7 aspecten om Cloud Readiness te beoordelen

Steeds meer organisaties gebruiken de mogelijkheden die cloudcomputing hen biedt. Zowel business- als IT-medewerkers hebben zich vaak al georiënteerd op het aanbod van verschillende leveranciers, en ook het gebruik van de verschillende vormen van cloud neemt snel toe. Maar wat is nu precies de impact van cloudcomputing op de organisatie en is de organisatie daar wel op voorbereid en toegerust? Hoe haalt de organisatie de meeste waarde uit de cloud?

In deze whitepaper zal op deze vragen worden ingegaan. Nadat een overzicht is gegeven van de belangrijkste verschijningsvormen van clouddiensten, komen achtereenvolgens zeven aspecten aan de orde die van belang zijn bij de beoordeling of een organisatie ‘cloud ready’ is: personeel, dienstverlening, juridisch en inkoop, duurzaamheid, financiën, architectuur en security en tot slot regie. 

Inleiding 

Cloudgebruik wordt gestimuleerd doordat organisaties besluiten zwaar in te zetten op digitale transformatie. Vaak stellen organisaties echter de stap naar de cloud uit tot het moment dat een contract voor traditionele IT-dienstverlening afloopt en vragen zij hun leverancier dan pas naar de mogelijkheden van de leveringsmodellen voor cloudcomputing. Het vergelijken van de cloudmogelijkheden en de bijbehorende kosten is echter niet eenvoudig. Het afnemen van clouddiensten introduceert een heel nieuw spectrum aan vraagstukken op het gebied van veel aspecten, waarbij die van regie wellicht het belangrijkste is. Bij het ontbreken van duidelijke regie op cloud kan een organisatie onbedoeld terechtkomen in de situatie van multi-sourcing bij meerdere leveranciers, bijvoorbeeld doordat verschillende businessunits allerlei software-as-a-service-oplossingen (SaaS) uit de cloud gaan afnemen. Dit kan leiden tot een hoeveelheid onoverzichtelijke en onsamenhangende clouddiensten, waarbij mogelijk ook een ander doorbelastingsmodel binnen de eigen organisatie nodig is. Bij de ene organisatie zal de business ‘aan de knoppen zitten’, bij een andere zal dat de IT-functie zijn. In een situatie waarbij geen duidelijke afspraken gemaakt zijn over de afname van clouddiensten, kan financiële forecasting daarmee een lastige opgave worden. 

Een ander voorbeeld van de noodzaak tot regievoering is de opslag van data. Dat lijkt vaak in eerste instantie overzichtelijk en helder, en daarmee een goede kandidaat om als clouddienst af te nemen. Echter de verschillende aanbieders hanteren een scala aan lastig vergelijkbare pricing-modellen. Er is sprake van verschillende leveringsmodellen, soms op basis van gebruikte ruimte, opslagcapaciteit, bandbreedte en wel of geen backup- en restorevoorzieningen. Zonder duidelijke regie en kennis, is het moeilijk hier grip op te krijgen. 

In de traditionele outsourcing zijn de kostenmodellen inzichtelijker, maar bij cloudcomputing-toepassingen is dat op dit moment nog niet het geval. Het dienstenportfolio is nog niet in alle gevallen op een wenselijk niveau en er zijn nog te weinig marktstandaarden. De facturen lopen daardoor bijvoorbeeld nog niet bij alle aanbieders helemaal synchroon met het op- of afschaalmoment van de afgenomen diensten. De afnemer van de clouddienst heeft daar geen invloed op; zo kan de klant zich plotseling geplaatst zien voor een opgebruikt opslagquotum, terwijl hij niet tijdig is geïnformeerd dat het plafond in zicht kwam. 

Cloudcomputing is duidelijk een groeimarkt waarin nog lang niet alles is uitgekristalliseerd en er nog sprake is van een wildgroei aan gerenommeerde maar ook nieuwe leveranciers. Er is sprake van hybride sourcingmodellen, verschillende prijs- en doorbelastingsmodellen en nieuwe technologieën waar sommige organisaties nog helemaal niet over hebben nagedacht, maar die deze wel graag mee willen nemen in hun dagelijkse praktijk. Uit diverse praktijkcases is gebleken dat de sourcingbeleidskaders en de sourcingstrategie verrijkt moeten worden met additionele informatie gericht op cloudopties, om een gedragen besluit te kunnen nemen over de juiste strategie.

