部署SaaS對TOC的影響分析
2008/05/22
三年下來,SaaS的成本最多可比同類的許可軟件便宜13.5萬美元。這是《Network Computing》雜志比較分析了CRM服務和許可軟件包各自的總體擁有成本后得出的結果。當然,這個結論并不說明一切:讀者們提到了安全、性能、正常運行時間以及公司關鍵數據的實際擁有等方面的擔憂。如果IT人員積極采用SaaS,是不是在消除一些問題的同時帶來了另一些問題呢?也許如此,但節(jié)省費用的優(yōu)點也許值得你認真調查一番。本文深入比較了采購及部署三款CRM應用軟件的成本。我們在SaaS方面評估了Salesforce.com Professional。至于許可的內部部署軟件,我們評估了微軟的Dynamics CRM 3.0 Professional和Oracle的Siebel CRM Pro,評估時假設供105名用戶長期使用。說到費用,SaaS與內部部署產品相比有著明顯的優(yōu)勢。
我們是如何得出數字的呢?我們不是簡單引用廠商的營銷白皮書或者分析師撰寫的調查報告,而是使用來自四個來源的數據,算出了一家虛構的中型公司HealthPlex Software的成本。我們還得到了經驗豐富的軟件集成商Bluewolf集團的幫助,它幫助許多公司部署了SaaS和內部部署軟件。Bluewolf為客戶部署的SaaS軟件超過1000套,它幫助我們深入研究部署基于服務的應用軟件到底需要哪些成本。我們還提供了實際研究以及針對366名IT專業(yè)人員的深入調查。
概括地說,部署許可CRM應用軟件的資本成本和維持軟件運行的費用都大大高于服務模式。在部署后的第一年里,供105個用戶使用的許可CRM軟件包其成本比服務模式高出14萬到17萬美元。三年下來,成本高出9.5萬到13.5萬美元。
考慮到接受雜志調查的對象絕大部分提到較低成本是決定是否采用SaaS方案的最普遍的因素,這一結果具有特別重要的意義。但成本僅僅是評估軟件采購的因素之一。正如讀者調查顯示的那樣,IT專業(yè)人員還沒有準備全身心地擁抱SaaS服務模式。實際上,只有3%的人表示,打算在接下來的24個月改用基于服務的銷售隊伍自動化(Sales-Force Automation,SFA)應用軟件。原因何在?事實很簡單,說到安全性和可靠性等關鍵問題,許多人對服務模式根本就不放心。
在考慮采用SaaS的企業(yè)必須考慮到所有這些問題。首先,評估及比較一下服務和軟件包各自的成本。不妨下載一份可以定制的電子表格(nwc.com/go/0305f1.jhtml),即可填入自己的數字。接下來,要了解部署SaaS帶來的種種影響。提供商宣稱部署簡單,但你的IT人員仍得處理好關鍵問題,比如遷移數據以及集成新的應用軟件與舊的業(yè)務流程。
部署前的考慮
正如后文“要不要采用SaaS”里面討論的那樣,HealthPlex Software需要比較微軟、Oracle和Salesforce.com的CRM應用軟件。成本估計結果顯示,第一年的部署成本對SaaS應用軟件有利。
先從規(guī)劃和設計說起。首先要解決的問題是,評估每個產品的功能。Bluewolf集團的Eric Berridge說,他平均要用兩周的時間找客戶洽談,評估SaaS和內部部署軟件各自的功能。每周的咨詢費為2500美元,共計5000美元。
一旦HealthPlex讓SaaS應用軟件運行起來、了解了功能,Berridge就會建議進行差距分析(gap analysis),比較一下公司現有的要求與應用軟件的功能。差距分析團隊的成員包括:外部顧問、HealthPlex的技術專家以及服務提供商的人員(該人了解該公司的業(yè)務流程,確保應用軟件滿足用戶需求)。差距分析后會顯示局限性;可以向提供商購買另外一種或多種應用軟件的許可證,或者編寫定制代碼,以此彌補局限性。
