Samen­vat­ting:

Orga­ni­sa­ties die overwegen zich in de cloud te begeven moeten zich bewust zijn van de haken en ogen aan cloud computing. Een punt om goed over na te denken is bijvoor­beeld welke func­ti­o­na­li­teit zich leent voor de cloud. Ook is cruciaal dat een orga­ni­satie zelf de regie houdt. Een andere belang­rijke vraag die een orga­ni­satie zich moet stellen is hoeveel risico zij met haar infor­matie kan, durft, wil en/of mag lopen.

Cloud-washing’

Sinds enige tijd wordt veel in de infor­matie- en IT-sector geas­so­ci­eerd met cloud computing. In dit artikel worden veel van de uitingen rond cloud gere­la­ti­veerd om enige rede terug te brengen in de discus­sies over de moge­lijk­heden die cloud kan bieden.

Haken en ogen aan cloud computing

Alles in de infor­matie- en IT-sector schijnt tegen­woordig om ‘cloud’ te draaien. De zoveelste hype. Cloud belooft schit­te­rende dingen, zoals ‘alleen betalen voor wat je gebruikt’ en ‘nooit meer aan één plaats gebonden zijn om te werken’. Waarom nog door die verve­lende file naar kantoor als je ook thuis kunt werken? Of totaal ergens anders, waar dan ook ter wereld? En dat alles via een compu­ter­in­fra­struc­tuur via een netwerk, zoals internet, dat zo elastisch is dat het snel groter of kleiner gemaakt kan worden al naar­ge­lang dat nodig is. Fantas­ti­sche, schijn­baar onge­li­mi­teerde moge­lijk­heden. Maar wel met vele, min of meer verborgen, haken en ogen

Het woord ‘cloud’ komt voort uit de wolkjes die IT’ers al vele jaren tekenen om hun IT-infra­struc­tuur met ‘iets’ te verbinden. Het gebruik van die wolkjes is de laatste tijd sterk uitge­breid, en dat alles wordt nu cloud genoemd. Als je cloud­le­ve­ran­ciers mag geloven, omvat cloud alle IT-infra­struc­tuur waar zij voor hun klanten verant­woor­de­lijk voor zouden kunnen zijn. Dat levert zowel goede als enigszins vreemde ideeën op die vaak alleen logisch zijn als je in de commer­ciële lijn van zo’n leve­ran­cier denkt. Bijvoor­beeld de private cloud (ook wel interne of corporate cloud genoemd). Dit is de eigen IT-infra­struc­tuur van een orga­ni­satie die diensten verleent aan een beperkte groep mensen in een beschermde omgeving. ‘Private cloud’ wordt vooral gezien als een marke­ting­term omdat orga­ni­sa­ties leve­ran­ciers kunnen vragen hun inves­te­ringen in en exploi­tatie van hun IT-infra­struc­tuur voor hen te regelen. Bij voorkeur via outsour­cing.

Dit alles breidt de originele definitie van cloud heel stevig uit. Cloud blijkt nu niet alleen het gebruik van algemeen beschik­bare, ‘elas­ti­sche’ IT-infra­struc­turen buiten de orga­ni­satie te omvatten, maar ook alle andere IT-infra­struc­turen waar een cloud­le­ve­ran­cier verant­woor­de­lijk voor zou kunnen zijn. Zo is er weinig verschil meer tussen wat tot nu toe IT-infra­struc­tuur genoemd is en wat vanaf nu cloud heet. Het enige verschil lijkt dat cloud­le­ve­ran­ciers zichzelf bij cloud ‘onmisbaar’ tussen orga­ni­satie en IT proberen te plaatsen. Dit is een veel expli­cie­tere en hardere posi­ti­o­ne­ring dan men tot nu toe nastreefde, waarbij niet de klant maar markt­aan­deel en conti­nu­ï­teit centraal staan.

Er zitten vele haken en ogen aan cloud. Daar wordt nog weinig over gesproken omdat er waar­schijn­lijk nog te weinig ervaring mee is. In het navol­gende wordt, zonder compleet te willen zijn, een aantal essen­tiële punten op een rij gezet.

