CLOUD COMPUTING. Permanente PE Educatie. Businesscase en risico s. The NIST cloud definition framework

&

FINANCE

CONTROL

Bu siness ca s e e n r i sico’s

Informatiemanagement

PE

Permanente Educatie

CLOUD COMPUTING

Cloud computing is in. Maar wat is het precies? Wat is de businesscase ervan? En wat zijn de risico’s? De auteur brengt u op de hoogte van de actuele stand van zaken bij aanbieders en grote afnemers van cloud computing. Aanbieders zien het als een ander deliverymodel van computerdiensten, computing op abonnementsbasis. Het is de volgende fase in de evolutie van de ondersteuning van hun werkprocessen door ICT. Vragers waarderen voorstellen voor cloud computing op kosten en risico. Qua sturing en organisatie van cloud-computingdiensten blijkt dat de ondersteuning van computing op abonnementsbasis bij public cloud computing vaak nog in de kinderschoenen staat. DOOR THEO THIADENS

C

loud computing is ‘hot’. De markt voor computerdiensten op abonnementsbasis is volwassen aan het worden en vragers kunnen shoppen. Maar wat is die markt nu precies? Hoe denken lokale en globale aanbieders van cloud computing over hun diensten? Wat is de visie van vragers van deze diensten? Wat is de businesscase en wat zijn de risico’s? En welk inzicht in de levering van diensten verschaffen de aanbieders aan hun klanten? En: hoe organiseren grote klanten zich als zij van cloud computing gebruikmaken? Drie vragen staan centraal in dit artikel: 1. Wat verstaan vragers en aanbieders anno 2011 onder cloud computing?

The NIST cloud definition framework Hybrid clouds Deployment models

Community cloud

Private cloud Software as a Service (SaaS)

Service models Essential characteristics

Platform as a Service (PaaS)

Infrastructure as a Service (IaaS)

On demand self-service Rapid elasticity Broad network access Resource pooling Measured service Massive scale

Common characteristics

Public cloud

Homogeneity Virtualization Low cost software

Resilient computing Geographic distribution Service orientation Advanced security

Figuur 1 De definitie van het National Institute of Standards and Technology (NIST, 2009)

10

|

2. Wat is de businesscase voor cloud computing nu en in de toekomst en wat zijn de risico’s? 3. Hoe kunt u cloud computing invoeren? Welke opties levert een aanbieder aan zijn klanten om zijn dienstverlening te volgen? En hoe is een en ander georganiseerd bij de klant? Uitgaande van een theoretisch model over cloud computing worden steeds de opinies van de vragers en aanbieders van cloud computing naast elkaar gezet. De aanbieders zijn bedrijven die een variëteit aan clouddiensten leveren. Dit zijn Google, IBM, Microsoft, AFAS, Accenturen en SARA. Er zijn global players die alleen standaarddiensten leveren, zoals Google, of die elke cloud-computingdienst van het NIST-model (zie figuur 1) leveren, zoals IBM. Daarnaast zijn er local players die hun ERP-software online leveren, zoals AFAS, en leveranciers van speciale computerdiensten, zoals SARA. Aan de vraagkant heb ik ervoor gekozen om de opinies van grote organisaties te onderzoeken. Kleinere organisaties maken vaak al gebruik van clouddiensten en bij hen spelen problemen als plaats van de cloud, vigerende wetgeving, businesscase, implementatie naast bestaande computing en meekijken bij het leveren van diensten door een leverancier minder. Zij hebben vaak geen keus. Bij de vragers is ervoor gekozen om grote organisaties in de onderwijs-, overheids- en industriële sector te interviewen: de Hogeschool InHolland, de Open Universiteit, de Universiteit van Amsterdam, de politie Gelderland-Midden, NXP Semiconductors en DAF Trucks. Alle vragers hebben meer dan 2000 personeelsleden, behalve de Open Universiteit, die heeft er 700. In dit artikel komen eerst de definities van clouds en clouddiensten – uitgaande van de NIST-definitie – en de mening van vragers en aanbieders daarover aan bod. Vervolgens wordt ingegaan op de businesscase voor cloud computing en AUGUSTUS 2011

