Samenvatting:
Organisaties die overwegen zich in de cloud te begeven moeten zich bewust zijn van de haken en ogen aan cloud computing. Een punt om goed over na te denken is bijvoorbeeld welke functionaliteit zich leent voor de cloud. Ook is cruciaal dat een organisatie zelf de regie houdt. Een andere belangrijke vraag die een organisatie zich moet stellen is hoeveel risico zij met haar informatie kan, durft, wil en/of mag lopen.
‘Cloud-washing’
Sinds enige tijd wordt veel in de informatie- en IT-sector geassocieerd met cloud computing. In dit artikel worden veel van de uitingen rond cloud gerelativeerd om enige rede terug te brengen in de discussies over de mogelijkheden die cloud kan bieden.
Haken en ogen aan cloud computing
Alles in de informatie- en IT-sector schijnt tegenwoordig om ‘cloud’ te draaien. De zoveelste hype. Cloud belooft schitterende dingen, zoals ‘alleen betalen voor wat je gebruikt’ en ‘nooit meer aan één plaats gebonden zijn om te werken’. Waarom nog door die vervelende file naar kantoor als je ook thuis kunt werken? Of totaal ergens anders, waar dan ook ter wereld? En dat alles via een computerinfrastructuur via een netwerk, zoals internet, dat zo elastisch is dat het snel groter of kleiner gemaakt kan worden al naargelang dat nodig is. Fantastische, schijnbaar ongelimiteerde mogelijkheden. Maar wel met vele, min of meer verborgen, haken en ogen
Het woord ‘cloud’ komt voort uit de wolkjes die IT’ers al vele jaren tekenen om hun IT-infrastructuur met ‘iets’ te verbinden. Het gebruik van die wolkjes is de laatste tijd sterk uitgebreid, en dat alles wordt nu cloud genoemd. Als je cloudleveranciers mag geloven, omvat cloud alle IT-infrastructuur waar zij voor hun klanten verantwoordelijk voor zouden kunnen zijn. Dat levert zowel goede als enigszins vreemde ideeën op die vaak alleen logisch zijn als je in de commerciële lijn van zo’n leverancier denkt. Bijvoorbeeld de private cloud (ook wel interne of corporate cloud genoemd). Dit is de eigen IT-infrastructuur van een organisatie die diensten verleent aan een beperkte groep mensen in een beschermde omgeving. ‘Private cloud’ wordt vooral gezien als een marketingterm omdat organisaties leveranciers kunnen vragen hun investeringen in en exploitatie van hun IT-infrastructuur voor hen te regelen. Bij voorkeur via outsourcing.
Dit alles breidt de originele definitie van cloud heel stevig uit. Cloud blijkt nu niet alleen het gebruik van algemeen beschikbare, ‘elastische’ IT-infrastructuren buiten de organisatie te omvatten, maar ook alle andere IT-infrastructuren waar een cloudleverancier verantwoordelijk voor zou kunnen zijn. Zo is er weinig verschil meer tussen wat tot nu toe IT-infrastructuur genoemd is en wat vanaf nu cloud heet. Het enige verschil lijkt dat cloudleveranciers zichzelf bij cloud ‘onmisbaar’ tussen organisatie en IT proberen te plaatsen. Dit is een veel explicietere en hardere positionering dan men tot nu toe nastreefde, waarbij niet de klant maar marktaandeel en continuïteit centraal staan.
Er zitten vele haken en ogen aan cloud. Daar wordt nog weinig over gesproken omdat er waarschijnlijk nog te weinig ervaring mee is. In het navolgende wordt, zonder compleet te willen zijn, een aantal essentiële punten op een rij gezet.
Misvattingen over cloud
Als eerste het punt dat cloud veel betere oplossingen voor de informatievoorziening van organisaties zou bieden omdat cloudleveranciers veel meer weten van IT en beter personeel kunnen inzetten. Dat is een idee-fixe. Ten eerste omdat er geen reden is waarom organisaties niet zelf competent IT-personeel in dienst zouden kunnen hebben. Toegegeven, voor veel organisaties, vooral de kleinere, is het lastig om het juiste personeel te vinden. Maar als een cloudleverancier het kan, dan kunnen andere organisaties dat ook. Veel van de zelfstandige IT-professionals tonen dit ook aan omdat zij wel in staat blijken zichzelf competent te maken, en te houden. Organisaties zouden hun medewerkers kunnen helpen door passende programma’s voor ‘permanente educatie’ op te zetten, bijvoorbeeld door die programma’s in te passen in de aanstaande gestandaardiseerde beroepsregels van Europa. Een tweede reden is dat cloudleveranciers misschien wel hoog competent personeel hebben, maar dat ze die mensen niet overal tegelijk kunnen inzetten. Het kan niet anders dan dat het inzetten van minder competent of zelfs beginnend personeel gevolgen heeft voor de kwaliteit van hun dienstverlening.