De verschillende cloudvarianten 

Cloud is momenteel één van de meest gebruikte buzzwords in de IT. Een organisatie telt al bijna niet meer mee als het de cloud niet gebruikt. Maar wat is de cloud eigenlijk en welke leveringsvormen zien we daarin terug? De belangrijkste kenmerken van clouddienstverlening zijn: 

Online levering: Levering van de dienstverlening via een privénetwerk of het Internet. Internet is de drijvende kracht achter de groei van de cloud omdat daardoor de dienstverlening ‘any time any place’ geleverd kan worden (mits er uiteraard een internetverbinding is). 

Delivery as a Service: Er worden geen IT-middelen en producten meer geleverd, maar alleen maar diensten. XaaS is dan ook het toverwoord in de cloudeconomie, waarbij de X staat voor de verschillende vormen van cloud (zie hierna). 

On-demand & self service: De klant kan op elk moment servertijd, rekenkracht, opslagcapaciteit en netwerkcapaciteit verkrijgen zonder menselijke interactie met de dienstverlener; 

Gedeelde middelen: De gebruikte fysieke IT-middelen worden door middel van virtualisatie gedeeld door veel (in- of externe) gebruikers; 

Hoge mate van elasticiteit: IT-middelen kunnen snel (eerder minuten dan uren) en flexibel (qua tijdvensters, capaciteit) beschikbaar worden gesteld. Als het nodig is kan snel en tijdelijk op- of afgeschaald worden. 

Pay per use: Niet het bezitten van de computerfaciliteiten kost geld, maar het werkelijk verbruik. In de praktijk zijn hier ook grenzen aan. Bij data zien we dat veel permanent wordt opgeslagen en het gebruik over de tijd heen alleen maar groeit. 

Er worden in de cloud drie dominante leveringsmodellen (naast vele andere) onderscheiden

IaaS: Bij Infrastructure as a Service wordt alleen de basis computerinfrastructuur geleverd; servers, operating system en dataopslag en de daarvoor benodigde rekencentrum- en netwerkfaciliteiten. 

PaaS: Platform as a Service levert het complete platform om een applicatie op te laten landen. Het is IAAS inclusief programmeeromgeving en databases. Het aantal smaken PaaS is vele malen groter dan IaaS.

SaaS: Software as a Service is de meest complete IT-dienstverlening in het cloudspectrum. Hierbij wordt een werkende applicatie aangeleverd waarbij de gebruiker of lokale beheerder meestal wel vrijheidsgraden heeft om deze te configureren. 

De cloud kent vier verschillende implementatievarianten

Public cloud: De cloudinfrastructuur wordt ter beschikking gesteld aan een breed publiek en is eigendom van een organisatie die deze services verkoopt (een cloud leverancier). 

Private cloud: De cloudinfrastructuur wordt uitsluitend gebruikt voor één enkele organisatie. Het kan worden beheerd door de organisatie of door een derde partij, waarbij de infrastructuur binnen de muren van de organisatie staat of bij deze derde partij. 

Community cloud: Dit betreft de situatie waarbij de cloud-infrastructuur wordt gedeeld door verschillende organisaties, die doorgaans gemeenschappelijke doelen en normen hebben (zoals missie, beleid, veiligheids- of wettelijke eisen). Deze cloud kan worden beheerd door één van deze organisaties, een shared service center of een derde partij. De infrastructuur staat dan bij één van deze drie partijen. 

Hybrid cloud: De hybride situatie ontstaat wanneer de infrastructuur een samenstelling is van twee of meer van de hierboven beschreven varianten (public, private en comunity) én waarbij gegevens en/ of capaciteit afhankelijk van de vraag of de toepassing kunnen worden verplaatst tussen deze varianten.

Ten slotte zien we rondom de cloud ook steeds meer governance en dienstverlenings-modellen voor het besturen en beheren van de publieke, private en hybride cloud-omgevingen ontstaan. Sommige van deze modellen zijn sterk verbonden met software, maar dat geldt zeker niet voor alle. Omdat de modellen een verschillende oorsprong hebben, overlappen ze vaak. De modellen verschillen in de mate waarin zij gericht zijn op: 

1. de ondersteuning van de business dan wel op de aansturing van leveranciers; 
2. de verwerving (sourcing) dan wel de levering van diensten; 
3. cloud of op alle outsourcingsvarianten.