Misvat­tingen over cloud

Als eerste het punt dat cloud veel betere oplos­singen voor de infor­ma­tie­voor­zie­ning van orga­ni­sa­ties zou bieden omdat cloud­le­ve­ran­ciers veel meer weten van IT en beter personeel kunnen inzetten. Dat is een idee-fixe. Ten eerste omdat er geen reden is waarom orga­ni­sa­ties niet zelf competent IT-personeel in dienst zouden kunnen hebben. Toege­geven, voor veel orga­ni­sa­ties, vooral de kleinere, is het lastig om het juiste personeel te vinden. Maar als een cloud­le­ve­ran­cier het kan, dan kunnen andere orga­ni­sa­ties dat ook. Veel van de zelf­stan­dige IT-profes­si­o­nals tonen dit ook aan omdat zij wel in staat blijken zichzelf competent te maken, en te houden. Orga­ni­sa­ties zouden hun mede­wer­kers kunnen helpen door passende programma’s voor ‘perma­nente educatie’ op te zetten, bijvoor­beeld door die programma’s in te passen in de aanstaande gestan­daar­di­seerde beroeps­re­gels van Europa. Een tweede reden is dat cloud­le­ve­ran­ciers misschien wel hoog competent personeel hebben, maar dat ze die mensen niet overal tegelijk kunnen inzetten. Het kan niet anders dan dat het inzetten van minder competent of zelfs beginnend personeel gevolgen heeft voor de kwaliteit van hun dienst­ver­le­ning.

Dan de claim dat een IT-infra­struc­tuur beter in elkaar zit (en blijft zitten) als deze door externen beheerd wordt. Een van de genoemde redenen is dat trends in tech­no­logie snel(ler) gevolgd zouden kunnen worden. Dit is vooral een wens, en het is de vraag of die wens een feit wordt. Func­ti­o­neel gezien kunnen ook cloud­le­ve­ran­ciers geen betere onder­steu­ning creëren omdat ook zij afhan­ke­lijk zijn van wat hun ‘klant­or­ga­ni­satie’ hun kan vertellen over wat ze nodig hebben. Daarom levert het outsourcen van een IT-infra­struc­tuur niet auto­ma­tisch een betere onder­steu­ning op; ook de leve­ran­cier zal immers verder moeten gaan met wat de orga­ni­satie al had. Het is sterk de vraag of het bestaande sneller en goedkoper verbeterd kan worden als een en ander in een cloud gezet wordt. Cloud­le­ve­ran­ciers werken immers met contracten die hen binden. Omdat zij winst moeten maken, zullen zij geneigd zijn vooral en alleen te veran­deren op de manier die het contract voor­schrijft. Tenzij, misschien, hun eigen kosten er lager door worden, of er extra voor betaald wordt. En dat is inclusief de inzet van nieuwe(re) tech­no­logie. Zeker als het om de aller­nieuwste tech­no­logie gaat, want cloud­le­ve­ran­ciers zijn vooral verant­woor­de­lijk voor de conti­nu­ï­teit van hun dienst­ver­le­ning.

Onder cloud computing wordt vooral het outsourcen van een IT-infra­struc­tuur verstaan. Het begrip wordt, zoals gezegd, op steeds meer manieren gebruikt: van betalen voor werkelijk gebruik van een IT-infra­struc­tuur tot het buiten de deur zetten van van alles en nog wat in een IT-infor­ma­tie­voor­zie­ning op basis van allerlei methoden voor verre­ke­ning van kosten. Die cloud-IT-infra­struc­tuur kan in Nederland staan, of in Ierland, de Verenigde Staten of Azië. Of in een combi­natie van locaties. In feite weet niemand meer waar de IT staat die men gebruikt. Dus outsour­cing, maar dan een stap intiemer. Met alle voor- en nadelen.