Dan de claim dat een IT-infrastructuur beter in elkaar zit (en blijft zitten) als deze door externen beheerd wordt. Een van de genoemde redenen is dat trends in technologie snel(ler) gevolgd zouden kunnen worden. Dit is vooral een wens, en het is de vraag of die wens een feit wordt. Functioneel gezien kunnen ook cloudleveranciers geen betere ondersteuning creëren omdat ook zij afhankelijk zijn van wat hun ‘klantorganisatie’ hun kan vertellen over wat ze nodig hebben. Daarom levert het outsourcen van een IT-infrastructuur niet automatisch een betere ondersteuning op; ook de leverancier zal immers verder moeten gaan met wat de organisatie al had. Het is sterk de vraag of het bestaande sneller en goedkoper verbeterd kan worden als een en ander in een cloud gezet wordt. Cloudleveranciers werken immers met contracten die hen binden. Omdat zij winst moeten maken, zullen zij geneigd zijn vooral en alleen te veranderen op de manier die het contract voorschrijft. Tenzij, misschien, hun eigen kosten er lager door worden, of er extra voor betaald wordt. En dat is inclusief de inzet van nieuwe(re) technologie. Zeker als het om de allernieuwste technologie gaat, want cloudleveranciers zijn vooral verantwoordelijk voor de continuïteit van hun dienstverlening.
Onder cloud computing wordt vooral het outsourcen van een IT-infrastructuur verstaan. Het begrip wordt, zoals gezegd, op steeds meer manieren gebruikt: van betalen voor werkelijk gebruik van een IT-infrastructuur tot het buiten de deur zetten van van alles en nog wat in een IT-informatievoorziening op basis van allerlei methoden voor verrekening van kosten. Die cloud-IT-infrastructuur kan in Nederland staan, of in Ierland, de Verenigde Staten of Azië. Of in een combinatie van locaties. In feite weet niemand meer waar de IT staat die men gebruikt. Dus outsourcing, maar dan een stap intiemer. Met alle voor- en nadelen.
Er wordt vaak gedaan alsof een organisatie bij cloud computing geen aandacht en/of zorg meer hoeft te hebben voor haar IT-infrastructuur. Die zorgen zijn dan immers voor de cloudleverancier. Toch zullen de infrastructurele problemen zoals we die nu kennen er gewoon blijven omdat IT nu eenmaal IT is, en IT’ers nu eenmaal IT’ers zijn. Kunnen cloudleveranciers de claim dan waarmaken dat er geen zorg meer is? Dat valt sterk te betwijfelen. Ook de IT-infrastructuur van een cloudleverancier kan, om maar wat te noemen, gehackt worden. Of er kunnen beheerfouten gemaakt worden, en ga zo maar door.
Wat kan naar een cloud?
Een andere vraag is welke functionaliteit zich leent om via cloudtechnologie aangeboden te worden. Cloudaanbieders beperken zich in hun voorbeelden vrijwel altijd tot sexy officesoftwarefunctionaliteit. Daarbij spreekt men vaak ‘terloops’ over andere functionaliteit. Nu bestaan er geen deus ex machina’s. Een IT-infrastructuur die moeilijk in elkaar zit, en dat geldt voor bijna elk van de huidige (grotere) IT-infrastructuren, kan niet ‘ineens’ optimaal in elkaar zitten als die overgezet wordt naar cloud. Dit veranderen kan zelfs extreem veel tijd, geld en een enorme inspanning kosten. Daarbij blijft de outsourcende organisatie juist niet buiten schot, want die zal bijvoorbeeld moeten vertellen wat ze nodig heeft.
