部署SaaS對TOC的影響分析
2008/05/22
三年下來��,SaaS的成本最多可比同類的許可軟件便宜13.5萬美元。這是《Network Computing》雜志比較分析了CRM服務(wù)和許可軟件包各自的總體擁有成本后得出的結(jié)果��。當(dāng)然���,這個(gè)結(jié)論并不說明一切:讀者們提到了安全�、性能�����、正常運(yùn)行時(shí)間以及公司關(guān)鍵數(shù)據(jù)的實(shí)際擁有等方面的擔(dān)憂����。如果IT人員積極采用SaaS,是不是在消除一些問題的同時(shí)帶來了另一些問題呢����?也許如此,但節(jié)省費(fèi)用的優(yōu)點(diǎn)也許值得你認(rèn)真調(diào)查一番���。本文深入比較了采購及部署三款CRM應(yīng)用軟件的成本�����。我們在SaaS方面評估了Salesforce.com Professional���。至于許可的內(nèi)部部署軟件����,我們評估了微軟的Dynamics CRM 3.0 Professional和Oracle的Siebel CRM Pro�����,評估時(shí)假設(shè)供105名用戶長期使用�����。說到費(fèi)用����,SaaS與內(nèi)部部署產(chǎn)品相比有著明顯的優(yōu)勢���。
我們是如何得出數(shù)字的呢���?我們不是簡單引用廠商的營銷白皮書或者分析師撰寫的調(diào)查報(bào)告,而是使用來自四個(gè)來源的數(shù)據(jù)�����,算出了一家虛構(gòu)的中型公司HealthPlex Software的成本�。我們還得到了經(jīng)驗(yàn)豐富的軟件集成商Bluewolf集團(tuán)的幫助,它幫助許多公司部署了SaaS和內(nèi)部部署軟件。Bluewolf為客戶部署的SaaS軟件超過1000套�����,它幫助我們深入研究部署基于服務(wù)的應(yīng)用軟件到底需要哪些成本�����。我們還提供了實(shí)際研究以及針對366名IT專業(yè)人員的深入調(diào)查���。
概括地說,部署許可CRM應(yīng)用軟件的資本成本和維持軟件運(yùn)行的費(fèi)用都大大高于服務(wù)模式��。在部署后的第一年里���,供105個(gè)用戶使用的許可CRM軟件包其成本比服務(wù)模式高出14萬到17萬美元���。三年下來����,成本高出9.5萬到13.5萬美元。
考慮到接受雜志調(diào)查的對象絕大部分提到較低成本是決定是否采用SaaS方案的最普遍的因素��,這一結(jié)果具有特別重要的意義�����。但成本僅僅是評估軟件采購的因素之一����。正如讀者調(diào)查顯示的那樣,IT專業(yè)人員還沒有準(zhǔn)備全身心地?fù)肀aaS服務(wù)模式���。實(shí)際上���,只有3%的人表示���,打算在接下來的24個(gè)月改用基于服務(wù)的銷售隊(duì)伍自動(dòng)化(Sales-Force Automation���,SFA)應(yīng)用軟件�。原因何在����?事實(shí)很簡單���,說到安全性和可靠性等關(guān)鍵問題,許多人對服務(wù)模式根本就不放心。
在考慮采用SaaS的企業(yè)必須考慮到所有這些問題����。首先�,評估及比較一下服務(wù)和軟件包各自的成本�����。不妨下載一份可以定制的電子表格(nwc.com/go/0305f1.jhtml),即可填入自己的數(shù)字��。接下來,要了解部署SaaS帶來的種種影響��。提供商宣稱部署簡單��,但你的IT人員仍得處理好關(guān)鍵問題���,比如遷移數(shù)據(jù)以及集成新的應(yīng)用軟件與舊的業(yè)務(wù)流程��。
部署前的考慮
正如后文“要不要采用SaaS”里面討論的那樣����,HealthPlex Software需要比較微軟、Oracle和Salesforce.com的CRM應(yīng)用軟件����。成本估計(jì)結(jié)果顯示��,第一年的部署成本對SaaS應(yīng)用軟件有利�����。
先從規(guī)劃和設(shè)計(jì)說起。首先要解決的問題是�����,評估每個(gè)產(chǎn)品的功能���。Bluewolf集團(tuán)的Eric Berridge說���,他平均要用兩周的時(shí)間找客戶洽談,評估SaaS和內(nèi)部部署軟件各自的功能�����。每周的咨詢費(fèi)為2500美元��,共計(jì)5000美元��。
一旦HealthPlex讓SaaS應(yīng)用軟件運(yùn)行起來���、了解了功能����,Berridge就會建議進(jìn)行差距分析(gap analysis),比較一下公司現(xiàn)有的要求與應(yīng)用軟件的功能。差距分析團(tuán)隊(duì)的成員包括:外部顧問��、HealthPlex的技術(shù)專家以及服務(wù)提供商的人員(該人了解該公司的業(yè)務(wù)流程�����,確保應(yīng)用軟件滿足用戶需求)。差距分析后會顯示局限性���;可以向提供商購買另外一種或多種應(yīng)用軟件的許可證,或者編寫定制代碼,以此彌補(bǔ)局限性���。