PE

Permanente Educatie

de risico’s ervan, waarna ten slotte de inrichting van de sturing en organisatie bij cloud computing bij zowel vragers als aanbieders worden toegelicht. Definitie cloud computing, clouds en clouddiensten Het National Institute of Standards and Technology (NIST) (Mell en Grance, 2009), een agentschap van het Amerikaanse ministerie van handel, definieert cloud computing als volgt:

!$%

‘Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service models, and four deployment models.’ Figuur 1 geeft aan dat er volgens de NIST sprake is van drie

$"%"&

""



!&'$





*
!&

-05%
$0.154*/(
*3
&&/
/*&57
%&-*6&29.0%&-
7""2*/
4&(&/
"#0//&.&/4312*+:&/
%*&/34&/
702%&/
6&2,0$)4
--&
%*&/34&/
:*+/
1&2
(*,&2
1&2
.""/%
"'/&&.#""2

&/
$-05%%*&/34
*3
&&/
(&)034&
40&1"33*/(
0'
702%4
(&-&6&2%
6*"
&&/
1-"4'02.
(9%
01
&&/
(&%&&-%&
*/'2"3425$4552
&/
(&-&6&2%
6*"
)&4
7&#

5#-*$
$-05%
."",4
(*,
6"/
%*&/34&/
%*&
&2(&/3
01
)&4
*/4&2/&4
34""/
&/
7""2
.&/
#&4""-4
1&2
%*&/34

-05%
$0.154*/(
702%4
(&:*&/
"-3
6&26"/(*/(
6"/
%&
)5*%*(&
"11-*$"4*&3
&%&2&&/
,"/
%&
%*&/34&/
(*,&/
&/
&2
:*+/
6&&-
"11-*$"4*&3

 
0/-*/&
*3
&&/
&-'3&26*$&
%9/".*$"--9
*/%073 "11-*$"4*&
%*&
3$"-"#-&
)*() 6*"
&&/
4&2.*/"-
*3
01
4&
1&2'02."/$&
$0.154*/( 20&1&/
&4
*3
&&/
15#-*$
"" ""/#*&%*/(

!$%
&'%%!
"' !%&!

*$2030'4
-&6&24
"--&
%*&/34&/
7&2&-%7*+%
6"/5*4
2&,&/$&/42"
*/
5201"
:*
&/
.&2*,"
*&4
&-,&
%*&/34
702%4
06&2"-
(&-&6&2%

00(-&
-&6&24
%*&/34&/
6"/5*4
&&/
15#-*$
$-05%
&/
%0&4
/*&4
""/
.""47&2,


-&6&24
$0.1-&4&
01-033*/(&/
6002
02("/*3"4*&3
*4
:*+/
15#-*$
12*6"4&
0'
)9#2*%&
01-033*/(&/

-05%3
:*+/
%&

2&3052$&3
&4
."",4
&&/
+5*34
&/
$-05%%*&/34&/
-&6&24
0/%&23$)&*%
4533&/
%&
.&/
$0/'02.

""/
2&3052$&3
&/
%&
%*&/34&/ &&/
,-"/4

$$%

! "!

#!
!($%&&

!($%&&
(!
 %&$

"&
$!!


$'%



*
!&

-05%
$0.154*/(
*3
&&/
6&260-(
01
6*245"-*3"4*&
*&2#*+
62""(4
&&/
02("/*3"4*&
:*$)
"'
7&-,&
4",&/
:*+
&$)4
:&-'
7*-
5*460&2&/

&/
345,
4&$)/*&,
%"4
)&4
.0(&-*+,
."",4
%*&/34&/
6*"
)&4
*/4&2/&4
"'
4&
/&.&/

-05%
$0.154*/(
-*(4
*/
)&4
6&2-&/(%&
6"/
0543052$*/(
&
5/*6&23*4&*4
-&6&24
*&43
""/

&8*#*-*4&*4
*/

*&4
7&4&/
7""2
%&
(&(&6&/3
&/
%&
"11-*$"4*&3
34""/
&/"%&2*/(
6"/
 6002:*&/*/(&/
6*"
)&4
*/4&2/&4

&/
40&60&(*/(
:05
,5//&/
:*+/
%"4
%&
(&(&6&/3
&-%&23
:*+/
01(&3-"(&/

&
%&
/4*&
*3
%*&
6"/
"24/&2
!4*+-
6"/
$0.154*/(
7""2#*+
 */:&4
702%4
(&-&6&2%
"-3
3$)""-#"2&
&/

&8*#&-&
%*&/34
6*"
)&4
*/4&2/&4

$'
(!
"'!%&!

