Meer dan ooit in de IT geschiedenis zal het nieuwe fenomeen Cloud aandacht eisen van alle disciplines in de organisatie. De CIO en zijn medewerkers zullen zich dan ook steeds meer moeten presenteren als regisseur en adviseur dan als IT specialist.
Vakgebieden als legal, inkoop, marketing, sales, logistiek zullen allemaal hun inbreng hebben in de cloud discussie. Traditionele kerntaken als incident, problem, change, deployment en system management zullen deels of geheel door cloud providers worden overgenomen. Andere taken zullen veel prominenter in beeld komen zoals informatie management, business demand management, business IT ketenregie, SLA en contract management. De IT’er van de toekomst heeft een cruciale rol in het succes van de business en beschikt hiervoor over goede communicatie skill’s en kennis van de totale waarde keten waarbij de klant centraal staat.
Wanneer u business kritische applicaties in de cloud gaat onderbrengen is het verstandig hieraan voorafgaand goed na te denken over de governance, compliance en performance implicaties. Binnen de meeste grote organisatie is sprake van een control mechanisme – bijvoorbeeld COSO – op basis waarvan audits kunnen worden uitgevoerd. Een wezenlijk onderdeel van deze audit vindt plaats op de IT organisatie. IT is zo verweven met alle aspecten van de bedrijfsvoering dat aparte controlemechanismen hiervoor zijn gedefinieerd. COBIT is zo’n afgeleid control mechanisme voor IT. Naast Cobit gebruiken we voor US beursgenoteerde organisaties ook delen van Sarbanes Oxley (SOX404). Hierbij wordt opgemerkt dat SOX neutraal is welke technologie wordt gebruikt als de financiële en beveiligingscontroles maar op orde zijn. Naast COBIT en SOX kunnen delen gebruikt worden uit SAS-70 of ISO27001.
Een vaste set aan IT cloud audit controls zijn nog niet voorhanden dus dient er een keuze gemaakt te worden uit de meest praktische key compliancy en performance indicatoren voor de gegeven cloud situatie. Ter ondersteuning dient een monitor, meet en rapportage dashboard constant de actuele compliance en performance status weer te geven. Hierbij gaat het niet om technische detail informatie of een router voldoende pakketjes doorlaat maar of en hoe vaak gecontroleerd wordt door de security officer op geldigheid van het SSL of PKI certificaat. Wanneer de laatste audits zijn uitgevoerd bij de cloud leverancier en welke key compliancy en performance indicatoren zijn besproken. Welke findings zijn hierbij geconstateerd op het gebied van data security, data management, security authenticatie en autorisatie.
Een ander belangrijk onderdeel is de periodieke compliancy controle van de cloud SLA op de vigerende wet en regelgeving. Juridische aspecten zoals geldend recht, overmacht en aansprakelijkheid kunnen bron zijn van slepende conflicten en compliancy nachtmerries. Een key compliancy en performance indicatie checklist is essentieel zowel bij de contractfase als bij de SLA monitor fase.
De service level monitorfase bestaat ons inziens uit enerzijds het monitoren van de key compliance indicatoren (voldoen we aan de wet en regelgeving?) en anderzijds de key performance indicatoren (voldoen we aan de wensen van de business?).
De IT verantwoordelijke moet met dit dashboard op elk gewenst moment in staat zijn verantwoording af te leggen over de genomen compliancy en performance maatregelen en de controles hierop.
Gebruikers tevredenheidsmeting is de enige kompas voor Cloud SLA kwaliteit.
In de cloud is systeem en service management weggecloud. De cloud serviceprovider zal dit voor zijn rekening nemen. Wat voor de CIO overblijft is de cloud computing experience van de business gebruiker. Voor clouddiensten is de CIO broker of makelaar geworden. In extremo voert de CIO alleen nog regie over de cloud provider op afstand. Maar waarover?
De lines of business bij grote organisaties staan onder grote druk en moeten uiterst flexibel zijn bij het inspelen op de marktvraag. De businessmanagers willen ondersteund worden met IT services maar zien dat hun eigen IT organisatie het tempo niet kan bijhouden. IT heeft dus baat bij het inzetten van cloudservices als dit betekent dat hierdoor innovatie kan worden versneld, businessprocessen efficiënter kunnen verlopen en beoogde resultaten sneller kunnen worden bereikt.
De CIO heeft echter een aantal bezwaren bij de inzet van cloud-Computing.
75% van de CIO heeft grote problemen met de beveiliging, 60% is bang voor een vendor lock in, 60% maakt zich zorgen over performance en beschikbaarheid en 45% ziet problemen met de integratie van interne en externe services. De CIO zal dus heel dicht tegen de businessgebruiker aan moeten gaan zitten om deze bezwaren te pareren.
Directie, IT en business managers moeten daarom een gewogen oordeel kunnen vormen omtrent de toegevoegde waarde en risico’s. Combineer uiterst schaalbaar en hierdoor kostefficiënte soft- en hardware met snelle en goedkope pay per use internettoegang en je hebt in essentie het fenomeen Cloud te pakken. Voeg de economische crisis daar aan toe en je hebt vanwege de beoogde kostenbesparingen en flexibiliteit een cloud hype.
-Auteur: Nick Overwater