并记录了其他相关数据之后,IT 管理人员应该能够建立相关流程,以便能够对企业内从 SaaS 应用程序采购到到期的整个生命周期中涉及的所有活动进行标准化和规范化管理。
步骤 4:自动化
遗憾的是,电子表格不会自己填充内容,如果没有自动化,制定好的策略也无法得到应用。
对 SaaS 管理进行自动化,就是要使用 SaaS 管理平台(SMP)将 SaaS 管理策略中所有不同但相互关联的步骤统一起来。
从检测组织内的所有 SaaS 应用程序到让用户离职等繁重任务都可以实现自动化。自动化还与带有警报和通知的实时报告相结合。
例如,一旦发现某个应用程序不合规,就会将相关信息推送给 IT 管理人员,以便他们高效地做出决策。使用 SMP 工具实现自动化能够节省时间,并帮助 IT 部门通过持续监控自动化流程和数据来制定和更新政策,从而对 SaaS 环境进行规范管理。
步骤 5:治理
除非出现严重的漏洞或者漏洞已经演变成重大风险因素,否则公司对保障其 SaaS 生态系统进行治理的需求往往不会被意识到。
仅仅发现 SaaS 应用程序并不能降低它们所带来的风险,因此需要进行治理。
应当制定一个治理框架,明确合规指令(如《通用数据保护条例》(GDPR)、SOC 2 标准等要求)的管控界限和安全协议、风险评估、风险应对措施以及灾难恢复(DR)策略。
如果没有一个治理框架来在检测到风险或漏洞时制定应对行动、减少停机时间并制定未来的预防措施,那么 SaaS 管理策略就是不完整的。
什么是软件即服务管理平台(SMP)?
理想的软件即服务管理平台具备以下特性:
(1)SaaS 发现:SaaS 应用程序的采购是一个持续的过程,而 SaaS 管理平台(SMP)工具一旦全面投入运行,就能持续发现或检测组织内乃至混合办公环境中经过批准或未经批准的 SaaS 应用程序。
(2)采购流程管理:一套明确的采购方法可以引导终端用户在进行采购时遵循相同的步骤。审查所需的 SaaS 应用程序,与 SMP 的 SaaS 数据库中已有的应用程序进行交叉核对以避免重复,使用该 SMP 解决方案获得相关管理人员的批准,并使采购过程透明化,这些应该是整个组织内进行任何采购时都要遵循的步骤。这有助于为最佳实践创建标准,从而实现明智的决策。
(3)SaaS 应用程序的上线和下线:决定部署某个 SaaS 应用程序后,应在公司的技术栈中遵循规范的应用程序上线流程。这一决策将取决于与现有应用程序的对比以及 SMP 控制台中提供的更多此类属性信息。控制台筛选器有助于对比相关功能,以便快速做出决策。当不再需要此类应用程序时,应当制定并遵循下线计划,以确保应用程序完全、安全地下线。
(4)SaaS 续费和供应商管理:应用程序续费日期概览有助于利用该工具建立一个流程,用于审查、接受或质疑续费情况,并通知所有相关利益方或与之展开讨论。SMP 还有助于供应商管理,比如当续费由一个利益相关方发起,而客户与供应商的关系由另一个利益相关方(例如财务部门)管理时。
(5)SaaS 许可证管理:SMP(软件即服务管理平台)或 SAM(SaaS 资产管理)工具还能够对许可证进行管理,并通过避免与应用程序使用情况相比出现许可证过度使用或使用不足的情况来优化许可证管理。许可证过度使用可能导致违反许可证协议,而使用不足则会造成支出不合理。
(6)SaaS 支出管理:虽然 SaaS 管理的每一步都旨在优化 SaaS 支出,但仍需要一个标准程序来规范预算。SMP 能够跟踪每个应用程序的支出情况,通过清晰了解所有闲置、重叠、不重要的 SaaS 应用程序及其续费、取消和可能的整合情况来对支出进行优化。
(7)SaaS 访问控制:通过 SMP 可以制定内部政策,只允许相关部门、团队或员工访问 SaaS 应用程序及其资源,并保持这种访问权限设置。从而确保对谁能访问什么内容进行管控。
(8)用户生命周期管理(ULM):为新员工提供指南,使其了解入职时应使用的所有应用程序以及他们对这些应用程序可拥有的权限范围。同样,为尽快让离职员工退出相关应用程序以避免数据泄露或违规风险提供指南,这也是 SMP 的一个重要特性。
(9)实时报告:重要通知、表单、警报以及有价值的报告可以在内部来回推送,以便让其他利益相关者参与决策,必要时也可向外部供应商推送。