*6& &%5
*$2030'4
."*-
"" %*&/34&/
6"/
6&2:5*.2&(*342"4*&
"--&


.":0/
&/
00(-&
15#-*$
15#-*$ $-05%40&1"33*/(&/ $-05%
&/
)&&'4
&&/
&*(&/
12*6"4&
$-05%
2&,&/$&/425.

&
/*6&23*4&*4
,*+,4
/5
/""2
345%&/4&/ & ."*-
/%&2:0&,&23
)&##&/
62*+)&*%
&/
(*,&/
$-05%%*&/34&/

*+
%&
10-*4*&
7&&4
*&%&2&&/
/0(
7""2
:*+/
(&(&6&/3
&/
"11-*$"4*&3
34""/
%*4
*3
(&&/
$-05%
1
4&2.*+/
/""2
&&/
)9#2*%&
$-05%

 
)&&'4
&&/
)9#2*%
$-05%
&/
&*(&/
3)"2&
10*/4
3&26&23
&
#&%2*+'33934&.&/
.",&/
(*,
6"/
%&
 2&,&/$&/42"

2*6"4&
$-05%
*3
2&,&/$&/425. )034*/(
 
(*,4
%""2/""34
15#-*$ $-05%%*&/34&/
6002"-
""
&/
""

!$)$#

002"-
""
.&4
0/%&234&5/*/(
&
$-05%
34""4
"-4*+%
*/
&%&2-"/%

Figuur 2 Meningen van de ondervraagde organisaties over clouds en clouddiensten

AUGUSTUS 2011

|

11

W W W. F I N A N C E - C O N T R O L . N L

&

FINANCE

Aanbieders:

CONTROL

Microsoft

Google

IBM

Accenture

AFAS

SARA

Start levering cloud computing:

Op de consumentenmarkt is men in 1995 begonnen met hotmail en MSN. Op de zakelijke markt in 2003 met Livemeeting. Sinds 2,5 jaar met SaaS, PaaS en IaaS. Omvang markt educatie 50 miljoen, zakelijke markt 40 miljoen en online consumentenmarkt 6,8 miljoen in Nederland

In de Google-wereld wordt niet gewerkt met releases. Elk e dag worden de functies van de cloud aangepast en uitgebreid. Google biedt aan: Google search, Google adds en Google apps

In 2008 begonnen met het leveren van zijn clouddiensten. Cloud computing is een nieuwe fase in de levering van ICT

Accenture is bezig met een clouddienst gebaseerd op Oracleproducten. Het wordt een HRM-oplossing gebaseerd op SaaS. Advies van Accenture: zoveel mogelijk opnieuw beginnen met de applicatie en geen bestaande overplaatsen naar de cloud

Per 1/1/2009 is AFAS begonnen met AFAS online. Nu kan het ERPpakket van AFAS als dienst worden afgenomen

High-performancedienstverlening sinds het begin van de jaren tachtig. Clouddienst in pilot gestart medio 2009. De meest gebruikte platforms zijn gebaseerd op: IBM AIX, Red Hat Linux, SUSE, Debian en Ubuntu

Toekomst:

Private cloud: klanten Grotere flexibiliteit door vinden gebruik public schaalbare capaciteit cloud een te grote stap of zijn gehouden aan weten regelgeving

Over 15 jaar staan alle gegevens en applicaties in de cloud. IBM staat voor open standaarden

Steeds meer applicaties verhuizen naar de cloud

Er is een verschuiving zichtbaar. 50% van de klanten kiest momenteel voor de cloudoplossing AFAS online

