Management

Cloud

Business verandert sneller dan menig CIO doorheeft

30 mei 2014

Geen CIO of hij heeft ‘cloud’ en ‘mobility’ op z’n agenda staan. Maar onder druk van de dagelijkse business neigt men nogal eens naar een afwachtende houding ten aanzien van nieuwe concepten. Men wil eerst wel eens zien of het met cloud en mobility wel zo’n vaart zal lopen. Dat is een ernstige misvatting, vindt Christian Verstraete, Chief Technologie Officer van HP. “De ‘consumerization’ en ‘proliferation’ van IT gaat veel sneller dan velen zich realiseren. Wie daar niet op inspeelt wordt aan alle kanten door gebruikers, klanten en concurrenten ingehaald.”

Dit stelt bedrijven voor ingrijpende keuzes, weet Verstraete. In essentie gaat het om het aanpassen van het businessmodel en dat is geen kwestie van even een knop omzetten. Zaak is volgens hem wel dat men zich er op voorbereid. Bijvoorbeeld door een scenario op te stellen volgens welke een organisatie geleidelijk kan opschuiven naar een aanbieder van diensten. En op dat punt is hij niet helemaal gerust. “Voor zo’n verandering is een mindshift nodig. Dat zie ik in de praktijk nog te weinig. Op veel plaatsen denkt men nog steeds dat het om technische verschuivingen gaat en kijkt men naar de infrastructuur en naar de applicaties. Maar al die verticale silo’s voor Microsoft, Oracle, SAP, Unix , het netwerk, en nog een serie applicaties zijn primair gericht op de interne bedrijfsprocessen en niet op de klant.”

Cloud computing krijgt een enorme impact op het IT-landschap de komende jaren, waarschuwt Verstraete. “Cloud computing is een van de enablers van die nieuwe businessmodellen. Het is een zeer bruikbare manier om nieuwe businesstoepassingen IT-technisch te ondersteunen, zonder dat daarvoor de ‘on premise IT’ op de schop moet. Want de veranderingen die ik voorzie zijn niet ‘overnight’ realiseerbaar. Dat betekent dat de huidige IT operationeel moet blijven en dat men die moet blijven onderhouden. Onderwijl moet nieuwe business ontwikkeld worden waarvoor ook IT-ondersteuning nodig is. Cloud computing maakt dat mogelijk. Daarmee kan een eigen IT-omgeving gecombineerd worden met nieuwe externe IT-toepassingen. Zo ontstaan hybride IT-omgevingen. Daar zijn uiteraard weer allerlei varianten denkbaar. Maar het belangrijkste aan deze ontwikkeling is dat IT niet meer de bottleneck is voor het invoeren van nieuwe ‘lines of business’. IT maakt dat nu juist mogelijk.”

Hóe zo’n nieuwe cloudomgeving met de bestaande IT geïntegreerd wordt hangt voor Verstraete af van het transitiemodel dat een bedrijf kiest. “Je hebt eerst de transitie naar een businessservicemodel, daaruit volgt de applicatietransitie, zeg maar de vraag welke diensten je wilt leveren, dat bepaalt welk deliverymodel je nodig hebt. Pas daarna kan je IT-keuzes gaan maken en komt de IT-transitie aan de orde. IT-technisch is dat laatste stuk wellicht het meest interessante maar er moet een herdefiniëren van de business aan vooraf gaan.”

Dat vergt leiderschap, stelt Verstraete. “Je hebt daarvoor niet zozeer een manager nodig maar een bevlogen leider, iemand die de mensen enthousiasmeert en mee trekt. Zet binnen een organisatie een groep enthousiaste mensen bij elkaar. Medewerkers die hongerig zijn naar verandering en het lef hebben om nieuwe wegen in te slaan. En vooral mensen die in staat zijn over hun plannen te communiceren. Stop innovatie niet weg in een apart kamertje, maar hou de rest van de organisatie vooral op de hoogte.”

Hybride cloudomgeving

“Voor de IT-ondersteuning van de lopende bedrijfsprocessen hoeft strikt genomen niets te veranderen. Bedrijven hebben de keuze om die systemen buiten de deur te zetten, bijvoorbeeld in een private cloudconstructie, maar dat hoeft niet. Daarentegen zal men IT-ondersteuning voor nieuwe toepassingen niet snel meer binnenshuis optuigen. Dat zal in toenemende mate als een clouddienst worden afgenomen, bijvoorbeeld in een SaaS-constructie. Afhankelijk van de vraag hoe specifiek een bepaalde toepassing is, zal men kiezen voor een dedicated cloud-service die in een private cloud wordt ondergebracht, of voor diensten uit een publieke cloudomgeving. Hoe dan ook, er ontstaat een situatie waarin bedrijven hun eigen IT combineren met toepassingen die ze uit ‘de cloud’ betrekken. Zo ontstaat een hybride cloud-omgeving waarin on premise IT gecombineerd is met zowel private als publieke cloud.”