Cloud Governance

In figuur 2 zijn deze verschillen in beeld gebracht. De drie donkerblauwe modellen zijn specifiek gericht op de besturing van clouddiensten. De overige twee zijn meer generieke besturingsmodellen. Helaas zien wij dat de verschillende leveranciers deze begrippen regelmatig door elkaar heen gebruiken, wat mede veroorzaakt wordt door de grote mate van overlap. Dit vergt dat klanten goed moeten definiëren welke functie zij werkelijk nodig hebben. Wij beschrijven deze modellen van rechts naar links: 

Cloud Management: Cloud Management is het beheren van het gebruik van publieke, private en hybride cloud omgevingen nadat deze zijn gecontracteerd. We komen Cloud Management meestal tegen met het bijbehorende Cloud Management Platform (software), dat zorgt voor de selfservice-interfaces, geautomatiseerde levering van standaardplatformen (met de bijvoorbeeld gewenste beveiligingseisen), de meting van het verbruik, de facturatie en de optimalisatie van de workload (over verschillende cloud omgevingen). 

Cloud Service Brokerage: Cloud Service Brokerage is gericht op het vervullen van de intermediaire functie tussen klant en leverancier op het gebied van het contracteren en besturen van de levering, het gebruik en de prestaties van de clouddiensten. Ook hier wordt software ingezet, die ondersteunt bij de selectie van leveranciers en het beheren van de gecontracteerde diensten. Cloud Service Brokerage is dus breder inzetbaar dan Cloud Management op het gebied van (eenmalig en dynamisch) selecteren van het juiste cloudplatform voor de klant. Alleen de typisch op de eindgebruiker gerichte (selfservice)diensten ontbreken.

Cloud Orchestration: Cloud Orchestration betreft het besturingsmodel of de dienstverlening die erop gericht is om de clouddiensten van meerdere leveranciers te integreren tot één businessgerichte dienstverlening. Cloud Orchestration streeft naar de naadloze vertaling, integratie en realisatie van interafhankelijke businesseisen naar end-to-end clouddiensten, die door (mogelijk) verschillende leveranciers van cloud diensten geleverd worden. Waar Cloud Service Brokerage vooral gericht is op het afnemen van clouddiensten bij meerdere leveranciers (supply focus) is Cloud Orchestration vooral gericht op het leveren van diensten aan de business (demand focus). 

Service Integration Automation and Management (SIAM): SIAM heeft tot doel om de diensten (cloud én non-cloud) van meerdere leveranciers te integreren tot end-to-end diensten voor de business. SIAM is van oorsprong een model dat sterk samenhangt met service management software. De laatste jaren is het steeds meer een model voor de samenhang tussen de automatisering van de IT-dienstverlening (IT4IT) en de besturing van deze dienstverlening geworden. SIAM is nog altijd meer gericht op het besturen van IT-leveranciers en wat minder op het integreren van de vraag. Dit verklaart dat naar onze inzichten het niet geheel overlapt met Cloud Ochestration. 

Demand Supply Governance Framework (DSGF): DSGF is een door Quint ontwikkeld governance model voor het vertalen, integreren en besturen van de vraag van verschillende business onderdelen naar diensten van in- en externe leveranciers van diensten (cloud én non-cloud) inclusief het besturen van de levering. DSGF is geworteld in de periode dat outsourcing steeds vaker plaatsvond maar de cloud nog niet bestond. De principes van DSGF passen echter nog steeds in het cloudtijdperk. DSGF is ook minder gericht op het automatiseren van de relatie tussen vraag en aanbod, om deze reden is er net geen gehele overlap met Cloud Management en Cloud Service Brokerage.

Het gebruik van de clouddiensten 

Het gebruik van de cloud is de afgelopen jaren sterk gestegen. In 2011 stelde Quint door middel van een survey vast dat minder dan 10% van haar klanten de cloud toepasten. 30% van de respondenten dacht toen dat hun organisatie in 2016 de cloud zou gebruiken. Dit bleek niet goed ingeschat want volgens recent onderzoekII gebruikte in 2016 86% van de Nederlandse organisaties een of andere vorm van cloud dienstverlening. Volgens een ander onderzoek bij een groep relatief kleinere organisaties is in huis houden van de IT en outtasking nog steeds het dominante service model (in 62% van de gevallen).