SaaS應用軟件啟動并運行后,團隊就能了解軟件的實際情況。這便于調查該軟件具有的功能和特性。相比之下,對內部部署軟件進行差距分析來得比較復雜。HealthPlex可以要求試用內部部署軟件,但這意味著需要投入大筆費用組建試用軟件所需的基礎設施。另外,差距分析團隊專心閱讀編制的文檔,以便清楚了解軟件的功能和特性。
Berridge說,內部部署軟件的差距分析所需時間往往長達服務軟件的兩倍。
接下來分析服務級別協(xié)議(SLA)和許可證協(xié)議。HealthPlex會請顧問和內部法律和IT部門的代表與SaaS提供商一起評審SLA。討論的SLA應包括正常運行時間保證;萬一達不到這種保證,對方給予的賠償;以及用來度量正常運行時間的機制。
HealthPlex打算加入要求服務衡量指標更細化的條款,比如應用軟件的響應時間――60秒過后才更新用戶屏幕內容的服務從技術上來說仍是“正常的”,但用戶的生產力及滿意度會隨之下降。該公司將評審提供商的業(yè)務連續(xù)性功能。對方有應急發(fā)電機來提供備用電嗎?對方在多個地域分散的數據中心提供服務嗎?
至于內部部署軟件方面,HealthPlex必須評估廠商的許可證協(xié)議,尤其是與技術支持有關的條款。HealthPlex需要弄清楚許可證要求對方提供哪種級別的支持,還要與提供商和內部部署軟件廠商的參考客戶(reference account)進行交談。
對SaaS和內部部署軟件項目而言,SLA和許可證的評審往往需要同樣長的時間。
若采用服務模式,HealthPlex還需要另一筆費用,因為盡職調查迫使它需要評審提供商的安全基礎設施。正如讀者調查表明的那樣,SaaS方面的一個首要問題在于,提供商可能無法為數據提供足夠高的安全性,以滿足內部政策和外部法規(guī)。比如要是采用CRM應用軟件,HealthPlex的客戶信息和銷售數據將放在提供商的托管中心。所以在簽合同之前,HealthPlex要花時間詳細了解提供商如何保護其數據中心及放在數據中心的應用服務器和數據庫的安全。
無論你的SaaS提供商是運行自己的數據中心,還是向托管服務提供商租用,它都應當有牢固的物理和邏輯訪問控制機制,包括有限制的機器訪問,以及借助多因子驗證進入作業(yè)區(qū)。
HealthPlex很可能會與提供商的另外一家或者多家客戶(有可能是HealthPlex的競爭對手)共享一個數據庫。因而,提供商必須能夠證明它可以安全地分隔數據。另外,提供商的網絡應落實足夠有效的控制,包括防火墻和入侵檢測系統(tǒng)。數據中心應當有物理安全機制,防止未授權者訪問硬件、控制系統(tǒng)。
另一個問題是應用軟件。SQL注入等攻擊旨在誘騙Web應用軟件透露數據,并不要求攻擊者訪問數據庫。因而,HealthPlex會詢問提供商的軟件開發(fā)流程。開發(fā)人員是否在安全地編寫代碼方面受過良好培訓?開發(fā)生命周期是否包括安全評估?應用軟件在部署之前是否經過漏洞測試?如何進行這種測試?
最后,HealthPlex會詢問提供商是否定期請第三方審查應用軟件,包括Web應用漏洞掃描及人工滲透測試。
請注意,安全評審的全面性取決于諸多因素,比如客戶及業(yè)務的規(guī)模:一家大型金融服務公司可能會派首席技術官飛赴數據中心,親自進行審查、評審軟件代碼。而小公司可能只是下載提供商的安全白皮書就了事。
我們估計,HealthPlex會派有安全專長的內部IT員工花40個小時來評審提供商自己的編制文檔和第三方審查報告,與參考客戶交流,打電話給提供商的某位安全或者操作工程師了解情況。
中國信息產業(yè)網(www.cnii.com.cn)
相關閱讀:
>