Vijf aandachtspunten en tips voor de overstap naar werken in de cloud

29 maart 2018 Consultancy.nl

Door de vele voordelen van werken in de cloud maken steeds meer organisaties de overstap naar clouddiensten. De transitie naar cloud computing is echter gemakkelijker gezegd dan gedaan en IT-beslissers wanen zich vaak in een doolhof van complexe werkelijkheden en tegenstrijdige meningen. Durk Boersma en Walter van Holst, adviseurs bij Mitopics, introduceren aan de hand van vijf stellingen een routekaart om de weg naar de cloud te vinden.

In de praktijk neemt bijna iedere organisatie clouddiensten af, of dat nu beleid is of niet. En dan zijn er enerzijds veel kritische geluiden over beveiliging en privacy in de cloud, zeker sinds de Snowden-onthullingen. Anderzijds bezweren leveranciers, en al helemaal hun resellerkanalen, dat er niets aan de hand is en dat de cloud alle problemen als sneeuw voor de zon doet verdwijnen. Vijf aandachtspunten die kunnen helpen als routekaart in het doolhof van clouddiensten.

1) Informatiebeveiliging in de cloud vereist serieuze managementaandacht

Of er nu wel of niet voor clouddiensten wordt gekozen, vrijwel geen enkele organisatie heeft de beveiliging werkelijk op orde. Dat wil zeggen, bijna geen enkele organisatie heeft de informatiebeveiliging op een niveau dat wenselijk is. Iedere discussie over ‘meer’ of ‘minder’ is lastig. De onderliggende vraag ‘veilig voor wat?’ kent vaak verschillende antwoorden, maar wordt slechts zelden gesteld. Het dreigingsbeeld voor de salarisadministratie van een kaasgroothandel is nu eenmaal anders dan die van een nieuwsorganisatie die onderzoekjournalistiek naar corruptie in Oost-Europa bedrijft. Waarbij de externe salarisadministrateur van bovengenoemde nieuwsorganisatie misschien een veel sappiger doelwit is dan hij zich realiseert.

De hamvragen blijven: doe ik het nu goed genoeg voor mijn organisatie en maak ik de situatie slechter of beter met een cloudprovider? En wegen de kosten voor het intern verbeteren van de situatie op tegen de overstap naar een externe leverancier? Vergeet daarbij niet dat een externe leverancier ook aandacht en sturing nodig heeft. Bij een grote leverancier, die vaak goedkoper zijn diensten aanbiedt, leert de praktijk dat dit praktisch onhaalbaar is. Daarnaast moet de vraagkant uiteindelijk nog steeds kunnen blijven beoordelen of de geleverde kwaliteit, inclusief beveiliging, wel voldoende is.

En om het nog ingewikkelder te maken: die hele grote, moeilijk aan te sturen leveranciers, zijn door hun schaalgrootte juist het beste in staat om de ernstigste bedreigingen het hoofd te bieden. Want over het algemeen is het met de informatiebeveiliging, zeker bij organisaties waar IT niet als een kernactiviteit wordt gezien, droevig gesteld. In die zin kan zelfs een overstap naar een publieke cloudomgeving al een wezenlijke verbetering opleveren.

Een routekaart voor de overstap naar werken in de cloud

2) Zonder vergaande transparantie van cloudleveranciers geen AVG-compliance

Voor traditionele nutsvoorzieningen maakt het doorgaans weinig uit wie de leverancier van de leverancier is. Dus of de elektriciteit nu uit een Deens windpark, Duitse bruinkoolcentrale of een Noorse waterkrachtcentrale komt, zolang maar de juiste spanning, frequentie en vermogen worden aangeboden.

De belofte van clouddiensten is dat met name infrastructuur als een nutsvoorziening kan worden beschouwd. In de praktijk kan deze belofte echter nog lang niet worden waargemaakt. Waar het voor de stroom niet uitmaakt uit welk land deze komt, maakt het wel degelijk uit waar (persoons)gegevens verwerkt worden én dat de afnemer daarover geïnformeerd is. Zozeer zelfs dat dit in de Algemene Verordening Gegevensverwerking (AVG), die per 25 mei 2018 ingaat, tot een wettelijk vereiste is verheven. Ongeacht de locatie van de gegevens, moet de afnemer weten welke (onder)aannemers er betrokken zijn bij de gegevensverwerking. Verder moet de afnemer daar mee ingestemd hebben óf in staat zijn bezwaar te maken.

De gedachte achter de AVG is dat de verantwoordelijke voor de (persoons)gegevensverwerking blijvend in staat moet zijn om controle uit te oefenen, ook als de feitelijke verwerking door (cloud)dienstverleners plaatsvindt. En dat die in beginsel binnen de Europese Economische Ruimte plaats moet vinden, al zijn er uitzonderingssituaties. Het bovenstaande zou een open deur moeten zijn, maar is dat in de praktijk vaak niet. Zeker bij (mobiele) applicaties op basis van PaaS-platforms (bijvoorbeeld Heroku) komt het voor dat leveranciers zichzelf het recht voorbehouden om van bouwstenen te veranderen zonder de klant hiervan te verwittigen. Leveranciers zien dit soms zelfs als een deugd, want ontwikkelaars moeten vrij zijn de beste middelen te kiezen.