Dit betekent overigens wel dat voor de overige 38% de cloud wel het dominante service model is geworden. En dit aantal zal verder blijven groeien. Uit mede door Quint uitgevoerd onderzoek van 2016IV blijkt dat 61% van de organisaties meer gebruik gaat maken van de cloud (tegen maar 3% die een daling van het gebruik verwacht). In 2011 was de top drie van obstakels voor een cloudstrategie: gebrek aan veiligheid, te veel interfaces en gebrek aan privacy. Inmiddels zijn dit geworden: het organiseren van samenwerking met de business, ontwerpen van IT Architectuur en verkrijgen van transparantie in de kosten. De belangrijkste redenen om cloud te gaan toepassen waren in 2011 schaalbaarheid, kostenreductie en het vereenvoudigen van hard- en software-onderhoud. In 2016 zijn dit ‘verhogen van informatiebeveiliging’, ‘verlagen van IT CAPEX’ en ‘vergroten van innovatief vermogen’ resp. ‘verlagen time-to-market’. Al met al blijft kosten verlagen een dominante factor en is de time-to-market (om te innoveren of om simpelweg in de markt te blijven) een duidelijke runner up geworden. Gezien de wens bij veel vooral Nederlandse organisaties om de storage vooral in Nederland te willen onderbrengen, zijn de beveiligingszorgen er echter ook nog steeds. Ze zijn alleen concreter geworden. Ten slotte is het aspect klanttevredenheid een niet onaanzienlijk aspect. We zien in ons onderzoek uit 2016 (zie figure 3) dat de cloud providers over het algemeen hoge ogen gooien, maar nog niet de hoogste. Wellicht is het persoonlijk contact tussen leverancier en klant toch ook belangrijk. 

Cloud Readiness Assessment

In de praktijk ziet Quint dat het feit dat clouddiensten steeds meer worden afgenomen, niet hoeft te betekenen dat een organisatie er ook (voldoende) klaar voor is en daarmee de maximale waarde eruit haalt. Wij zien veel organisaties terecht worstelen met de beloften van de cloud versus de nieuwe vraagstukken die cloud met zich meebrengt. Het beantwoorden van deze vraagstukken is noodzakelijk om succesvol aan de slag te gaan met cloud computing en waardoor men juist de vruchten hiervan kan plukken. Om te komen tot de juiste strategie en bijpassende roadmap voor cloudsourcing is het van groot belang de volwassenheid van een organisatie vanuit eerdergenoemde zeven aspecten te beschouwen. Daarom gaan we hierna dieper in op deze aspecten en hun interactie met de cloud. 

Personeel 

Bij de toename van cloud computing zullen er naar verwachting steeds minder interne technische beheerders nodig zijn. In een cloud omgeving wordt alles gevirtualiseerd en centraal aangestuurd. Het technische beheer vindt plaats bij de cloud leverancier en verplaatst zich dus achter de muren van diens datacenter. Kijkend naar de nabije toekomst zal bijvoorbeeld 90 procent van de medewerkers voldoende hebben aan een browser op hun device hetgeen goed centraal op afstand valt te beheren. Vanuit HRM-optiek zal hier dus aandacht aan besteed moeten worden door bijvoorbeeld omscholingstrajecten of afvloeiingsregelingen te initiëren. De traditionele overgang van onderneming zal hier vaak niet bij van toepassing zijn omdat de overgang in veel kleinere brokken plaatsvindt dan de uitbestedingen die we vroeger zagen. De gemiddelde organisatie zal bij de verdere inzet van de cloud juist meer behoefte gaan krijgen aan functionele beheerders en regisseurs om de vruchten te plukken van de cloud en de daaraan voorafgaande digitale transformatie aan te sturen. De omslag naar de cloud zal dus om andere IT vaardigheden vragen en deze omslag gaat niet vanzelf. Deze zal moeten worden bestuurd.

Dienstverlening 

De beheerprocessen van de klantorganisaties verplaatsen zich met de invoering van cloud diensten van het traditionele technisch beheer naar het functionele beheer. De IT-services zelf worden steeds meer buiten het zicht van de eigen organisatie uitgevoerd. Traditionele diensten als backup- en restore diensten worden geautomatiseerd; alleen de legacy systemen worden nog op de traditionele manier beheerd, totdat die ook zijn omgezet naar een cloud omgeving. Het functionele beheer kan alleen maar in interactie met de business worden uitgevoerd. Niet alle organisaties beschikken echter over een goed ontwikkeld functioneel beheer. Dat is een groot zorgpunt. In de praktijk zien we helaas ook regelmatig een functioneel beheer dat te ver af staat van de IT én de business en daardoor een eiland op zich vormen. Ook is functioneel beheer niet altijd eenduidig ingericht. Bij cloud computing wreekt die onvolwassenheid zich, want daarin speelt functioneel beheer een zeer belangrijke rol. Niet alle diensten die uit de cloud worden afgenomen zijn immers standaard diensten. Bovendien bieden veel cloud oplossingen de mogelijkheid een op maat geconfigureerde omgeving te ontwikkelen. Deze dienstverlening aan de organisatie moet worden ingericht (door functioneel beheer) om deze succesvol te kunnen gebruiken. 