Er wordt vaak gedaan alsof een orga­ni­satie bij cloud computing geen aandacht en/of zorg meer hoeft te hebben voor haar IT-infra­struc­tuur. Die zorgen zijn dan immers voor de cloud­le­ve­ran­cier. Toch zullen de infra­struc­tu­rele problemen zoals we die nu kennen er gewoon blijven omdat IT nu eenmaal IT is, en IT’ers nu eenmaal IT’ers zijn. Kunnen cloud­le­ve­ran­ciers de claim dan waarmaken dat er geen zorg meer is? Dat valt sterk te betwij­felen. Ook de IT-infra­struc­tuur van een cloud­le­ve­ran­cier kan, om maar wat te noemen, gehackt worden. Of er kunnen beheer­fouten gemaakt worden, en ga zo maar door.

Wat kan naar een cloud?

Een andere vraag is welke func­ti­o­na­li­teit zich leent om via cloud­tech­no­logie aange­boden te worden. Cloud­aan­bie­ders beperken zich in hun voor­beelden vrijwel altijd tot sexy offi­ce­soft­wa­re­func­ti­o­na­li­teit. Daarbij spreekt men vaak ‘terloops’ over andere func­ti­o­na­li­teit. Nu bestaan er geen deus ex machina’s. Een IT-infra­struc­tuur die moeilijk in elkaar zit, en dat geldt voor bijna elk van de huidige (grotere) IT-infra­struc­turen, kan niet ‘ineens’ optimaal in elkaar zitten als die overgezet wordt naar cloud. Dit veran­deren kan zelfs extreem veel tijd, geld en een enorme inspan­ning kosten. Daarbij blijft de outsour­cende orga­ni­satie juist niet buiten schot, want die zal bijvoor­beeld moeten vertellen wat ze nodig heeft.

Er zijn twee extremen: rechttoe rechtaan en naar een optimale situatie over­zetten. Rechttoe rechtaan betekent dat alles wat een orga­ni­satie heeft letter­lijk in de cloud komt. Dat is in de praktijk niet of nauwe­lijks mogelijk omdat bijvoor­beeld de toegang tot de over­ge­nomen IT-infra­struc­tuur als cloud zal moeten gaan werken. Was het oude moeilijk aan te passen, dan zal het nieuwe dat ook zijn; dat nieuwe is immers nog steeds het oude. Met als bijkomend probleem dat de leve­ran­cier de over­ge­nomen IT-infra­struc­tuur vaak niet echt goed kent en er dus, zeker in het begin, gemak­ke­lijk fouten gemaakt kunnen worden. Als het oude dan werkt onder extern beheer, zal alsnog het nodige aangepast moeten worden om de beloften van cloud waar te maken. En dat zal even gemak­ke­lijk of lastig zijn als het was voor de outsour­cing. Naar een optimale situatie over­zetten betekent meestal opnieuw beginnen. Dus het begin van een reeks door de cloud­le­ve­ran­cier uit te voeren IT-projecten om de nieuwe, betere IT-infra­struc­tuur in te richten, waarbij de meeste druk bij de outsour­cende orga­ni­satie komt te liggen omdat die moet gaan vertellen wat ze wil. Hierbij geldt ook weer: niet goed verteld betekent niet goed gepro­gram­meerd (of gekocht en aangepast), met als resultaat een volgende subop­ti­male IT-infra­struc­tuur, zij het nu in een cloud.

Natuur­lijk loopt dit allemaal niet zo’n vaart als het alleen om offi­ce­soft­ware gaat. Veel daarvan lijkt op elkaar, al leert de ervaring wel dat overgaan naar een ander office­pakket ook geen sinecure is: gewenning, conversie enzovoort. Als het om (verder) in te richten of te bouwen software gaat, komen we echter op een heel ander plaatje uit. Zo vertelde een IT-leve­ran­cier recent dat het in een cloud brengen van de IT-infra­struc­turen van een samen­han­gende groep grote orga­ni­sa­ties ongeveer 7 miljard euro extra moet gaan kosten. Daarbij hebben die orga­ni­sa­ties dus hun IT-infra­struc­turen inge­le­verd, moeten ze ‘per tik’ gaan betalen voor wat daarna ter beschik­king zal staan en moeten ze ook nog bijbe­talen. Zoals gezegd: er zijn geen deus ex machina’s, vooral niet in de IT. Bedenk daarbij dat veel IT-infra­struc­turen lijken op torens van Babel, inclusief de uit dat verhaal bekende commu­ni­ca­tie­pro­blemen. De complexi­teit is groot, en die rafel je niet even snel uiteen om de spul­len­boel dan weer snel, beter in elkaar te zetten. Bovendien zit er vaak een enorme hoeveel­heid ‘lijken’ in deze complexe kasten, die echt niet in hun kast zullen blijven als die ‘kasten’ aangepakt worden. De ervaring leert dat dit extreem grote IT-projecten oplevert die ook nog eens gemak­ke­lijk volledig uit de hand kunnen lopen. Die 7 miljard kan dan wel eens een heel lage inschat­ting zijn als al dat werk gedaan moet worden. Daarom is het uiterst naïef om te denken dat het met cloud allemaal simpel en eenvoudig zal worden.

