Cloud: Wat houdt bedrijven tegen? ICT-managers over de inzet van clouddiensten
In gesprek over de cloud Een paar jaar geleden waren organisaties vol enthousiasme over de inzet van clouddiensten. Het aantal organisaties dat de voordelen zag en helemaal of gedeeltelijk overstapte op cloudapplicaties nam gestaag toe. Inmiddels blijkt dat die groei niet zo hard gaat als KPN op grond van dat enthousiasme had verwacht – bedrijven lijken toch minder overtuigd te zijn van de toegevoegde waarde. KPN Consulting spreekt op verschillende niveaus met klanten over allerlei onderwerpen. Ook over inzet van de cloud. In gesprekken in de wandelgangen hoorden wij veel over het hoe en waarom van de verminderde inzet. Veel van deze gesprekken bevatten echter argumenten die gebaseerd waren op foutieve of deels ongefundeerde veronderstellingen. Voor ons was dit aanleiding om breder te onderzoeken wat er nu leeft bij ICT-managers. In een aantal gesprekken vroegen we organisaties naar de redenen om clouddiensten juist wel of juist niet in te zetten. In deze whitepaper leest u een samenvatting van onze bevindingen.
‘We kijken er zeker naar, maar zitten nog wel met onze ‘eigen’ applicaties’
Knelpunten in het kort ICT-managers ervaren een gebrek aan beleid, in de eigen organisatie én vanuit de overheid (nationaal en Europees) Het waarborgen van security en compliance Het voorkomen van vendor lock-in, inclusief het ontwikkelen van een goede exit-strategie Daarnaast is er de complexiteit van de bestaande ICT-omgeving: past deze wel in de cloud? Begripsverwarring – wat omvat de cloud nu eigenlijk precies? – maakt het soms moeilijker knelpunten op te lossen
2
Ervaren knelpunten In de gevoerde gesprekken kwamen verschillende zaken aan het licht. Verrassende en minder verrassende zaken. Zo werd ons al snel duidelijk dat onze waarneming dat de inzet van clouddiensten stagneert, inderdaad terecht is. ICT-managers geven aan dat zij weliswaar nog steeds overwegen de cloud (intensiever) in te zetten, maar dat zij niet verwachten op korte termijn dit proces te kunnen versnellen. Opmerkelijk is verder het knelpunt dat zij als belangrijkst omschrijven: het gebrek aan beleid om zich op te kunnen baseren bij een eventuele overgang naar clouddiensten. Zowel binnen als buiten de organisatie. Dat vonden wij opmerkelijk, omdat wij hadden verwacht dat techniek of beveiliging op nummer één zou staan. Herkenbaar is daarnaast een ander genoemd knelpunt: de complexiteit van de bestaande ICT-organisatie. Zo zetten organisaties de cloud nu in De organisaties die nu clouddiensten inzetten, doen dat vooral voor diensten op het gebied van Software as a Service (SaaS) en dan met name kantoorautomatisering. Op nummer 2 staan CRM-systemen en gespecialiseerde sectorfunctionaliteiten.
Iets meer dan de helft van de gesprekspartners die al over is op de cloud, gaf verder aan eerst een functioneel ontwerp te hebben gemaakt. Opvallend, omdat het maken van een functioneel ontwerp voor clouddiensten en met name SaaS-diensten niet gebruikelijk is. Er is tenslotte niets te ontwerpen aan een standaarddienst. Waarschijnlijk zoeken organisaties een manier om de functionele ‘fit’ van de dienst op andere processen te bepalen. Die functionele ‘fit’ speelt sowieso een grote rol in de gesprekken: de zorgen hierover houden ICT-managers ook tegen in het (verder) toepassen van clouddiensten. Dat betekent dat óf cloudleveranciers meer aandacht zouden moeten hebben voor het eenvoudig aanpassen van configuraties óf dat organisaties doorgaans te gehecht zijn aan hun systemen.