Een tweede belangrijke verandering op het gebied van dienstverlening is het implementeren van het selfservice model. De gemiddelde gebruiker wil via één portaal toegang hebben tot alle IT-diensten of dit nu legacy, publieke diensten of specifieke bedrijfsinterne clouddiensten zijn. Dit vergt een omslag, niet alleen in technische zin. Veel gebruikers en hun IT-dienstverleners denken bijvoorbeeld nog steeds vaak in technische producten en niet in services.

Juridisch & inkoop 

Ook in cloudtijdperk is het juridische en inkoop aspect zeer belangrijk om grip te houden en sturing te geven. Een cloudcontract bevat andere componenten dan een traditioneel sourcing contract. Het zwaartepunt ligt vooral bij afspraken omtrent beschikbaarheid, continuïteit, vertrouwelijkheid en kosten. Cloud gerelateerde contracten zijn inmiddels beter toegesneden op Business to Business en Public to Business businessmodellen, daar waar een paar jaar geleden nog van ‘consumentencontracten’ sprake was. Bij de overgang naar cloud speelt eigenaarschap en overdraagbaarheid ook een grote rol: mag de software die bedrijf A gekocht heeft draaien in de Public cloudoplosssing van bedrijf B? Bekend zijn de grote contractuele perikelen bij software contracten die in gevirtualiseerde omgevingen opeens veel duurder werden, omdat dit gebruik niet (of eigenlijk te goed!) paste in het afrekenmodel van de leverancier. Men moest per processor betalen en dat zijn er op een virtuele server heel erg veel… 

Vendor lock-in is ook een groot juridisch risico van cloud gebruik: is de organisatie nog wel in staat om haar data te verplaatsen naar een andere oplossing? Wat gebeurt er als de organisatie van software in het geval van SaaS wil wisselen? De data is dan meestal wel overdraagbaar, maar hoe makkelijk gaat dat en wat gebeurt er dan met alle instellingen en hoe kan worden voorkomen dat bij een nieuwe SaaS-oplossing alles opnieuw opgebouwd moet worden? Een succesvolle cloud strategie vergt het antwoord  op deze vragen, waarbij eventueel doelbewust risico’s kunnen worden genomen. En als de eigen organisatie deze vragen niet stelt, dan stellen toezichthouders deze vragen meestal wel.

Een niet onbelangrijk juridisch aspect is het eigenaarschap van data. Bij een public cloud moet geborgd worden dat de data eigendom blijven van de organisatie die deze data gemaakt heeft. Dit blijkt in de praktijk geen sinecure. In formele zin zijn bijvoorbeeld Facebook en WhatsApp eigenaar van de data die op hun platform zijn geplaatst. De verwachting is echter dat dergelijke cloud leveranciers dit recht zeer terughoudend zullen gebruiken, omdat anders gebruikers massaal stoppen om deze diensten te gebruiken. Een private cloud geeft hier over heel wat meer zekerheid, hoewel er ook dan vanuit juridisch aspect goed moet worden uitgezocht of de leverancier geen claim legt op data die in zijn datacenter staan opgeslagen. Dat is absoluut geen overbodige luxe, zo blijkt in de praktijk. 

Duurzaamheid 

Duurzaamheid van de IT wordt in toenemende mate belangrijk gevonden door organisaties. Steeds meer organisaties leggen zich toe op het verduurzamen van de bedrijfsvoering, met inachtneming van impact op ‘people, planet & profit’ op de korte én lange termijnV. De organisaties die duurzaamheid belangrijk vinden, zouden op zijn minst moeten verifiëren hoe hun beoogde cloud leverancier met dit onderwerp omgaat. Outsourcing heeft altijd een zekere impact op duurzaamheid en dus ook bij de keuze voor de cloud. De keuze voor de cloud is bijvoorbeeld van invloed op waar het werk wordt uitgevoerd en heeft daarmee zeker invloed op de lokale werkgelegenheid. Het effect op onze planeet kan een positieve zijn omdat cloud gebruik tot efficiënter gebruik van computerresources en de onderliggende energievoorziening kan leiden. Geclaimd is (zie bijvoorbeeld The Incredible Environmental Impact of Cloud Technology) dat indien alle Amerikaanse bedrijven voor al hun IT overgaan op de cloud dit leidt tot 87 procent daling van het energieverbruik. 