SaaS應(yīng)用軟件啟動(dòng)并運(yùn)行后���,團(tuán)隊(duì)就能了解軟件的實(shí)際情況��。這便于調(diào)查該軟件具有的功能和特性���。相比之下���,對內(nèi)部部署軟件進(jìn)行差距分析來得比較復(fù)雜���。HealthPlex可以要求試用內(nèi)部部署軟件����,但這意味著需要投入大筆費(fèi)用組建試用軟件所需的基礎(chǔ)設(shè)施。另外�����,差距分析團(tuán)隊(duì)專心閱讀編制的文檔,以便清楚了解軟件的功能和特性���。
Berridge說��,內(nèi)部部署軟件的差距分析所需時(shí)間往往長達(dá)服務(wù)軟件的兩倍。
接下來分析服務(wù)級別協(xié)議(SLA)和許可證協(xié)議�����。HealthPlex會請顧問和內(nèi)部法律和IT部門的代表與SaaS提供商一起評審SLA�。討論的SLA應(yīng)包括正常運(yùn)行時(shí)間保證�����;萬一達(dá)不到這種保證�,對方給予的賠償;以及用來度量正常運(yùn)行時(shí)間的機(jī)制。
HealthPlex打算加入要求服務(wù)衡量指標(biāo)更細(xì)化的條款�����,比如應(yīng)用軟件的響應(yīng)時(shí)間――60秒過后才更新用戶屏幕內(nèi)容的服務(wù)從技術(shù)上來說仍是“正常的”��,但用戶的生產(chǎn)力及滿意度會隨之下降�����。該公司將評審提供商的業(yè)務(wù)連續(xù)性功能���。對方有應(yīng)急發(fā)電機(jī)來提供備用電嗎?對方在多個(gè)地域分散的數(shù)據(jù)中心提供服務(wù)嗎����?
至于內(nèi)部部署軟件方面,HealthPlex必須評估廠商的許可證協(xié)議���,尤其是與技術(shù)支持有關(guān)的條款��。HealthPlex需要弄清楚許可證要求對方提供哪種級別的支持��,還要與提供商和內(nèi)部部署軟件廠商的參考客戶(reference account)進(jìn)行交談���。
對SaaS和內(nèi)部部署軟件項(xiàng)目而言��,SLA和許可證的評審?fù)枰瑯娱L的時(shí)間��。
若采用服務(wù)模式��,HealthPlex還需要另一筆費(fèi)用����,因?yàn)楸M職調(diào)查迫使它需要評審提供商的安全基礎(chǔ)設(shè)施�����。正如讀者調(diào)查表明的那樣���,SaaS方面的一個(gè)首要問題在于���,提供商可能無法為數(shù)據(jù)提供足夠高的安全性,以滿足內(nèi)部政策和外部法規(guī)����。比如要是采用CRM應(yīng)用軟件,HealthPlex的客戶信息和銷售數(shù)據(jù)將放在提供商的托管中心��。所以在簽合同之前,HealthPlex要花時(shí)間詳細(xì)了解提供商如何保護(hù)其數(shù)據(jù)中心及放在數(shù)據(jù)中心的應(yīng)用服務(wù)器和數(shù)據(jù)庫的安全���。
無論你的SaaS提供商是運(yùn)行自己的數(shù)據(jù)中心��,還是向托管服務(wù)提供商租用��,它都應(yīng)當(dāng)有牢固的物理和邏輯訪問控制機(jī)制����,包括有限制的機(jī)器訪問����,以及借助多因子驗(yàn)證進(jìn)入作業(yè)區(qū)�����。
HealthPlex很可能會與提供商的另外一家或者多家客戶(有可能是HealthPlex的競爭對手)共享一個(gè)數(shù)據(jù)庫���。因而����,提供商必須能夠證明它可以安全地分隔數(shù)據(jù)���。另外�����,提供商的網(wǎng)絡(luò)應(yīng)落實(shí)足夠有效的控制�����,包括防火墻和入侵檢測系統(tǒng)����。數(shù)據(jù)中心應(yīng)當(dāng)有物理安全機(jī)制,防止未授權(quán)者訪問硬件���、控制系統(tǒng)�����。
另一個(gè)問題是應(yīng)用軟件��。SQL注入等攻擊旨在誘騙Web應(yīng)用軟件透露數(shù)據(jù)�,并不要求攻擊者訪問數(shù)據(jù)庫���。因而����,HealthPlex會詢問提供商的軟件開發(fā)流程。開發(fā)人員是否在安全地編寫代碼方面受過良好培訓(xùn)�?開發(fā)生命周期是否包括安全評估?應(yīng)用軟件在部署之前是否經(jīng)過漏洞測試���?如何進(jìn)行這種測試�?
最后�,HealthPlex會詢問提供商是否定期請第三方審查應(yīng)用軟件,包括Web應(yīng)用漏洞掃描及人工滲透測試����。
請注意,安全評審的全面性取決于諸多因素����,比如客戶及業(yè)務(wù)的規(guī)模:一家大型金融服務(wù)公司可能會派首席技術(shù)官飛赴數(shù)據(jù)中心�����,親自進(jìn)行審查���、評審軟件代碼���。而小公司可能只是下載提供商的安全白皮書就了事���。
我們估計(jì),HealthPlex會派有安全專長的內(nèi)部IT員工花40個(gè)小時(shí)來評審提供商自己的編制文檔和第三方審查報(bào)告���,與參考客戶交流�����,打電話給提供商的某位安全或者操作工程師了解情況����。
中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
相關(guān)閱讀:
>