‘De cloud zien we vooral als toepassing voor standaard dienstverlening’
Clouddiensten als Infrastructure as a Service (Iaas) en Platform as a Service (PaaS) worden vrijwel niet genoemd. Wel is er één IaaS-dienst die de gesprekspartners vrijwel allemaal overwegen of waar ze zelfs al op zijn overgestapt: storage. Alle security-mythes ten spijt. De reden voor de beslissing om deze clouddienst wél af te nemen, zit hem er waarschijnlijk vooral in dat storage als een vrij eenvoudige, niet-complexe dienst kan worden uitbesteed. Daardoor heeft het geen grote invloed op het gevoerde beleid. Cloudinzet in de nabije toekomst Op de vraag wanneer de ICT-managers verwachten (verder) over te gaan op clouddiensten, antwoordt de helft dat er nu projecten lopen voor de inzet van nieuwe clouddiensten. De andere helft heeft nog geen duidelijke plannen. Opmerkelijk is dat bij de organisaties die al een hele of gedeeltelijke overstap hebben gemaakt, de implementatietijd enorm uiteenloopt: van enkele weken tot maanden en zelfs een jaar. Dat kan een definitiekwestie zijn – wat valt nou wel en niet onder een cloudimplementatietraject? – als gevolg van de brede definitie van de cloud zelf (zie ook rechts). Het kan ook een gevolg zijn van het feit dat sommige ondervraagde organisaties early adopters zijn.
3
Dit is ‘de cloud’ (volgens NIST) Over ‘de cloud’ bestaat nogal wat begripsverwarring. Om deze verwarring te voorkomen hanteren wij, net als veel andere instanties wereldwijd, de definitie van het Amerikaanse National Institute of Standards and Technology (NIST): 'Cloud Computing levert altijd beschikbare en makkelijke netwerktoegang tot een gedeelde ICT-omgeving, die met minimale beheerinspanning snel geleverd of opgezegd kan worden. Het cloudmodel heeft vijf basiskarakteristieken.' On-demand selfservice: een gebruiker kan zelfstandig online de gewenste hoeveelheid computercapaciteit, zoals serveren schijfruimte, regelen, zonder dat er menselijk contact met een serviceprovider voor nodig is. Netwerktoegang: de clouddiensten zijn via een standaard netwerk beschikbaar voor apparaten, zoals pc’s, laptops, tablets en smartphones. Gedeelde resources: computercapaciteit uit de cloud wordt meestal gedeeld met andere gebruikers of klanten. De precieze locatie waar de computercapaciteit vandaan komt, is onbekend – alleen het land, en soms de locatie van het datacenter, is bekend. Zeer rekbaar: benodigde capaciteit kan eenvoudig – vaak online – worden op- en afgeschaald, afhankelijk van de vraag van de gebruiker. Vanuit gebruikersperspectief lijkt de capaciteit eindeloos groot. Meetbare service: het gebruik van cloudcapaciteit kan eenvoudig gemeten, gecontroleerd en gerapporteerd worden. Dat maakt gebruik van de diensten transparant en zichtbaar voor leverancier én afnemer. De ‘cloud systemen’ optimaliseren automatisch de gebruikte capaciteit. Naast deze basiskarakteristieken zijn er drie servicemodellen (SaaS, IaaS en PaaS) en vier implementatievormen (private, community, public en hybrid cloud). Zie ook de website van NIST (http://csrc.nist.gov/).
‘Wanneer de cloud meer zou voorzien in de features die je ook bij een normaal product krijgt, zou dat wel een drempel bij ons wegnemen, ja’
Brandende vragen over de cloud In de gesprekken die we voerden met de verschillende organisaties, bleken drie brandende vragen steeds terug te komen. Hieronder lopen we ze stuk voor stuk door, waar mogelijk geven we een eerste oplossingsrichting. Vraag 1: Is de cloud wel veilig en compliant genoeg? Onzekerheid over het kunnen waarborgen van security en compliance is één van de meest genoemde belemmeringen bij het toepassen van clouddiensten. Die security en compliance gaat zowel over de eigen, interne security- en compliancerichtlijnen, als over die van de Nederlandse overheid en de EU. Bedrijfsinformatie loopt in cloudapplicaties grotere risico’s dan wanneer ze applicaties ‘binnenshuis’ houden, vrezen ICT-managers. Gevraagd naar de precieze risico’s, antwoorden de gesprekspartners dat er wel specifieke cloudsecurity- en compliancerisico’s zijn, maar dat deze vaak niet apart beschreven zijn. Daarnaast leeft er ook veel onduidelijkheid over de manier waarop een ICT-manager ervoor kan zorgen dat het eigen security- en compliancebeleid ook wordt gevolgd door de cloudleverancier. Omdat organisaties groot profijt kunnen hebben van de inzet van clouddiensten, is het wellicht verstandig de voordelen en de reële risico’s in kaart te brengen en deze tegen elkaar af te wegen. Dit lijkt wellicht een open deur, maar in de praktijk gebeurt het nog veel te weinig. Het verschilt vervolgens per organisatie of de voordelen wel of niet tegen deze risico’s op wegen.