Meer data-intensieve computingtoepassingen. Applicaties as a service. Community clouds

Risico’s:

Geen vertrouwen in de leverancier. Maar je wilt eigenlijk niet én een eigen rekencentrum én gebruik van clouddiensten op termijn. Niet alles kan op de cloud

Ja

Verschillend per klant. Elke klant heeft eigen eisen. Als ICT kern is in een organisatie, dan is het gaan naar een public cloud moeilijk. Vertrouwen in de leverancier

Vragers:

InHolland

Open Universiteit (OU)

Universiteit van Amsterdam (UvA)

Politie GelderlandMidden

DAF Trucks

NXP

Start gebruik cloud computing:

Live@edu start per februari 2011. Er zijn afspraken gemaakt samen met andere onderwijsinstellingen

Drie jaar geleden begonnen. Gebruik Gmail sinds mei 2008. Wel enige tijd gebruikt voor implementatie en test

Nu is men vrij ver in het traject om studentenmail over te zetten. In mei/ juni begint men met gebruik

Op weg naar drie rekencentra. In de toekomst ook gebruik van mash-ups als Google maps, Twitter, enz.

De hosting van het mainframe bij ATOS. Dit gebeurt al meer dan tien jaar

Beginnen met HRM en langzamerhand bottomup doorgevoerd

Overwegingen:

1. Minimaal dezelfde functionaliteit

Financiële aspect was het belangrijkste. Hierdoor wordt overwogen ook andere diensten in de public cloud te zetten

Alles wat standaard is en buiten de deur kan gebeuren, kan geoutsourcet worden

Effectiviteit en effciency bij minimaal risico en compliance aan wetgeving

DAF kijkt altijd of er sprake is van een positieve ROI en acceptabele risico’s

Er is een checklist ontwikkeld, waarmee nagegaan kan worden of een dienst een bepaald niveau heeft. Overwegingen vooral kosten en functionaliteit

1. Ondersteuning van mobiele media

1. De definitie van het 1. Functionele eisen 1. Standaardisering gaat veelal gepaard met beschikbaar zijn van als graceperiode, inlevering vrijheden Google (nl. 10 minuten gegevensformaten voor of meer dan 5% user aftap bij rapportages error rate)

De risico’s worden inzichtelijk gemaakt met holistische risk assessments

Risico’s worden afgedekt met contracten

2. Disaster recovery

2. Geen afspraken over restore mailboxen

Onderwerp:

Niet van toepassing

2. Kosten nu en straks 3. Authenticatie van de aanbieder werkt 4. En daarna doorgroei naar meer mogelijkheden Risico’s:

3. Functionaliteit voor en 3. Op algemene cockpit de gegevens van het wijzigingen te zien onderwijspersoneel zijn kritisch

2. De standaardbeschikbaarheid van Google

2. Juiste implementatiestrategie

3. De algemene voorwaarden van Google

4. Afhankelijkheid leverancier

Figuur 3 De businesscase voor cloud computing en de risico’s ervan

typen clouddiensten: Software as a Service (SaaS), Platform as a Service (PaaS) en Infrastructure as a Service (IaaS). Deze diensten kunnen worden afgenomen vanuit een private cloud, een community cloud, een public cloud of een hybrid cloud. Essentiële eigenschappen van deze diensten zijn: toegang tot de dienst via een breedbandnetwerk, snelle schaalbaarheid

12

|

van een dienst, meetbaarheid van de dienst, on demand self service en het delen van de faciliteiten van de cloud. De plaats van de cloud, een rekencentrum met opslag- en verwerkingsfaciliteiten, is van belang omdat de wetgeving van het land waar de cloud staat de geldende wetgeving bepaalt voor toegang tot, verwerking en opslag van gegevens. Hierbij moet AUGUSTUS 2011