Buiten technische aspecten, vragen zij zich zelden af of andere aspecten meespelen. Het cowboygedrag is niet verdwenen uit de IT, het is alleen verschoven naar andere toepassingsgebieden. De oplossing is even simpel als doeltreffend: vooraf vragen stellen over dit onderwerp, dit contractueel vastleggen én naleving handhaven.

3) Vendor lock-in is een levensgroot gevaar

Bij sourcing van clouddiensten is sprake van een meer ingrijpende relatie tussen afnemer en leverancier. Beheer en ondersteuning liggen veelal in handen van de leverancier, wat zorgt voor afhankelijkheid. Als de relatie om wat voor reden dan ook beëindigd moet worden, ontstaat automatisch de vraag hoe men toegang tot de eigen data waarborgt. Hosting wordt immers per definitie door de leverancier uitgevoerd.

De tweede belangrijke vraag, zeker bij meer complexe SaaS-oplossingen, is hoe men de inrichtingskeuzes goed gedocumenteerd terugkrijgt. Vaak wordt onderschat hoezeer sommige SaaS-oplossingen nog blokkendozen zijn die flink wat aanvullende inrichting vergen. Of, wat ook veel voorkomt, dat een SaaS-oplossing voor de eindgebruiker wel een naadloos ogende oplossing is, maar onder de motorkap een aantal aan elkaar geknoopte eilandjes is. In dat geval zijn geëxporteerde datasets geen samenhangend geheel, maar losse datasets met al dan niet gedocumenteerde onderlinge relaties. Vendor lock-in is niet nieuw, maar de pijn die het veroorzaakt wordt veel meer acuut bij clouddiensten.

Vendor lock-in kan een risico vormen voor het realiseren van cloud voordelen

4) Flexibiliteit is niet gegarandeerd

Veelgehoorde argumenten voor clouddiensten zijn flexibiliteit en schaalbaarheid. Zeker bij Infrastructureas-a-Service en Platform-as-a-Service zijn dit ijzersterke verkoopargumenten, maar ook bij Software-as-a-Service is een betaal-naar-verbruik-argument zeker niet te versmaden. Al helemaal als de dienst wordt aangeboden op basis van een verrekenmodel dat correspondeert met dat van de eigen organisatie. In onderwijsland bijvoorbeeld zijn SaaS-oplossingen die afrekenen op leerlingaantallen behoorlijk populair, mede doordat zij zelf primair op basis van die aantallen gefinancierd worden. En de basisfunctionaliteit is vaak ook nog behoorlijk scherp geprijsd. Minder scherp geprijsd zijn de extra modules, want dan is de klant al binnen.

Het feitelijke gebruik van clouddiensten is vaak veel constanter dan de voorgespiegelde flexibiliteit doet vermoeden. Hier schuilt een verborgen kostenpost. Of een extra winstmarge voor de leverancier, om de zonzijde voor die kant niet over het hoofd te zien. Een andere vorm van flexibiliteit is meer kwalitatief. Hoe makkelijk is het om de oplossing aan de (veranderende) organisatievereisten aan te passen, bijvoorbeeld voor nieuwe koppelingen? De noodzaak hiervoor speelt vooral bij SaaS en daar is het beeld wisselend. Enerzijds zijn er de ‘legodoos’-achtige oplossingen, zoals SalesForce, waar relatief veel mogelijk is. Anderzijds zijn er SaaS-oplossingen waar weinig aan te configureren valt. Vooral bij deze laatste categorie worden koppelingen met legacy-systemen echt niet bijgehouden als de SaaS-oplossing een technologische vernieuwing ondergaat. En dan moet wel over worden gaan op iets nieuws of de investering in de overgang naar de SaaS-oplossing vroegtijdig afschrijven en weer een (mogelijk pijnlijk) implementatietraject ingaan.

Dit speelt overigens niet uitsluitend bij SaaS, al komt het daar relatief scherper tot uiting. Wie bijvoorbeeld naar een hogere graad van versleuteling over wil stappen bij IaaS, omdat het dreigingsbeeld is veranderd, zal niet zelden met meerkosten geconfronteerd worden. Of zelfs met een botte weigering van de leverancier, omdat die nu eenmaal baat heeft bij een homogeen dienstenaanbod, en dus niet van zijn concept wil afwijken. En dan moet men maar hopen dat de flexibiliteit zich ook geuit heeft in korte contractstermijnen. De praktijk leert dat dit nog niet zo gangbaar is.

5) Cloudsourcing biedt voordelen, maar…

Concluderend kan vooral gesteld worden dat clouddiensten enorme voordelen kunnen hebben. Ook op het gebied van beveiliging. Maar, de vendor lock-in kan ertoe leiden dat die voordelen niet volop benut worden. Daarnaast is de belangrijkste drijfveer voor veel cloudtrajecten, de hoop dat IT minder managementaandacht zal vergen, een verkeerde drijfveer. Wat de flexibiliteit betreft: breng vooral de basisbehoeften van de organisatie in kaart en vergelijk die met het deel dat fluctueert. Dan kan best eens blijken dat de behoefte aan flexibiliteit niet zo groot is als gedacht. En vraag vooral ook door naar de (technologische) groeipaden van de leverancier en maak daar zo nodig afspraken over, zodat dit op een beheersbare wijze plaats kan vinden.

Nieuws

Meer nieuws over