Er zijn twee extremen: rechttoe rechtaan en naar een optimale situatie overzetten. Rechttoe rechtaan betekent dat alles wat een organisatie heeft letterlijk in de cloud komt. Dat is in de praktijk niet of nauwelijks mogelijk omdat bijvoorbeeld de toegang tot de overgenomen IT-infrastructuur als cloud zal moeten gaan werken. Was het oude moeilijk aan te passen, dan zal het nieuwe dat ook zijn; dat nieuwe is immers nog steeds het oude. Met als bijkomend probleem dat de leverancier de overgenomen IT-infrastructuur vaak niet echt goed kent en er dus, zeker in het begin, gemakkelijk fouten gemaakt kunnen worden. Als het oude dan werkt onder extern beheer, zal alsnog het nodige aangepast moeten worden om de beloften van cloud waar te maken. En dat zal even gemakkelijk of lastig zijn als het was voor de outsourcing. Naar een optimale situatie overzetten betekent meestal opnieuw beginnen. Dus het begin van een reeks door de cloudleverancier uit te voeren IT-projecten om de nieuwe, betere IT-infrastructuur in te richten, waarbij de meeste druk bij de outsourcende organisatie komt te liggen omdat die moet gaan vertellen wat ze wil. Hierbij geldt ook weer: niet goed verteld betekent niet goed geprogrammeerd (of gekocht en aangepast), met als resultaat een volgende suboptimale IT-infrastructuur, zij het nu in een cloud.
Natuurlijk loopt dit allemaal niet zo’n vaart als het alleen om officesoftware gaat. Veel daarvan lijkt op elkaar, al leert de ervaring wel dat overgaan naar een ander officepakket ook geen sinecure is: gewenning, conversie enzovoort. Als het om (verder) in te richten of te bouwen software gaat, komen we echter op een heel ander plaatje uit. Zo vertelde een IT-leverancier recent dat het in een cloud brengen van de IT-infrastructuren van een samenhangende groep grote organisaties ongeveer 7 miljard euro extra moet gaan kosten. Daarbij hebben die organisaties dus hun IT-infrastructuren ingeleverd, moeten ze ‘per tik’ gaan betalen voor wat daarna ter beschikking zal staan en moeten ze ook nog bijbetalen. Zoals gezegd: er zijn geen deus ex machina’s, vooral niet in de IT. Bedenk daarbij dat veel IT-infrastructuren lijken op torens van Babel, inclusief de uit dat verhaal bekende communicatieproblemen. De complexiteit is groot, en die rafel je niet even snel uiteen om de spullenboel dan weer snel, beter in elkaar te zetten. Bovendien zit er vaak een enorme hoeveelheid ‘lijken’ in deze complexe kasten, die echt niet in hun kast zullen blijven als die ‘kasten’ aangepakt worden. De ervaring leert dat dit extreem grote IT-projecten oplevert die ook nog eens gemakkelijk volledig uit de hand kunnen lopen. Die 7 miljard kan dan wel eens een heel lage inschatting zijn als al dat werk gedaan moet worden. Daarom is het uiterst naïef om te denken dat het met cloud allemaal simpel en eenvoudig zal worden.
Regie
Je hoort in de informatie- en IT-sector nog steeds te weinig over de regie die een ‘IT gebruikende’ organisatie over haar eigen informatievoorziening zal moeten hebben, en houden. Dat dit aspect onderbelicht blijft is een écht probleem. De praktijk laat zien dat er van alles en nog wat fout gaat in en rond IT. IT gebruikende organisaties hebben daar vaak nauwelijks grip op, en je ziet dat steeds meer organisaties er grote moeite mee hebben dat ze moeten blijven investeren in IT terwijl ze nauwelijks rendement van die investeringen zien. Het is frustrerend als je dan ook nog steeds meer dan 80 procent van je IT-budget moet besteden aan de exploitatie van je bestaande IT-infrastructuur terwijl je geen grip kunt krijgen op je IT-uitgaven, en op het verlagen daarvan. En dat alles terwijl je ondersteuning minimaal blijft.
Organisaties voelen vaak onmacht met betrekking tot hun IT-uitgaven, en het is zeer onwaarschijnlijk dat cloud computing dit gaat oplossen. Natuurlijk kan een en ander in de loop van de tijd verbeteren, maar dat kan (en zal) ook zonder cloud gebeuren. De praktijk heeft inmiddels wel geleerd dat het echt verbeteren van een IT-informatievoorziening alleen kan als organisaties er zelf voor gaan staan en die verbetering zelf onder strakke, eigen regie regelen. Zij zijn immers eigenaar en zullen met hun eigendom de eigen organisatie op de gekozen weg moeten houden. Met een simpel gevolg: als een organisatie niet zelf in staat is om aan te geven wat ze nodig heeft, betaalt ze de hoofdprijs en zit ze al snel opgescheept met een weinig effectieve informatievoorziening (een slechte ‘IT-business-alignment’). IT-leveranciers zijn daarbij de aannemers in de IT-wereld. Regie gaat vooral ook over wat zij voor hun ‘klantorganisaties’ doen. En een IT-leverancier inhuren om zichzelf of andere IT-leveranciers te regisseren werkt niet omdat de aan te houden scheiding van functies daarmee hard in het gedrang komt. Met alle gevolgen van dien.