PE

Permanente Educatie wel worden opgemerkt dat de Patriot Act bedrijven met een vestiging in de VS dwingt de door de Amerikaanse overheid gevraagde data te leveren. Dit ongeacht de plaats ter wereld waar deze gegevens zijn opgeslagen. Figuur 2 geeft de ideeën weer van de vragers en de aanbieders van clouddiensten over de definitie van clouds en clouddiensten. De figuur leert dat elk van de twaalf onderzochte organisaties een eigen interpretatie van de definitie van cloud en clouddiensten geeft. Er is wel een verschil tussen vragers en aanbieders in waar de nadruk op ligt in de definities. De aanbieders leggen vooral het accent op diensten, vervanging van de huidige ICT, een nieuw deliverymodel enzovoort. Bij de aanbieders ligt de nadruk op het leveren van een ICT-dienst op abonnementsbasis. Global players als IBM en Microsoft bieden deze diensten vanuit meerdere rekencentra ter wereld aan, waardoor zij het hun klanten gemakkelijker maken om aan vigerende wetgeving te kunnen voldoen. Grote vragers van cloud computing kijken anders naar cloud computing. Zij zien cloud computing meer als een evolutie in computing. Na consolidatie en virtualisatie van eigen ICT-faciliteiten komt het gebruikmaken van een private cloud. In feite maakt de or-

Aanbieders: Microsoft

ganisatie dan een shared-servicecentrum of gaat zij nog een stap verder door het outsourcen van het eigen rekencentrum. Pas daarna volgt voor hen het volledig overgaan op het ondersteunen van de eigen organisatie met standaard-IT-diensten, geleverd op abonnementsbasis en doorberekend deels naar afname. Sommige organisaties zijn voorlopig nog niet aan deze fase toe, andere zetten de eerste schreden op dit pad of gebruiken naast eigen faciliteiten en private clouddiensten ook public clouddiensten. Uit figuur 2 blijkt dat de aanbieders over het algemeen verder zijn dan de vragers wat betreft hun ervaring met cloud computing. Zij bieden concrete producten en diensten aan voor de zakelijke markt, vaak sinds de tweede helft van het eerste decennium van deze eeuw (zie figuur 3). Businesscase en risico’s Vertrouwen in de leverancier is volgens de aanbieders van generieke public clouddiensten de reden om voor een bepaalde cloudoplossing te kiezen. De aanbieders stellen dat het financiële aspect alleen zelden de doorslag geeft. Een aanbieder als Accenture onderkent voorts dat steeds meer applicaties verschuiven naar de cloud. AFAS merkt op dat 50 procent van

Google

IBM

Accenture

AFAS

SARA

Onderwerp: Stadia: - ontwikkelen interne cloud - pilot met externe cloud - maken road map

Deze stadia worden doorlopen voor IaaS- en PaaS-diensten. Niet voor SaaS. De reden hiervoor is dat PaaS- en IaaSdiensten relatief jong zijn. Men is hier vaak via partners bij betrokken

Google biedt SaaSdiensten aan en deze zijn naadloos te integreren met andere publieke clouds als bijv. die van Salesforce. De consumenten- en de zakelijke clouds zijn dezelfde

IBM stimuleert klanten drie stadia te doorlopen: - interne cloud maken; - pilot externe cloud; - eigen road map maken. Daarna weet de klant wat hij wil en grote klanten doen dit

Accenture kent de Niet van toepassing bij volgende fases: gebruik van AFAS- onderzoek; pakketten - rangschikken applicaties naar de mate waarin men ervan afhankelijk is; - detailonderzoek applicaties; - kansen en plan; - road map; - businesscase en pilot

- Rapid prototyping; - proof of concept i.s.m. eindgebruikers van de klant; - preproductie (verbeterd op basis van proof of concept en feedback); - productie en service

Processen ingeregeld: - operationele

Op alle cloudservices is er een tweedelijns service desk. Klanten doen in de eerste lijn de monitoring van Microsoft

Er is een dashboard waar men kan zien welke wijzigingen zijn aangebracht

Naast het beheer van clouddiensten door IBM doet de klant een aantal taken

Accenture kent een raamwerk van processen gebaseerd op ITIL

SARA monitort het gebruik van haar faciliteiten. Hiervoor beschikt zij over: a. Nagios: dit monitort netwerk en diensten;

