Bezpieczeństwo Sinersio Data Center

SaaS stał się dla wielu firm naturalnym wyborem. Uruchamiasz system szybko, płacisz abonament, nie kupujesz serwerów, nie „budujesz IT” u siebie. I przez długi czas wszystko wygląda jak czysta wygrana. Tylko że w tle czai się pytanie, którego prawie nikt nie zadaje na etapie wyboru: czy ja w razie potrzeby potrafię odejść od dostawcy i bezpiecznie zabrać swoje dane? Bo jeśli nie, to wygodna usługa może zamienić się w bardzo drogie przywiązanie. A najboleśniej wychodzi to wtedy, gdy rośniesz, zmieniasz procesy, zmieniasz model biznesowy albo po prostu chcesz mieć większą kontrolę nad tym, gdzie i jak działa Twój kluczowy system. W tym artykule dowiesz się jak w praktyczny sposób myślenia o vendor lock in, bezpieczeństwie danych, realnych kosztach „darmowych” rozwiązań i o tym, jak zadawać dostawcom właściwe pytania zanim podpiszesz umowę. SaaS to usługa, a nie własność SaaS to skrót od Software as a Service. W praktyce oznacza to, że nie kupujesz systemu na własność, tylko korzystasz z niego jako usługi. Działa to świetnie, dopóki wszystko idzie zgodnie z planem. Problem zaczyna się, gdy plan się zmienia. W tradycyjnym podejściu firma często ma bezpośrednią kontrolę nad środowiskiem i bazą danych. W modelu SaaS najczęściej jej nie ma. I to jest klucz. Bo jeśli nie masz bezpośredniego dostępu do bazy danych, to nie zrobisz prostego zrzutu bazy i nie przeniesiesz systemu „jak jest”, nawet jeśli dane formalnie należą do Ciebie. Wiele firm myśli o SaaS jak o decyzji na lata. To naturalne. W końcu wybór ERP potrafi trwać rok, wdrożenie kolejny rok, a po dwóch latach intensywnej pracy nikt nie chce wracać do punktu wyjścia. Tyle że życie biznesowe nie pyta o sentymenty. Firmy się rozwijają, procesy się zmieniają, czasem zmienia się branża, a wtedy pojawia się potrzeba korekty narzędzi. Data Center jako bezpieczna skrzynka na Twoje IT W rozmowach o chmurze często gubimy prostą prawdę: na końcu i tak jest infrastruktura, a więc serwerownia, zasilanie, chłodzenie, zabezpieczenia fizyczne, procedury i ludzie, którzy to utrzymują. Data Center można opisać krótko jako miejsce do bezpiecznego przechowywania danych, czyli nośników informacji. Dla firmy może to być własna serwerownia, może to być profesjonalny ośrodek, zaprojektowany od początku do końca tak, żeby było bezpiecznie i przewidywalnie. W praktyce różnica często nie leży w „jednym urządzeniu” czy „jednej technologii”. Różnica leży w filozofii łączenia elementów w całość. Możesz wziąć najlepsze komponenty z różnych marek, ale bez spójnej koncepcji i odpowiedniego połączenia nie dostaniesz „najlepszego samochodu”. Dostaniesz zbiór części. Z Data Center jest podobnie. To ważne także dla biur rachunkowych i działów finansowych, bo ciągłość działania systemów to nie jest temat zarezerwowany dla IT. Od niezawodności infrastruktury zależy, czy faktury pójdą na czas, czy płatności się rozliczą, czy raporty finansowe będą spójne, czy sprzedaż nie stanie. Globalna chmura kontra lokalni dostawcy Duzi globalni gracze mają skalę, zasoby i automatyzację. Lokalni dostawcy mają często inną przewagę: elastyczność, szybkość reakcji i realne dopasowanie do potrzeb klienta. Warto zadać sobie proste pytanie: kim ja jestem dla dużego dostawcy? Dużym klientem, któremu ktoś poświęci uwagę, czy „błędem w statystyce”? W praktyce firmy, które już przeszły ścieżkę fascynacji globalnym dostawcą, często wracają z bardzo przyziemnym wnioskiem: standard jest wygodny, ale bywa bezlitosny, gdy potrzebujesz niestandardowej pomocy. Jest też druga warstwa: lokalizacja i jurysdykcja. Nawet jeśli wybierasz w panelu „region Europa” czy „region Polska”, to nie zawsze oznacza to pełną zgodność z tym, co intuicyjnie rozumiesz jako lokalność. W świecie usług globalnych wiele elementów zarządzania, dostępu i procedur jest scentralizowanych. W dyskusjach o bezpieczeństwie często wraca jeszcze jedna obserwacja: mamy skłonność myśleć, że „zagraniczne z definicji lepsze”. Tymczasem jakość rodzimego IT potrafi być bardzo wysoka, między innymi dlatego, że w wielu obszarach budowaliśmy nowocześniej, bez długiego bagażu starych systemów. Największa pułapka SaaS: wyjście, nie wejście SaaS ma niską barierę wejścia i to jest jego ogromna siła. W przypadku ERP czy WMS potrafi to być argument rozstrzygający, bo koszty startowe są niższe, a uruchomienie szybsze. Tylko że niska bariera wejścia często idzie w