SaaS brinda velocidad, innovación y capacidad empresarial…
Las empresas de hoy en día adoptan SaaS para agregar capacidad rápidamente sin grandes inversiones en infraestructura y personal para desarrollarlo internamente. Un líder empresarial elige un servicio, firma un contrato y muy rápidamente tiene una herramienta de CI/CD, un sistema HRM completo u otra aplicación comercial.
… junto con riesgos nuevos, desconocidos y, a menudo, mal entendidos
La tecnología y los riesgos comerciales se transforman con los cambios en la tecnología y la forma en que se entrega. Si bien los servicios en la nube a menudo se consideran más confiables, las empresas enfrentan nuevos riesgos con SaaS y la nube pública, riesgos que no son familiares o que no se comprenden por completo. Los ojos de las personas se abren de golpe y los oídos se animan cuando son testigos de interrupciones prolongadas como el problema actual con Atlassian. De repente, las dependencias de SaaS y los problemas de resiliencia se vuelven relevantes ya que una empresa no puede acceder a su herramienta SaaS favorita. El riesgo único de usar SaaS es que no tiene control sobre la aplicación o la herramienta y no puede volver a implementarla usted mismo. También es importante comprender los riesgos en cascada, ya que algunos de los servicios SaaS más conocidos están alojados en una infraestructura líder de hiperescaladores. Debe analizar el impacto comercial de SaaS y las interrupciones de los servicios en la nube al igual que con cualquier otra tecnología en su cartera.
Al crear resiliencia para SaaS, dos cosas importan: lo que hace su proveedor y lo que hace usted.
Definir la responsabilidad del proveedor
Confíe pero verifique las afirmaciones de los proveedores sobre los acuerdos de nivel de servicio que respaldan las operaciones y los planes de resiliencia. Para garantizar que sus proveedores de SaaS cumplan sus promesas:
-
Los proveedores de Demand SaaS comparten sus capacidades de resiliencia. Comprender el diseño, la arquitectura y el modelo de implementación de estos servicios SaaS. Estos deben ser transparentes, no opacos. ¿Qué capacidades de resiliencia ha creado el proveedor de SaaS para soportar fallas? Insista en que el proveedor sea claro sobre qué escenarios de falla cubre y cuáles no.
-
Infórmese sobre operaciones y controles de TI. Si bien algunos proveedores de SaaS pueden identificar su diseño y arquitectura como un ingrediente secreto, no se conforme con respuestas repetitivas. Involucre a su personal de práctica de recuperación para consultar cómo los proveedores de SaaS administran sus servicios, incluidas sus prácticas operativas.
-
Cree acuerdos de nivel de servicio con consecuencias reales para los proveedores en los contratos. El tiempo de inactividad para un proveedor representa más que una falta de servicio para su empresa. Dependiendo de la herramienta SaaS en particular, una interrupción puede significar un gran costo para su empresa: empleados inactivos, plazos incumplidos, incapacidad para vender o enviar productos, pérdida de seguridad física o digital, una amenaza para la vida y riesgos para la reputación. Haga que sus SLA con el proveedor coincidan con la importancia del servicio para su negocio. Una empresa escribe en sus contratos de proveedores que los pagos por incumplimiento de SLA deben ser firmados por cada miembro de la junta directiva para que las interrupciones se escalen al nivel más alto.
Implemente sus propios controles
La resiliencia de su negocio es su preocupación, no le pase la responsabilidad a su proveedor. Con SaaS, evita ejecutar y mantener una aplicación, pero en el caso de interrupciones del servicio, incurre en pérdidas comerciales. No ejecuta la infraestructura para volver a armarlo todo. Prepárese para los escenarios de riesgo que su proveedor de SaaS no cubre y desarrolle un plan de controles y mitigaciones que su negocio puede tomar para minimizar el impacto de las interrupciones de SaaS en su negocio.