Geen informatie over deze sturing naar buiten

Geen informatie over gegeven

Rapportages van de geïmplementeerde processen

Eigen account administrator

De sturing hangt sterk af van de klant en van zijn eisen. IBM rapporteert online aan zijn klanten. Zij geeft ook inzicht in de door haar getroffen BIVmaatregelen

Via het Accenture-raamwerk zijn vele servicemanagement-en productiemanagementprocessen ingericht en wordt er gerapporteerd

Er zijn voor klanten inspraaksessies. Per klant is er voorts een accountmanager

Nee

Inzicht in externeauditrapportage

Niet van toepassing

Er zijn SLA's. Er wordt begonnen met audits

De tactische en strategische processen voor het afl everen en produceren van clouddiensten - sturing Microsoft kent een externe partner en een cloudklantenadviespanel. leverancier Elk halfjaar wordt de klanttevredenheid gemeten

- sturing interne cloud

Vooral processen aan AFAS-zijde. AFAS rapporteert over incidenten, maar niet over beschikbaarheid Er zijn niet echt rapportages. Het gaat op basis van opvragen van gegevens

b. Ganglia: dit monitort de systeemprestatie

SARA rapporteert aan haar klanten en aan het NWO. Voorts rapporteert zij via partnermeetings en door het geven van feedback aan klanten

De rapportages zijn via een dashboard 7x24 uur beschikbaar - inzage audits

Niet bekend

Figuur 4 Invloed op de levering van diensten en het daarop georganiseerd zijn

AUGUSTUS 2011

|

13

W W W. F I N A N C E - C O N T R O L . N L

&

FINANCE

Vragers:

InHolland

Open Universiteit (OU)

Stadia: - ontwikkelen interne cloud

Aan het doorlopen

In feite geen specifieke stadia onderkend

-pilot met externe cloud

Mee bezig

90% van alle diensten kunnen in de cloud

-maken road map

Aan het bekijken

Grootste punt van zorg zijn de waarborgen op het terrein van privacy. Daarom wordt gekeken naar: - toeganscontrole; - recoverymodellen; - eenvoudige overgang en verplaatsing; - koppeling met eigen informatie

Situatie:

- iteratief proces; - qua mail monitoring en beheer op orde; - realisatie van toegevoegde waarde aan rekencentra; - externe deskundigheid ingehuurd

CONTROL

Universiteit van Amsterdam (UvA)

Politie GelderlandMidden

Geen specifieke stadia doorlopen. Het beleid is te beginnen met studenten-e-mail

Politie staat aan het begin. Er is de wens om naar een politiecloud te komen en op termijn van de overheidscloud gebruik te maken en app’s te gebruiken voor mobiele toepassingen. Deze app’s komen uit de public cloud. Bij de politie lopen hiervoor strategische programma’s. Elke applicatie zal eerst getest worden.

DAF Trucks

NXP

Iedere business area binnen DAF staat het vrij richting cloud te gaan, zolang het met medeweten en goedkeuring gebeurt van de centrale IT-organisatie

Eerst met HRM gestart en toen stap voor stap doorgegaan

Elke oplossing kan een eigen koop/ maakbeslissing zijn op basis van ROI, risico’s, capaciteit en competenties. Het implementeren gaat via een gestructureerde methode

Vervolg figuur 4

haar klanten tegenwoordig kiest voor de oplossing AFAS online. In 2016 verwacht zij dan ook haar ERP-pakket alleen nog in de online versie aan te bieden. Kijkend naar de vragers weten we dat het gebruik van private clouds al jaren in zwang is (zie figuur 3). Bij het gebruik van public clouds is dat anders. Vragers van deze diensten gaan daar op hun eigen wijze mee om. Aan de ene kant zien we organisaties gebruikmaken van public clouddiensten, zoals DAF en NXP. Zij hebben de keuze voor gebruik van IT-mogelijkheden gestructureerd, waaronder het gebruik van public clouds. Zij lopen bij elk proposal de mogelijkheden af met behulp van standaardchecklists met daarin vragen over ROI en risico. Hieronder valt het gebruik van diensten als Amazon S3 en Bij dit artikel hoort de online cursus ‘Cloud computing’ Met deze cursus kunt u punten behalen in het kader van uw ‘Permanente Educatie’ (PE). Ter kennismaking kunt u de cursus ‘Best in Finance’ gratis volgen en uw eerste studiepunten behalen. Kijk voor meer informatie en een overzicht van alle cursussen op www.finance-control.nl.