Regie

Je hoort in de infor­matie- en IT-sector nog steeds te weinig over de regie die een ‘IT gebrui­kende’ orga­ni­satie over haar eigen infor­ma­tie­voor­zie­ning zal moeten hebben, en houden. Dat dit aspect onder­be­licht blijft is een écht probleem. De praktijk laat zien dat er van alles en nog wat fout gaat in en rond IT. IT gebrui­kende orga­ni­sa­ties hebben daar vaak nauwe­lijks grip op, en je ziet dat steeds meer orga­ni­sa­ties er grote moeite mee hebben dat ze moeten blijven inves­teren in IT terwijl ze nauwe­lijks rendement van die inves­te­ringen zien. Het is frus­tre­rend als je dan ook nog steeds meer dan 80 procent van je IT-budget moet besteden aan de exploi­tatie van je bestaande IT-infra­struc­tuur terwijl je geen grip kunt krijgen op je IT-uitgaven, en op het verlagen daarvan. En dat alles terwijl je onder­steu­ning minimaal blijft.

Orga­ni­sa­ties voelen vaak onmacht met betrek­king tot hun IT-uitgaven, en het is zeer onwaar­schijn­lijk dat cloud computing dit gaat oplossen. Natuur­lijk kan een en ander in de loop van de tijd verbe­teren, maar dat kan (en zal) ook zonder cloud gebeuren. De praktijk heeft inmiddels wel geleerd dat het echt verbe­teren van een IT-infor­ma­tie­voor­zie­ning alleen kan als orga­ni­sa­ties er zelf voor gaan staan en die verbe­te­ring zelf onder strakke, eigen regie regelen. Zij zijn immers eigenaar en zullen met hun eigendom de eigen orga­ni­satie op de gekozen weg moeten houden. Met een simpel gevolg: als een orga­ni­satie niet zelf in staat is om aan te geven wat ze nodig heeft, betaalt ze de hoofd­prijs en zit ze al snel opge­scheept met een weinig effec­tieve infor­ma­tie­voor­zie­ning (een slechte ‘IT-business-alignment’). IT-leve­ran­ciers zijn daarbij de aannemers in de IT-wereld. Regie gaat vooral ook over wat zij voor hun ‘klant­or­ga­ni­sa­ties’ doen. En een IT-leve­ran­cier inhuren om zichzelf of andere IT-leve­ran­ciers te regis­seren werkt niet omdat de aan te houden scheiding van functies daarmee hard in het gedrang komt. Met alle gevolgen van dien.

Risico

De vraag is hier hoeveel risico een orga­ni­satie met haar infor­matie kan, durft, wil en/of mag lopen. Hoewel het antwoord cruciaal is, wordt deze vraag nog niet of nauwe­lijks gesteld. IT-bevei­li­ging bijvoor­beeld is een directe afgeleide van het antwoord op deze vraag. Bevei­li­gings­maat­re­gelen zijn er immers om deze risico’s in te dammen tot een expliciet uitge­sproken accep­tabel niveau. In feite kunnen we, hoewel we dat al jaren doen, niet over IT-bevei­li­ging spreken als de orga­ni­satie zich niet eerst expliciet uitspreekt over het risico dat ze met haar infor­matie kan lopen. En dat merken we haast dagelijks als er weer ergens een probleem ontstaan is: een datastick die in een gehuurde auto achter­blijft, Diginotar, WikiLeaks, verlies van back-ups, hacking, iden­ti­teits­dief­stal en ga zo maar door. De inschat­ting van het risico dat je met je infor­matie kunt lopen, past bij de beschreven regie van een orga­ni­satie over haar infor­ma­tie­voor­zie­ning. In principe moet je niet over cloud nadenken als je deze risico’s niet voldoende kent.