Vraag 2: Kan de cloud onze complexiteit wel aan? Bestaande componenten zijn niet altijd direct door een cloudtoepassing te vervangen, verklaren gesprekspartners. Zo kunnen functionaliteiten van dergelijke componenten specifiek voor een bedrijf ontwikkeld zijn. Ook wordt standaard ingekochte software nog wel eens voor dergelijke bedrijfsdoeleinden aangepast. Omdat clouddiensten standaarddiensten zijn, schrikt dat organisaties af. Een andere vrees is dat clouddiensten niet in staat zijn de afhankelijkheden die er tussen de diverse componenten bestaan, te vervangen. Denk aan afhankelijkheden tussen verschillende informatiemodellen of interfaces. Voor het één-op-één vervangen van een legacy informatiesysteem door een SaaS-product, is een eenmalig migratietraject voldoende. Complex genoeg, maar dus wel eenmalig. Waar organisaties meer tegenop kijken is wanneer andere, nog niet vervangen componenten, ook afhankelijk zijn van het naar de cloud overgebrachte legacysysteem. Dan moet er continu migratie of transformatie plaatsvinden, met alle risico’s van dien. En dan is er nog de zorg van organisaties dat hun bestaande interfaces zo specifiek voor de eigen situatie gemaakt zijn, dat de interfaces – de API’s – van een SaaS-dienst dat detailniveau nooit aankunnen. Overigens geldt dit ook wanneer een organisatie besluit standaard off-the-shelf software aan te schaffen.
4
Vraag 3: Komen we wel weer van ze af? Vendor lock-in bleek een wezenlijke angst te zijn van onze gesprekspartners. Hoe kom je tot een goede exit-strategie? Ook hier geldt dat standaard software ze voor hetzelfde dilemma zet. Eén algemeen antwoord: solide beleid Bij twee van de drie vragen geven de gesprekspartners dus zelf al aan dat het niet zozeer een cloudvraag is, maar eerder een vraag over de inrichting van de ICT-organisatie en het formuleren van een passend en compleet beleid. Voor de rest: risico’s helder Wat security en compliance betreft, zit het antwoord hem vooral in stevig en goed beleid. Want risico’s als onduidelijkheid over locatie van de data, spelen bij heel veel ICT-omgevingen. Wie weet bijvoorbeeld waar de back-ups opgeslagen worden? Doorgaans buiten de deur, maar waar precies? Beleid rond security en compliance wordt vaak niet aangepast aan de introductie van de cloud en de nieuwe realiteit, soms ontbreekt het beleid zelfs. Het samenstellen van een goed security- en compliancebeleid zou een samenwerkingstraject van Legal en ICT moeten zijn, waarbij meteen kan worden gekeken wat nou de werkelijke risico’s zijn van toepassing van clouddiensten. Zo is wet- en regelgeving steeds in ontwikkeling, wat ook nieuwe mogelijkheden kan bieden (zie rechts op de pagina). En: gedegen afweging Ook bij het ontwikkelen van een goede exit-strategie gaat het om een gedegen afweging van risico’s en voordelen. Is het risico van een vendor lock-in nou echt zo groot? En wegen voordelen als kostenbesparing of makkelijk op- en afschalen niet op tegen dat eventuele risico? Dat geldt ook bij de omgang met de bestaande complexiteit van de ICT-omgeving. Een dergelijke complexe ICT-omgeving kost veel. Hoe lang is een organisatie nog bereid deze kosten te maken? Niets doen kost ook geld. En kan niet worden volstaan met meer generieke clouddiensten? Besluit een organisatie de overstap te maken naar clouddiensten, dan is het van belang goed zicht te krijgen op de kosten en baten. Die kostenafweging is een belangrijk onderdeel in het hele afwegingsproces en heeft gevolgen voor de aanpak. Eerst alles simplificeren en dan migreren? Of toch een geheel nieuwe omgeving ontwikkelen, helemaal of gedeeltelijk in de cloud?