PE

Permanente Educatie

14

|

Salesforce. Daarnaast kennen we instanties als universiteiten en hogescholen, die voor hun studenten-e-mail gebruikmaken van Gmail of Live@edu. Zij starten het gebruik van public clouddiensten op of zijn er net mee begonnen. Aan het andere uiterste van het spectrum zien we het gebruik van public clouddiensten bij organisaties in de openbare orde en veiligheid. Hier is dit gebruik op grotere schaal nog niet echt aan de orde, al wordt gekeken naar diensten als Twitter, Google maps, enzovoort. Gevraagd naar de risico’s van het gebruik van clouddiensten, gaan organisaties soms specifiek in op de risico’s die zij lopen bij het afnemen van een bepaalde dienst als Google. Andere organisaties, die al verder zijn, gaan hier generieker op in. Zij merken op dat zij deze risico’s proberen af te dekken met contracten. Dat is eigenlijk alleen mogelijk bij het gebruik van private clouddiensten. Dit wordt gedaan op een specifiek contract tussen vrager en aanbieder. De invloed die een organisatie hier heeft op het standaardcontract dat zij afsluit bij afname van public clouddiensten moet niet overschat worden. NXP merkt op dat de wijziging in het standaardcontract met Salesforce alleen de prijs betrof. De Open Universiteit – de eerste afnemer van studenten-e-mail van Google in ons land – stelt dat zij door het AUGUSTUS 2011

PE

Permanente Educatie vooraf vragen van de studenten of zij gebruik willen maken van Gmail of van hun eigen e-mailadres, mogelijke problemen met het voldoen aan wetgeving heeft voorkomen. Invloed klant op levering clouddiensten Wisselend zijn de adviezen die aanbieders hun klanten geven bij het gebruik van clouddiensten (zie figuur 4). Sommige aanbieders maken een onderscheid tussen het soort dienst; andere geven helemaal geen advies. De conclusie kan echter zijn dat de fasering ‘ontwikkelen interne cloud’, ‘pilot met externe cloud’ en ‘het maken van een road map voor verdere overgang naar clouddiensten’ vooral geldt bij afname van platform- en infrastructuurdiensten en niet bij afname van SaaS. Duidelijk is voorts dat een organisatie bij overgang naar een cloud een verandering ervaart in de sturing en organisatie van ICT-exploitatie. Deze verandering is groter bij gebruik van public cloud computing dan bij gebruik van private computing. Bij public cloud computing laten sommige leveranciers alleen een generiek dashboard van hun dienstverlening zien; sommige rapporteren alleen over incidenten enzovoort. Bij private cloud computing is dat anders. Hier is invloed op beleid en uitvoering bij de leverantie door de vragers van clouddiensten in hun contract geregeld. Deze mogelijkheid om structureel invloed te hebben op beleid en uitvoering kent public cloud computing niet. Bij public cloud computing verschillen per leverancier de mogelijkheden om invloed te hebben op het beleid en de uitvoering. Sommigen leveranciers kennen een partner- en een klantenraad; andere kennen inspraaksessies en bij sommige leveranciers van public-clouddiensten heeft de klant geen beïnvloedingsmogelijkheden. Hetzelfde geldt voor het recht van de klanten om inzage te krijgen in audits op de exploitatiediensten. Naast de wat magere mogelijkheden van de klant om invloed uit te oefenen op het proces van dienstverlening en inzage te krijgen in de audits erop, kan men ook constateren dat de klanten zelf zich nog niet optimaal hebben georganiseerd om met clouddiensten te werken. De klanten moeten minimaal bepaalde monitoring van de dienstverlening, aanspreekpunten voor leveranciers en een eerstelijnsservicedesk hebben ingericht. Conclusies Drie onderwerpen stonden centraal in dit artikel. Dat waren het begrip cloud computing, de businesscase voor cloud computing en het omgaan met cloud computing. Het is duidelijk dat vragers van cloud-computingdiensten en hun aanbieders duidelijk verschillen van mening over wat cloud computing nu eigenlijk is. De aanbieders vinden het leveren van publicclouddiensten het echte cloud computing. Het is computing op abonnementsbasis. De afnemer krijgt een standaardcontract. De vragers daarentegen zien ook het gebruik van private clouds als cloud computing. AUGUSTUS 2011