parze z wysoką barierą wyjścia. W rozmowach branżowych pojawia się porównanie, które dobrze trafia do wyobraźni: SaaS potrafi być jak małżeństwo bez intercyzy. Wchodzisz w relację z myślą, że to będzie „do końca świata”, więc nie chcesz psuć atmosfery pytaniami o rozwód. A właśnie te pytania są kluczowe w systemach, które obsługują kręgosłup firmy: sprzedaż, finanse, rozrachunki, magazyn, produkcję. Dopóki system spełnia potrzeby, jest spokój. Kryzys zaczyna się, gdy system przestaje nadążać za biznesem albo dostawca zmienia warunki. Wtedy „niepytane wcześniej” staje się „najdroższe”. Historia z życia: euforia po voucherze i szybki powrót na ziemię Wyobraź sobie firmę, która korzystała z rozwiązania, było jej dobrze, ale dostała od partnera wdrożeniowego propozycję w stylu „voucher na darmowe usługi u globalnego gracza”. Trudno się dziwić, że takie oferty brzmią kusząco. Pierwsze miesiące to euforia. Nowa platforma, poczucie, że jest się „u największych”, że wszystko będzie działało idealnie. Problem pojawia się później. Gdy kończą się promocje i zaczynają się realne koszty. Często dopiero w trzecim czy czwartym miesiącu wychodzi, ile to faktycznie kosztuje w codziennym użyciu. W pewnym momencie firma mówi: wracamy. Nie dlatego, że globalna chmura jest „zła”, tylko dlatego, że w jej konkretnym przypadku relacja cena do jakości, elastyczność i dopasowanie do potrzeb okazały się lepsze gdzie indziej. I wtedy zaczyna się prawdziwy test: migracja. Koszmar migracji: płaskie pliki zamiast bazy danych Migracja danych brzmi jak coś technicznego, ale jej skutki są czysto biznesowe: koszt, czas, ryzyko błędów, przestoje, napięcia w zespole, opóźnienia w raportowaniu i fakturowaniu. W jednym z realnych scenariuszy problem wyglądał tak: w modelu SaaS firma nie miała bezpośredniego dostępu do bazy danych. Nie dało się zrobić zrzutu bazy, czyli tego, co w klasycznym podejściu jest podstawą migracji. Dane formalnie należą do klienta, więc muszą zostać udostępnione. Tyle że zamiast kompletnej bazy, klient dostał eksporty z poszczególnych widoków systemu. Kartoteka kontrahentów, kartoteka towarów, kartoteka surowców. Wszystko w postaci płaskich plików tekstowych albo arkuszy. I teraz najtrudniejsza część: spróbuj w ten sposób odtworzyć rozrachunki z kontrahentami, powiązania dokumentów, historię operacji. To nie jest jeden plik. To jest setki eksportów, które trzeba potem ręcznie dopasować, mapować i składać w jedną logiczną całość. Dlatego migracja w takim scenariuszu przestaje być „projektem IT”. Staje się projektem organizacyjnym, finansowym i operacyjnym, który potrafi kosztować więcej nerwów niż pierwotne wdrożenie. Jedno pytanie, które warto zadać dostawcy zanim podpiszesz umowę Jeśli miałbym wskazać jedno pytanie, które porządkuje całą rozmowę o vendor lock in, to byłoby ono takie: Czy w każdej chwili mogę przenieść system i dane do swojego własnego środowiska, nawet na własny sprzęt, i czy dostanę to w formie, która pozwala realnie odtworzyć działanie systemu? To pytanie jest przewrotne, bo nikt nie będzie stawiał dużego ERP na laptopie na stałe. Chodzi o zasadę: czy da się „zapakować system do własnego pudełka”, czy jesteś skazany na cały łańcuch technologiczny jednego dostawcy. Poniżej masz krótką checklistę pytań, które możesz dosłownie skopiować do maila: Czy mogę otrzymać pełny eksport danych w formie bazy danych, a nie tylko plików? Jaki jest czas i tryb wydania danych po wypowiedzeniu umowy? Czy eksport obejmuje powiązania dokumentów, historię zmian, załączniki i logi? Jak wygląda dostęp do danych po zakończeniu współpracy i czy są opłaty? Czy jest API i czy jest objęte SLA? Czy mogę przenieść system do innego Data Center lub do własnej infrastruktury? Jak wygląda wsparcie, czy rozmawiam z człowiekiem i jaki jest realny czas reakcji? Warto też pytać o coś, co w prezentacjach wygląda podobnie u wszystkich: SLA i wsparcie. Różnice wychodzą dopiero wtedy, gdy masz problem i liczysz minuty. Podsumowanie SaaS może być świetnym wyborem. Daje tempo, przewidywalny koszt startu i odciąża zespół. Ale jeśli chcesz podejść do tematu profesjonalnie, potraktuj „plan wyjścia” jako standard, a nie fanaberię. Najprostszy test do wykonania już dziś: sprawdź, czy masz opisane w umowie i procedurach, w jakiej formie i w jakim czasie dostaniesz swoje dane, gdy zmienisz dostawcę. Jeśli odpowiedź jest niejasna, to jest najlepszy moment, żeby ją doprecyzować.