Financiën 

Vanuit het financiële perspectief is het afrekenmodel van de cloud, het ‘pay per use’ principe, de belangrijkste verandering ten opzichte van de oude situatie. Het alleen betalen voor het daadwerkelijk gebruik wordt beschouwd als een van de grote voordelen die de cloud biedt. Er zitten echter wel wat haken en ogen aan. In de eerste plaats: wat is de exacte prijs van de dienst en is die volledig schaalbaar? Hierin verschillen de afrekenmodellen stevig. Wordt er per gebruiker, feature (in geval van SaaS), virtuele server, GB en dergelijke afgerekend? Is de granulariteit per jaar, maand, dag of seconde? En mogen eenmaal afgenomen aantallen direct weer worden teruggegeven of is het alleen maar mogelijk meer te gebruiken? Het is dus van groot belang vooraf een degelijke business case te maken om een juiste afweging te kunnen maken of het afnemen van clouddiensten voor een organisatie financieel aantrekkelijk is. Wij zien in de praktijk dat nog te veel organisaties op dit punt bedrogen uitkomen als de eerste rekening van de cloud leverancier op de deurmat valt.

Een tweede onderwerp dat bij financiën aan de orde komt is het beheersen van de uitgaven. In het geval dat apparatuur en licenties gekocht worden, kan zeer specifiek worden besloten door de procuratiehouders van een organisatie of er ook daadwerkelijk geld wordt uitgegeven. Dit geldt niet meer bij het afnemen van clouddiensten. Het is ‘pay per use’ dus als het gebruik stijgt, stijgen ook de kosten. Vanzelfsprekend is dit te beperken met contractuele limieten, die de flexibiliteit (een ander sterk punt van de cloud) wel beperken. Hier moet een organisatie dus vooraf besluiten in nemen en besturing op zetten. 

Het cloudmodel is tenslotte vanuit financieel perspectief belangrijk. Een public cloud zal veel meer variatie qua kosten met zich meebrengen dan een private cloud. Deze laatste lijkt voor de totale organisatie meer op de traditionele outsourcingskosten. Intern kan een private cloud echter ondersteunen bij het beter doorbelasten van de IT kosten omdat het werkelijke verbruik wordt gemeten (zoals dit ook bij de public cloud kan). Dit zou een substantiële factor kunnen zijn voor de besturing van de totale IT kosten. Bij storage in de cloud is het vaststellen van de prijs per eenheid al een stuk lastiger. De aangeboden cloudfaciliteit is per partij verschillend: naast de opslagcapaciteit levert de ene marktpartij er back-up & restore-faciliteiten bij, de ander verstrekt een bepaalde hoeveelheid gratis storage voordat de re-kening gaat lopen, weer andere leveranciers bieden daar verschillende combinaties van. Het aanbod laat zich daardoor uiterst moeilijk vergelijken en een goede afweging van alle facetten om te komen tot een passende leverancier is onontbeerlijk. Dat is echt een uitdaging. 

Architectuur & Beveiliging 

Met de opkomst van cloud computing wordt het belang van een goed ingerichte architectuur en security groter om grip te houden op de geheel of gedeeltelijk buiten de deur geplaatste IT-omgeving. De vele mogelijkheden tot sourcing maakt het belangrijker om inzicht, overzicht en samenhang te hebben. Allereerst is het goed om te beseffen dat zeker niet alle applicaties zondermeer effectief op een cloudplatform draaien. Per applicatie moet worden bepaald of deze applicatie geschikt is voor een cloudplatform én of plaatsing van deze applicatie in de cloud voordelen biedt. Een applicatie die 7 keer 24 uur dezelfde belasting heeft en waarbij ook de dataopslag stabiel (groeiend) is, wordt meestal niet beter gehost in een cloudomgeving dan in een conventionele omgeving. Omgekeerd kan het zinnig zijn om een oude applicatie die een sterk wisselend verbruik heeft over de dag, week of maand zodanig te verbouwen dat deze wel goed in de cloud draait.

Een groot gevaar dat een organisatie kan lopen is het binnenhalen van een cloudoplossing die vervolgens als een soort silo in een eigen domein functioneert en dus niet integreert met de bestaande IT-omgeving. Helaas komt dat in de praktijk nog veel voor. Juist in de gevallen waarbij organisaties beschikken over meerdere afdelingen die gezamenlijk diensten leveren is een ketenbenadering nodig. Besluit men in die context cloud diensten te gaan gebruiken, dan is het absoluut noodzakelijk dat er een langetermijnvisie en –planning is, die de cloud dienst integreert in de keten. Een eiland binnenhalen vergt dan het slaan van meestal tijdrovende en kostbare bruggen. Een cloud oplossing moet dus altijd passen in het bestaande landschap en in het bestaande en gewenste ketenproces. Ook op het gebied van applicatie en informatie-integratie doen zich uitdagingen voor. Via de cloud komt een veelheid aan informatiebronnen beschikbaar, waar op een slimme manier mee om moet worden gegaan. Dat is een belangrijk aandachtsgebied. Daarbij kunnen de oude applicaties, die aan het einde van hun lifecycle zitten maar waar de organisatie niet buiten kan, een remmende factor vormen. Onderzocht moet worden wat de mogelijkheden zijn om dergelijke applicaties te laten om- of herbouwen, of bijvoorbeeld te voorzien van een schil waarmee de oude kern gevirtualiseerd aangeboden kan worden. Dat moderniseert de legacy, waarna de randapplicaties worden gerationaliseerd of uitgefaseerd. Zo blijft de kernapplicatie over, die vervolgens mogelijk naar een SaaS-omgeving kan worden overgezet.