Los riesgos y controles para la resiliencia de SaaS varían: actúe en consecuencia
Riesgo |
Control |
Descripción del control |
Pérdida de datos o corrupción |
Copia de seguridad de sus datos |
En su mayor parte, los proveedores de SaaS no se hacen responsables de los datos del cliente, pueden ser parte de sus copias de seguridad, pero no protegen contra la eliminación accidental o la corrupción. No existe una manera fácil de iniciar una restauración. Seamos claros: hacer una copia de seguridad de los datos de SaaS no significa que pueda restaurar sus operaciones comerciales en caso de una interrupción. Las copias de seguridad de datos brindan una red de seguridad para sus datos en caso de corrupción, y los restauran nuevamente en SaaS. Las copias de seguridad pueden permitir una forma de ejecutar una migración de servicio si quedarse con el proveedor actual se vuelve insostenible. |
Interrupción de la infraestructura dependiente |
Supervise las dependencias clave del servicio en la nube |
Determinar si el proveedor de infraestructura tendrá un efecto descendente en la oferta de su proveedor de SaaS. Por ejemplo, si su proveedor tiene una infraestructura significativa en el este de EE. UU. de AWS, debe monitorear la disponibilidad del servicio de esa región en un panel de resiliencia. |
Interrupción a corto plazo |
Identificar la tolerancia para la interrupción del servicio |
La mayoría de las interrupciones de la nube y SaaS son relativamente breves y, si bien la interrupción es un inconveniente, el valor que proporciona SaaS supera los contratiempos, identifique internamente cuándo cambia esa ecuación y se deben tomar medidas, como soluciones alternativas o migraciones de servicios. |
Interrupción a mediano plazo |
Soluciones alternativas y planificación de interrupciones |
Identifique los procesos y operaciones clave que requieren soluciones alternativas para mantener el negocio en funcionamiento incluso en un estado degradado. Cuando planifique escenarios de cortes, haga preguntas clave. Por ejemplo, si su canalización de CI/CD falla, ¿cómo escribirán y publicarán el código los desarrolladores? Si su sistema de colaboración no está disponible, ¿cómo compartirán los equipos documentos clave hasta que se restablezca el servicio? ¿Hay una opción híbrida o una disponible del proveedor? |
Interrupción a largo plazo |
Migración de servicios |
La mayoría de las empresas de SaaS tienen un conjunto saludable de competidores listos para ayudarlo a realizar la transición a su plataforma. Identifique de antemano qué proveedores serían los más adecuados para sus necesidades. Si es posible, pruebe lo que sería necesario para transformar y migrar las copias de seguridad de datos de su proveedor actual a la nueva plataforma con proveedores potenciales. También realice una diligencia debida rigurosa con su proveedor alternativo, ya que puede exponer riesgos similares a los de su proveedor actual. |
El proveedor cierra o interrumpe el servicio |
Custodia de software/Custodia de SaaS |
Empresas como NCC Group en el Reino Unido brindan un servicio de custodia único. Contrata a los clientes y al proveedor de software o SaaS para mantener el código (incremental) y la experiencia operativa en custodia para eliminar el riesgo de que un proveedor descontinúe un producto o cierre el negocio. |
Practique y pruebe sus opciones de recuperación y resiliencia
Cada atleta practica su deporte, midiendo su desempeño con la ayuda de entrenadores u otros atletas para determinar cómo mejorar. Sus operaciones de resiliencia deben practicarse, probarse y mejorarse de la misma manera. La resiliencia y la recuperación son un deporte, y la ejecución requiere que todos en su organización sepan lo que están haciendo en el caso de que una aplicación o servicio clave esté fuera de línea. Sus equipos de ventas deben saber qué hacer si Salesforce no está disponible, su equipo de recursos humanos debe saber qué soluciones alternativas implementar si Workday tiene una interrupción y sus equipos de DevOps deben comprender cómo mantenerse productivos si Atlassian deja de funcionar.
Al igual que con la infraestructura autogestionada, la clave para sobrevivir a una interrupción de SaaS es conocer los riesgos, implementar controles para mitigar esos riesgos y luego probar sus planes para asegurarse de que funcionen y que todos sepan cómo ejecutarlos en caso de crisis.
Esta publicación fue escrita por los analistas senior Brent Ellis y Naveen Chhabra y apareció originalmente aquí.