Meer dan ooit in de IT geschie­denis zal het nieuwe fenomeen Cloud aandacht eisen van alle disci­plines in de orga­ni­satie. De CIO en zijn mede­wer­kers zullen zich dan ook steeds meer moeten presen­teren als regisseur en adviseur dan als IT specialist.

Vakge­bieden als legal, inkoop, marketing, sales, logistiek zullen allemaal hun inbreng hebben in de cloud discussie. Tradi­ti­o­nele kerntaken als incident, problem, change, deploy­ment en system mana­ge­ment zullen deels of geheel door cloud providers worden over­ge­nomen. Andere taken zullen veel promi­nenter in beeld komen zoals infor­matie mana­ge­ment, business demand mana­ge­ment, business IT keten­regie, SLA en contract mana­ge­ment. De IT’er van de toekomst heeft een cruciale rol in het succes van de business en beschikt hiervoor over goede commu­ni­catie skill’s en kennis van de totale waarde keten waarbij de klant centraal staat.

Wanneer u business kritische appli­ca­ties in de cloud gaat onder­brengen is het verstandig hieraan voor­af­gaand goed na te denken over de gover­nance, compli­ance en perfor­mance impli­ca­ties. Binnen de meeste grote orga­ni­satie is sprake van een control mecha­nisme – bijvoor­beeld COSO – op basis waarvan audits kunnen worden uitge­voerd. Een wezenlijk onderdeel van deze audit vindt plaats op de IT orga­ni­satie. IT is zo verweven met alle aspecten van de bedrijfs­voe­ring dat aparte contro­le­me­cha­nismen hiervoor zijn gede­fi­ni­eerd. COBIT is zo’n afgeleid control mecha­nisme voor IT. Naast Cobit gebruiken we voor US beurs­ge­no­teerde orga­ni­sa­ties ook delen van Sarbanes Oxley (SOX404). Hierbij wordt opgemerkt dat SOX neutraal is welke tech­no­logie wordt gebruikt als de finan­ciële en bevei­li­gings­con­troles maar op orde zijn. Naast COBIT en SOX kunnen delen gebruikt worden uit SAS-70 of ISO27001. 

Een vaste set aan IT cloud audit controls zijn nog niet voor­handen dus dient er een keuze gemaakt te worden uit de meest prak­ti­sche key compli­ancy en perfor­mance indi­ca­toren voor de gegeven cloud situatie. Ter onder­steu­ning dient een monitor, meet en rappor­tage dashboard constant de actuele compli­ance en perfor­mance status weer te geven. Hierbij gaat het niet om tech­ni­sche detail infor­matie of een router voldoende pakketjes doorlaat maar of en hoe vaak gecon­tro­leerd wordt door de security officer op geldig­heid van het SSL of PKI certi­fi­caat. Wanneer de laatste audits zijn uitge­voerd bij de cloud leve­ran­cier en welke key compli­ancy en perfor­mance indi­ca­toren zijn besproken. Welke findings zijn hierbij gecon­sta­teerd op het gebied van data security, data mana­ge­ment, security authen­ti­catie en autorisatie.
Een ander belang­rijk onderdeel is de peri­o­dieke compli­ancy controle van de cloud SLA op de vigerende wet en regel­ge­ving. Juri­di­sche aspecten zoals geldend recht, overmacht en aanspra­ke­lijk­heid kunnen bron zijn van slepende conflicten en compli­ancy nacht­mer­ries. Een key compli­ancy en perfor­mance indicatie checklist is essen­tieel zowel bij de contract­fase als bij de SLA monitor fase.
De service level moni­tor­fase bestaat ons inziens uit enerzijds het monitoren van de key compli­ance indi­ca­toren (voldoen we aan de wet en regel­ge­ving?) en ander­zijds de key perfor­mance indi­ca­toren (voldoen we aan de wensen van de business?).
De IT verant­woor­de­lijke moet met dit dashboard op elk gewenst moment in staat zijn verant­woor­ding af te leggen over de genomen compli­ancy en perfor­mance maat­re­gelen en de controles hierop.

Gebrui­kers tevre­den­heids­me­ting is de enige kompas voor Cloud SLA kwaliteit.

In de cloud is systeem en service mana­ge­ment wegge­cloud. De cloud servi­ce­pro­vider zal dit voor zijn rekening nemen. Wat voor de CIO over­blijft is de cloud computing expe­rience van de business gebruiker. Voor cloud­dien­sten is de CIO broker of makelaar geworden. In extremo voert de CIO alleen nog regie over de cloud provider op afstand. Maar waarover?

De lines of business bij grote orga­ni­sa­ties staan onder grote druk en moeten uiterst flexibel zijn bij het inspelen op de markt­vraag. De busi­ness­ma­na­gers willen onder­steund worden met IT services maar zien dat hun eigen IT orga­ni­satie het tempo niet kan bijhouden. IT heeft dus baat bij het inzetten van cloud­ser­vices als dit betekent dat hierdoor innovatie kan worden versneld, busi­nesspro­cessen effi­ci­ënter kunnen verlopen en beoogde resul­taten sneller kunnen worden bereikt.
De CIO heeft echter een aantal bezwaren bij de inzet van cloud-Computing. 

75% van de CIO heeft grote problemen met de bevei­li­ging, 60% is bang voor een vendor lock in, 60% maakt zich zorgen over perfor­mance en beschik­baar­heid en 45% ziet problemen met de inte­gratie van interne en externe services. De CIO zal dus heel dicht tegen de busi­ness­ge­bruiker aan moeten gaan zitten om deze bezwaren te pareren.

Directie, IT en business managers moeten daarom een gewogen oordeel kunnen vormen omtrent de toege­voegde waarde en risico’s. Combineer uiterst schaal­baar en hierdoor kost­ef­fi­ci­ënte soft- en hardware met snelle en goedkope pay per use inter­net­toe­gang en je hebt in essentie het fenomeen Cloud te pakken. Voeg de econo­mi­sche crisis daar aan toe en je hebt vanwege de beoogde kosten­be­spa­ringen en flexi­bi­li­teit een cloud hype.

-Auteur: Nick Overwater

Pin It on Pinterest

Share This