De overgang naar de cloud maakt het ook noodzakelijker om goed te bepalen welke applicaties (en de bijbehorende bedrijfsprocessen) nu echt identiteitsbepalend zijn en dus meestal niet als SaaS te verkrijgen zullen zijn en welke applicaties door elke soortgelijke organisatie (de branche specifieke applicaties) of elke organisatie (de generieke applicaties) gebruikt worden. Het moge duidelijk zijn: de kans dat deze applicaties als SaaS met een passende functionaliteit te verkrijgen zijn zal stijgen naarmate ze meer generiek gebruikt kunnen worden. Continuïteit vraagt om continue aandacht, maar security management zeker ook, gezien de toename van devices en locaties en de daar(op) aanwezige bedrijfsdata. Zowel eindgebruikers als cloud leveranciers hebben een verantwoordelijkheid om bedrijfsdata af te schermen en te voorkomen dat content op straat komt te liggen of ongewild wordt gewijzigd. Beide onderwerpen zijn sterk aan elkaar gerelateerd, want zonder een duidelijk onder architectuur ontwikkeld IT-landschap kan nooit professioneel security management worden uitgevoerd.

Om allerlei redenen bestaat er bij cloud computing een grote angst voor de Amerikaanse geheime diensten, die ongelimiteerd toegang zouden hebben tot alle data. Dat kan en hoeft echter geen belemmering te zijn om toch data in de cloud onder te brengen. Het is een kwestie van slim omgaan met data. Hoewel we spreken over ‘de cloud’ bestaat er immers een groot verschil tussen public en private cloud. Data die niet geclassificeerd en openbaar zijn, kunnen prima in de public cloud worden gezet als dat voordeel oplevert, zoals bijvoorbeeld het gemakkelijk kunnen delen van de data. Zwaar geclassificeerde data vragen uiteraard om het maken van goede, rationele afwegingen, waarbij het vaak verstandiger kan zijn de data binnen de muren van de eigen organisatie te houden. De organisatie steekt dan energie en tijd in het veilig houden van het eigen fort met firewalls en allerhande andere voorzieningen. Helaas houdt bij veel organisaties het nadenken over informatiebeveiliging hier op waarbij de trend is dat meer en meer organisaties er van overtuigd zijn dat externe leveranciers dit beter voor elkaar hebben.

Regie 

In de klassieke IT-omgeving is sprake van een mix van IT op locatie en ingekochte IT. Dit vergt een sterke regiefunctie. Bij de afnemer zijn minimaal twee rollen noodzakelijk: de inkoper, die zorgt voor de afspraken met de leveranciers en de eigen service delivery manager, die de geleverde diensten ontvangt en beoordeelt. Gezamenlijk moeten zij relatiemanagement invullen. In een complete (public) cloudomgeving ligt dat allemaal veel eenvoudiger. Het enige dat de gebruiker afneemt is een dienst, door hem zelf geselecteerd en gecontracteerd op basis van een soort afnameprotocol. Daarbij spreekt hij af hoeveel eenheden (bijvoorbeeld licenties, hoeveelheid storage) hij kan gaan gebruiken. De dienst wordt dan standaard en gebruiksklaar ingekocht. Bij organisaties die volledig zijn overgestapt naar deze vorm van cloud krijgt dus ook de regie een geheel ander karakter. De klassiek regie functie lijkt dan niet meer nodig en wordt vervangen door cloud brokerage en cloud orchestration, zoals we dit eerder in deze white paper beschreven.