Bij de uiteenzetting over deze mogelijkheden legt Verstraete een duidelijke terughoudendheid ten aanzien van publieke cloudtoepassingen aan de dag. Want met de door hem genoemde ‘consumerization’ en ‘proliferation’ van IT dienen zich volgens hem twee stevige vraagstukken aan; Hoe beveilig je die nieuwe onbegrensde omgeving en hoe staat het met de uitwisselbaarheid van data? “Organisaties die toestaan dat medewerkers hun eigen devices gebruiken, moeten zich realiseren dat daarmee IT je bedrijf binnenkomt waar je geen vat op hebt, en ook dat er data je onderneming uitgaat waar je geen controle meer op hebt. Want als medewerkers hun data, ook bedrijfsinformatie, opslaan in Dropbox of equivalenten daarvan, weet strikt genomen niemand waar die informatie is opgeslagen, of het daar echt safe is en wie er mogelijk mee kijkt. Daarnaast worden allerlei bestandsformaten gebruikt. Men hanteert eigen definities en over de vraag in hoeverre data nog uitwisselbaar is denkt niemand na.” Daarmee dreigen we volgens Verstraete terug te vallen in het ‘Excel- tijdperk’ van eind jaren tachtig, toen elke afdelingsmanager de financiële administratie in Excel bijhield en vond dat zijn spreadsheet de ‘enige universele waarheid’ weergaf.

Op het punt van security zijn de vraagstukken minstens zo omvangrijk. Uit recent onderzoek blijkt dat het bij veel bedrijven 200 tot 300 dagen duurt voor men beseft dat er met data geknoeid is, of dat informatie mogelijk gestolen is. “Een partij als Adobe bijvoorbeeld, een onderneming waarvan je mag aannemen dat men meer dan gemiddeld thuis is in IT, ontdekte pas dat er onbevoegden in hun systemen rond geneusd hadden, nadat een medewerkers op een hackersite een deel van de eigen broncode herkende.” Deze bevindingen tonen aan dat veel bedrijven zich nog veel te weinig bewust zijn van de implicaties van de recente IT-ontwikkelingen.”

Als derde belangrijke issue rond cloudcomputing noemt Verstraete de exitstrategie. “Hoe krijg je data terug als je weg wilt bij een provider? Daar zijn natuurlijk contractuele bepalingen voor maar als je die leest snap je meteen dat het praktisch onmogelijk is om bijvoorbeeld 2 petabyte aan data weer even zelf in beheer te nemen. Anders gezegd, wie eenmaal voor een aanbieder van publieke clouddiensten heeft gekozen, krijgt al snel met een vendor lock-in te maken.”

Je kunt dat soort vraagstukken ondervangen door de data los te koppelen van de services die men levert. De data is daarbij core business, de services op basis van die data kunnen om het even waar vandaan betrokken worden. Zo’n insteek vergt volgens Verstraete een gecontroleerde cloud-omgeving. Daarin kan on premise IT worden gecombineerd met cloudtoepassingen, zowel private als publieke, en weet de gebruiker waar zijn data staat, wie er de eigenaar van is en wat er mee gebeurt. Met name dat laatste is voor Verstraete van belang. “De aard van cloudcomputing is nu eenmaal dat het zich niet tot één fysieke locatie beperkt vaak over landsgrenzen heen. Wat daarvan de consequenties zij heeft niet iedereen even helder op z’n netvlies.”

Checklist

Een checklist die bij de besluitvorming rond cloudcomputing van dienst kan zijn wordt door Verstraete aangeduid als ‘my litte cloud cheat sheet’. “De bedoeling daarvan is niet om mensen bang te maken, maar wie voor dienstverlening vanuit de cloud kiest moet goed weten waar hij aan begint. Stel jezelf deze vragen en maak een afweging welke risico’s je bereid bent te nemen.”

Van waar wordt een service geleverd?
Dat is in een cloudomgeving van belang, want hoe groter de afstand tot de fysieke server hoe meer vertraging er optreedt. Met name bij interactieve applicaties waar veelvuldig een schermupdate plaatsvindt wordt een vertraging van 200 ms al snel vervelend.

Wie is bij het leveren van de dienst betrokken?
Met name in SaaS-constructies zijn vaak meer partijen betrokken. Een SaaS-aanbieder kan het hardwareplatform van een andere aanbieder gebruiken, kan zijn back-up bij weer een andere partij hebben ondergebracht. Hetzelfde geldt voor disaster recovery, administratie et cetera. Achter één naam gaat doorgaans een keten van aanbieders schuil en de kwaliteit van een dienst is zo goed als de zwakte schakel. Wanneer een dienstverlener tijdelijk zijn dienstverlening staakt, zullen een groot aantal partijen verrast zijn dat dat hen ook raakte.

Waar wordt de data fysiek opgeslagen en verwerkt?
De locatie van data hangt samen met de compliancy-eisen die er aan gesteld worden. Sommige landen eisen dat financiële gegeven altijd binnen de eigen grenzen moeten blijven. De EU stelt dat persoonlijke gegevens van mensen niet buiten de EU opgeslagen of verwerkt mogen worden. De regels voor medische informatie zijn soms nog strikter. En let wel, dat geldt voor zowel de operationele data als voor de bestanden die voor disaster recovery bedoeld zijn.