Risico
De vraag is hier hoeveel risico een organisatie met haar informatie kan, durft, wil en/of mag lopen. Hoewel het antwoord cruciaal is, wordt deze vraag nog niet of nauwelijks gesteld. IT-beveiliging bijvoorbeeld is een directe afgeleide van het antwoord op deze vraag. Beveiligingsmaatregelen zijn er immers om deze risico’s in te dammen tot een expliciet uitgesproken acceptabel niveau. In feite kunnen we, hoewel we dat al jaren doen, niet over IT-beveiliging spreken als de organisatie zich niet eerst expliciet uitspreekt over het risico dat ze met haar informatie kan lopen. En dat merken we haast dagelijks als er weer ergens een probleem ontstaan is: een datastick die in een gehuurde auto achterblijft, Diginotar, WikiLeaks, verlies van back-ups, hacking, identiteitsdiefstal en ga zo maar door. De inschatting van het risico dat je met je informatie kunt lopen, past bij de beschreven regie van een organisatie over haar informatievoorziening. In principe moet je niet over cloud nadenken als je deze risico’s niet voldoende kent.
Een simpele, algemene vaststelling in dit kader is dat IT gewoon nooit voldoende dan wel afdoende te beveiligen is. Met ook nog een simpele reden: er is altijd een kans dat een beveiliging doorbroken wordt, ongeacht hoeveel maatregelen je neemt. Voorbeelden te over. Beveiliging vertraagt hoogstens, het maakt niets zeker. Daarom is het een fictie om te denken dat een cloud zo te beveiligen is dat er geen risico meer gelopen wordt. Zeker als, zoals bij een public cloud, informatie in een IT-infrastructuur buiten de deur terechtkomt. Is thuiswerken dan nog wel mogelijk? Durft een organisatie bijvoorbeeld haar klantinformatie wel via een public cloud ‘intern’ te delen? En dan spreken we alleen nog over bedoeld gebruik en niet over de mogelijke ‘achterdeuren’ die altijd in IT-infrastructuren zitten. Een vaak gehoorde discussie is die over Google: kijkt Google mee naar de informatie van de organisaties die bij hen een cloudoplossing hebben? Erger nog, Amerikaanse bedrijven dienen aan de Amerikaanse wet te voldoen, ook als ze buiten de VS zaken doen. De in 2003 ingevoerde Patriot Act stelt dat alle informatie die zich binnen een IT-infrastructuur van een Amerikaans bedrijf bevindt, beschikbaar moet zijn voor de Amerikaanse overheid. Dan is het niet alleen Google maar ook nog eens de Amerikaanse overheid die mee kan kijken in de bestanden van Nederlandse bedrijven die hun informatievoorziening via een cloud-IT-infrastructuur van zo’n Amerikaans bedrijf hebben gerealiseerd, ook als die data zich buiten de VS bevinden. Kan een organisatie zoiets toestaan? En wat gebeurt er met netwerkverbindingen (internet?) die informatie via Amerikaans grondgebied sturen? Zoals gezegd, organisaties zelf, niet alleen hun IT-afdeling, moeten nog eens goed nadenken over de risico’s die zij met hun informatie lopen voordat ze over cloud gaan nadenken.
Nog iets anders: stel dat een organisatie surseance van betaling moet aanvragen. Wat doet een cloudleverancier dan met de informatievoorziening van die organisatie als ook hij niet meer betaald wordt? Mag die informatievoorziening dan gestopt of zelfs ‘gegijzeld’ worden? Mag de leverancier de informatie van die klant op een moment verkopen om de eigen rekeningen voldaan te krijgen? En wat doet een eventuele curator met zoiets als blijkt dat die informatie waarde heeft die in de afwikkeling van een faillissement gebruikt zou kunnen worden? Zo wordt cloud ineens een bedrijfsrisico, waarbij de cloudleverancier macht krijgt om een organisatie al of niet failliet te laten gaan. Of nog anders: denk aan een curator die informatie van een faillerende organisatie gaat verkopen waar die organisatie alleen houder van is. Is dit allemaal acceptabel?
-Auteur: Steven van ’t Veld