Vertrouwen is bij global players het sleutelwoord, als wij hen zouden vragen hoe zij kijken naar de besluitvorming van vragers ten aanzien van cloud computing. Financiële redenen mogen dan in eerste instantie aanleiding zijn om te gaan denken over deze wijze van ICT-delivery, op een gegeven moment zijn ervaring met en de verwachting van een leverancier het belangrijkst. De risico’s zijn vaak specifiek per dienst te benoemen en meer volwassen afnemers van public-cloudcomputingdiensten maken risico’s inzichtelijk met holistische risk assessments. Bij private-clouddiensten zijn deze vervolgens af te dekken met een contract. Bij public-clouddiensten als Salesforce en Amazon zijn de mogelijkheden om de standaardcontracten aan te passen vaak beperkt tot de prijs van de dienst. Ten aanzien van de inrichting van de sturing en organisatie van ICT kent cloud sourcing een verschil. Dat verschil is ook weer te herleiden tot het verschil in afspraken bij private of bij public cloud sourcing. Public cloud souring gebeurt op standaardcontract. Bij private cloud souring is er bij grote klanten sprake van een specifiek contract per klant. In dit contract zijn rapportages, bevoegdheden ten aanzien van controles, escalatieprocedures, account executives en dergelijke geregeld. Het onderzoek werd uitgevoerd in het najaar van 2010, in het kader van het onderzoek naar cloud computing van het door Simac gesponsorde lectoraat ICT governance van Fontys Hogeschool ICT. Dit onderzoek is gedaan als voorbereiding op een congres dat is gehouden op 28 juni 2011 in Eindhoven. Aan de kenniskring cloud computing van dit lectoraat nemen deel: Theo Thiadens (lector), Ronald Ham (Surf foundation), Harald Vranken (Open Universiteit), Michiel van Best (Simac), Jacqueline van de Broek (Fontys), Frank Haverkort (Fontys) en Casper Schellekens (Fontys). Het praktisch deel van het onderzoek werd uitgevoerd door studenten van Fontys hogeschool ICT: Paul Bongers, Davy Cardinaal, Bjärni Coenen, Koen Dielis, Rob Dumernit, Koen Eijkemans, Perry Haast, Christian de Koning, Ruben van Kuijk, Gio Leito, Sebastiaan Lindenau, Otto Lodewijk, Sander Maas, Jeremy Pereira, Hans Rozendaal, Jeroen Teurlings, Dirk Voets en Pascal Widdershoven. De auteurs danken de geïnterviewde organisaties: Microsoft, Google, IBM, AFAS, Accenture, SARA, InHolland, Open Universiteit, Universiteit van Amsterdam, NXP Semiconductors, DAF Trucks en politie Gelderland-Midden voor hun medewerking aan het onderzoek. Literatuur ~ Lute, E. (red.) (2009), Over cloud computing, waarom een taxi kopen, als je alleen vervoer nodig hebt? Baarn: TIEM. ~ Mell, P. en T. Grance (2009), ‘Effectively and Securely Using the Cloud Computing Paradigm’, retrieved 12 December 2010, from http://csrc.nist.gov/groups/ SNS/cloud-computing/cloud-computing-v26.ppt. ~ Thiadens, T.J.G. e.a. (2011), Cloudsourcing: ontzorging van de klant? Fontys ICT governance serie, Eindhoven: Fontys hogeschool ICT.

|

15

W W W. F I N A N C E - C O N T R O L . N L