Hoe krijg ik mijn data terug als een dienstverlener stopt of ik zelf van service wil veranderen?
De crux is dat de data naar de nieuwe applicatie wordt overgezet, dat is op zichzelf niet anders dan in een traditionele IT-omgeving. Maar er zijn twee belangrijke issues. Om te beginnen is niet duidelijk in welk format je de data van je dienstverlener krijgt aangeboden. Want het dataformat, dat was zijn zaak. Daarnaast is de vraag hoe je de data terug kan krijgen. Moet je het uploaden? Als het om terabytes gaat kan dat een dure grap worden. Er zijn aanbieders die je bijvoorbeeld 48 de tijd geven om je data bij beëindigen van de dienst terug te halen. Zie maar eens een paar terabyte aan data in twee etmalen onder je beheer te krijgen.

Wat gebeurt er met de operationele data, snapshots, disaster recovery en back-upkopieën als een dienstverlener stopt of ik zelf van service verander?
Je wilt uiteraard dat alle data gerelateerd aan een service vernietigd wordt. Maar data deleten die op internet staat is buitengewoon complex. Op dit moment is er geen systematiek om data die in een cloudomgeving is opgeslagen te deleten. De EU dringt weliswaar aan op het ‘right to be forgotten’ maar vooralsnog geldt dat het heel makkelijk is om data op het web te zetten, maar dat het vrijwel onmogelijk is om het er weer af te krijgen.

Wie is eigenaar van de data die voor een service wordt gebruikt?
Lijkt een ondergeschikt onderwerp totdat bijvoorbeeld het ministerie van Justitie gegevens wil hebben. Wie besluit dan over het beschikbaar stellen daarvan? De dienstverlener op wiens systemen de data staat of jij als eigenaar van de data? Een ding staat vast, de dienstverlener wil geen gedoe en zal als het even kan de overheid ter wille zijn. En het is niet zeker dat men dat aan jou zal melden. Dus stel de vraag over het eigendom van de data voordat je met een partij in zee gaat. Check ook met de plaatselijke wetgever of de afspraken zoals ze gemaakt zijn rechtsgeldig zijn.

Welke securitymaatregelen zijn er genomen?
Vaak wordt gesteld dat de public cloud veiliger is dan de eigen privéomgeving. Maar als je de grote providers vraagt hoe het met de beveiliging staat is hun antwoord ‘Dat is te complex om uit te leggen, vertrouw ons maar gewoon.’ Elke transparantie is dus zoek. Daarnaast zijn publieke cloudomgevingen het walhalla voor hackers en cybercriminelen. Daarom is het van belang duidelijkheid te hebben over de securityprocedures van een dienstverlener. Vraag ze op, check ze, laat een audit uitvoeren. Stemt een dienstverlener daar niet in toe, vraag je dan af of je zijn diensten wel wilt gebruiken.

Wat zijn de verantwoordelijkheden van de dienst­verlener?
De terms and conditions die elke dienstverlener hanteert sluit doorgaans al veel aansprakelijkheid uit. In de praktijk komt het er op neer dat de aanbieder van een clouddienst alleen verantwoordelijkheid neemt voor de infrastructuur. Alles wat van die infrastructuur gebruik maakt is de verantwoordelijkheid van anderen. Dat is vooral van belang bij compliancy. Als zich daar problemen mee voordoen is de kans dat de dienstverlener daar verantwoordelijkheid voor neemt minimaal.

Hoe word je op de hoogte gehouden van problemen?
Jouw dienst valt uit. Hoe wordt dat aan jou gemeld? Ga je akkoord met een Twitterbericht of wil je toch wat gedetailleerder op de hoogte worden gebracht? In de praktijk duurt het doorgaans vrij lang voor een dienstverlener door heeft dat er een probleem is met zijn services. Het is daarom van belang dat duidelijk is wie er bij storingen benaderd moet worden en wat dan de procedures zijn.

Welke privacypolicy hanteert de cloudprovider? Hoe gaat zij om met gebruikers­informatie?
Gezien de manier waarop grote aanbieders als bijvoorbeeld Google of Facebook omgaan met gegevens van hun klanten is het zaak het privacy-statement van aanbieders goed door te nemen. Want als jouw medewerkers data op het web delen, bedrijfsgegevens en zelfs persoonlijke informatie, is het zaak te weten wat de aanbieder met die gegevens kan en wil doen.

Wat gebeurt er als jouw dienstverlener failliet gaat?
Ooit waren er de escrow-overeenkomsten voor het veilig stellen van broncode. Dat soort constructies bestaat niet in de cloudwereld. Weet daarom hoe je je data terug kan krijgen als een leverancier in geval van faillissement door een curator bestuurd wordt, of in geval van een overname een andere eigenaar krijgt.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!