Zover is het bij de meeste organisaties echter nog niet: in de praktijk is in 99 procent van de gevallen sprake van een hybride omgeving, bestaan-de uit een mix van traditionele infrasourcing, hosting, SaaS-contracten en een deel dat al ondergebracht is in een cloud platform-omgeving. Daarnaast is applicatieontwikkeling en -onderhoud voor een deel uitbesteed en worden steeds vaker methoden als Agile en DevOps toegepast. Die diversiteit maakt het qua beheer en bestuur interessant maar ook complex. Elke vorm vraagt zijn eigen wijze van management; een gesloten SaaS-contract behoeft bijvoorbeeld nauwelijks aandacht en het beheer beperkt zich feitelijk tot het controleren of de ingekochte dienst daadwekelijk geleverd is. of de factuur van de leverancier een correcte weergave is van het daadwerkelijke gebruik van de dienst én of de data aan het eind van het contract herbruikbaar is. 

Zolang er sprake is van hybride omgevingen, zullen regieorganisaties nodig blijven. Er is immers altijd een bepaalde controlefunctie nodig die regelmatig actuele contracten tegen het licht houdt en controleert of de overeengekomen updates en upgrades ook zijn doorgevoerd door de leverancier. 

Eerder in deze white paper is geconstateerd dat veel leveranciers geen software meeleveren die de gebruikers in staat stelt de geleverde diensten en het werkelijk gebruik daarvan te controleren. Daar komt inmiddels verandering in: een groeiend aantal cloud aanbieders geeft de gebruikers toegang tot een customer portal waarop de gecontracteerde diensten en de wijze waarop die worden afgenomen worden weergegeven, zodat de gebruiker real-time kan monitoren. De regievoerder kan op een dashboard zien wat is afgenomen en wat daarvan de kosten zijn. Het inzichtelijk maken van de geleverde diensten - inclusief licentiebeheer en de financiële afhandeling - wordt dus al een stuk eenvoudiger en inzichtelijker. 

In 2013 schreef Quint al dat de cloud een grote invloed zal hebben op de regie, juist om de diensten integraal te blijven besturen, waarbij voorkomen moet worden dat de efficiëntie die ontstaat door het uitbesteden teniet wordt gedaan door een steeds duurdere besturing. Regisseurs moeten zich vooral richten op die zaken waar ze waarde kunnen toevoegen en die aspecten loslaten waar dat niet mogelijk is. Dit scheelt tijd, waardoor de businesscase van de virtuele diensten overeind blijft. De regisseur moet zich daarbij vooral richten op de strategische diensten, die uniek zijn voor de organisatie. Zoals eerder geschreven, deze zijn meestal niet als SaaS te verkrijgen. Voor de operationele diensten, die niet onderscheidend zijn, kan de regisseur zich beperken tot het uitvaardigen van richtlijnen en het waarborgen van de samenwerking binnen de organisatie. 

Conclusies 

In deze whitepaper is dieper ingegaan op de impact van cloud computing op de organisatie. Er is heel veel keuze aan soorten cloud en methoden om die te besturen. Gelukkig kunnen organisaties zich voorbereiden respectievelijk toerusten om optimaal gebruik te maken van de cloud. Kansen biedt de cloud genoeg en de bedreigingen zijn mitigeerbaar mits er goed doordacht gebruik van wordt gemaakt. Door hun ‘cloud readiness’ (niet alleen in technische zin) vooraf goed in kaart te brengen, kunnen organisaties bepalen wat ze moeten doen of juist niet moeten doen om clouddiensten te gaan integreren in hun organisatie. Dit is belangrijk om te weten, omdat onvoldoende voorbereiding kan leiden tot valse verwachtingen, onnodige kosten en verspilling van tijd en moeite. Elke organisatie zal zichzelf de komende tijd aan deze test moeten onderwerpen. Want het is niet de vraag of, maar wanneer en in welke vorm de stap naar de cloud wordt gezet. Het is zaak dat in elk geval weloverwogen, goed doordacht en voorbereid te doen!

Autheurs

Ronald Israëls (r.israels@quintgroup.com) is principal consultant bij Quint Wellington Redwood.

Marijn Voskuil (m.voskuil@quintgroup.com) is senior consultant bij Quint Wellington Redwood 

Literatuur 

• The NIST Definition of Cloud Computing (2012). NIST Special Publication 800-145. 
• Cloud Sourcing 2016. Giarte. 
• White paper on cloud adoption (2016). AGConnect and Proact. 
• IT Outsourcing Study 2016 Netherlands (2016). White Lane and Quint Wellington Redwood. 
• Vision Paper: Sustainabil-IT, verduurzaming van én met IT (2016). Quint Wellington Redwood. 
• Yonatan, Reuben (2015). The Incredible Environmental Impact of Cloud Technology. www.getvoip.com/blog/2015/01/19/environmental-impact-of-cloud/ 
• Israëls, Ronald (2013). Regie ‘goes virtual’: De invloed van de cloud op regievoering. Outsourcing Magazine, August 2013.