Een simpele, algemene vast­stel­ling in dit kader is dat IT gewoon nooit voldoende dan wel afdoende te bevei­ligen is. Met ook nog een simpele reden: er is altijd een kans dat een bevei­li­ging door­broken wordt, ongeacht hoeveel maat­re­gelen je neemt. Voor­beelden te over. Bevei­li­ging vertraagt hoogstens, het maakt niets zeker. Daarom is het een fictie om te denken dat een cloud zo te bevei­ligen is dat er geen risico meer gelopen wordt. Zeker als, zoals bij een public cloud, infor­matie in een IT-infra­struc­tuur buiten de deur terecht­komt. Is thuis­werken dan nog wel mogelijk? Durft een orga­ni­satie bijvoor­beeld haar klant­in­for­matie wel via een public cloud ‘intern’ te delen? En dan spreken we alleen nog over bedoeld gebruik en niet over de mogelijke ‘achter­deuren’ die altijd in IT-infra­struc­turen zitten. Een vaak gehoorde discussie is die over Google: kijkt Google mee naar de infor­matie van de orga­ni­sa­ties die bij hen een cloud­op­los­sing hebben? Erger nog, Ameri­kaanse bedrijven dienen aan de Ameri­kaanse wet te voldoen, ook als ze buiten de VS zaken doen. De in 2003 inge­voerde Patriot Act stelt dat alle infor­matie die zich binnen een IT-infra­struc­tuur van een Ameri­kaans bedrijf bevindt, beschik­baar moet zijn voor de Ameri­kaanse overheid. Dan is het niet alleen Google maar ook nog eens de Ameri­kaanse overheid die mee kan kijken in de bestanden van Neder­landse bedrijven die hun infor­ma­tie­voor­zie­ning via een cloud-IT-infra­struc­tuur van zo’n Ameri­kaans bedrijf hebben gere­a­li­seerd, ook als die data zich buiten de VS bevinden. Kan een orga­ni­satie zoiets toestaan? En wat gebeurt er met netwerk­ver­bin­dingen (internet?) die infor­matie via Ameri­kaans grond­ge­bied sturen? Zoals gezegd, orga­ni­sa­ties zelf, niet alleen hun IT-afdeling, moeten nog eens goed nadenken over de risico’s die zij met hun infor­matie lopen voordat ze over cloud gaan nadenken.

Nog iets anders: stel dat een orga­ni­satie surseance van betaling moet aanvragen. Wat doet een cloud­le­ve­ran­cier dan met de infor­ma­tie­voor­zie­ning van die orga­ni­satie als ook hij niet meer betaald wordt? Mag die infor­ma­tie­voor­zie­ning dan gestopt of zelfs ‘gegijzeld’ worden? Mag de leve­ran­cier de infor­matie van die klant op een moment verkopen om de eigen reke­ningen voldaan te krijgen? En wat doet een eventuele curator met zoiets als blijkt dat die infor­matie waarde heeft die in de afwik­ke­ling van een fail­lis­se­ment gebruikt zou kunnen worden? Zo wordt cloud ineens een bedrijfs­ri­sico, waarbij de cloud­le­ve­ran­cier macht krijgt om een orga­ni­satie al of niet failliet te laten gaan. Of nog anders: denk aan een curator die infor­matie van een fail­le­rende orga­ni­satie gaat verkopen waar die orga­ni­satie alleen houder van is. Is dit allemaal accep­tabel?

-Auteur: Steven van ’t Veld

Pin It on Pinterest

Share This