Regelgeving DNB én EU versterken aantrekkelijkheid cloud Omdat het gebruik van clouddiensten – ondanks de stagnerende groei – nog steeds toeneemt, wordt regulering ook belangrijker. Organisaties en dienstverleners wezen de afgelopen jaren hiervoor al naar overheden en de EU. Met succes. Recent heeft De Nederlandsche Bank (DNB) bijvoorbeeld gebruik van clouddiensten van Microsoft door financiële instanties goedgekeurd. Dit is nu mogelijk, omdat Microsoft het onderzoeksrecht heeft opgenomen in de overeenkomsten. Daarmee krijgt DNB, als toezichthouder volgens de Wet op het financieel toezicht, toegang tot relevante data. Ook via de EU komt regelgeving die de cloud aantrekkelijker maakt voor organisaties. Zo wordt de databescherming versterkt en moet de vendor lock-in verdwijnen. Ook wil men dat leveranciers, wanneer data-eigenaren dat willen, hun data vrij overdraagbaar maken.
‘Ons beleid is tegenwoordig: ‘Cloud, tenzij...’’
Kortom... De boeiende gesprekken, de terugkerende vragen, de onontgonnen mogelijkheden: het is duidelijk dat ‘de cloud’ een onderwerp is dat meer aandacht verdient. Aandacht van ons en aandacht voor besluitvormingsprocessen bij organisaties. Wellicht in de vorm van een vervolgonderzoek, in elk geval in de vorm van werken aan bewustwording van reële voordelen en risico’s. Belangrijk is dat organisaties in staat zijn alle vruchten van het werken vanuit en met de cloud te plukken. Want het is zonde wanneer de inzet beperkt blijft, puur door onvoldoende zicht op de mogelijkheden. De voordelen van clouddiensten op een rij: Het is een goede mogelijkheid om meer tijd- en plaatsonafhankelijk te werken – hiermee ondersteunt u Het Nieuwe Werken Functionaliteiten neemt u af als dienst. Zo hebt u geen omkijken naar technisch beheer en service Single Sign On is ook in de cloud mogelijk, hierdoor kunnen medewerkers veilig in één keer bij alle bedrijfsapplicaties Beter inschatbare kosten bij groei of krimp, meer flexibiliteit én aansluiting op uw financiële bedrijfsstrategie
‘Duidelijke afspraken maken met je leverancier én goed weten waar je organisatie behoefte aan heeft, dat zijn belangrijke lessons learned’
Focus op uw core business. U stuit niet op onverwachte ICT-projecten rond technische updates Kiest u voor een Nederlandse cloudleverancier, dan heeft u deze voordelen: Dataopslag gebeurt in Nederland, in streng beveiligde datacenters Het beheer is conform Nederlands beheer, vallend onder Nederlandse wet- en regelgeving
5
KPN Consulting en inzet van cloud
KPN Consulting: gids in de nieuwe wereld
Werken in de cloud kan goedkoper, efficiënter en productiever zijn. Het brengt echter ook veiligheids- en compliancevraagstukken met zich mee. En het heeft een grote impact op de huidige ICT-infrastructuur. Bepalen welke clouddiensten nodig zijn en wat dat betekent voor werkprocessen, is een complexe taak. Wij helpen organisaties daarbij.
KPN Consulting is het ICT-adviesbedrijf van KPN, Nederlands marktleider in geïntegreerde IT- en telecommunicatiediensten. Onze visie is dat ICT veel meer is dan de inzet van technologie. Het vergroten van de daadkracht van mens en organisatie staat bij ons voorop. Al decennia identificeren we nieuwe technologieën en vertalen deze naar toekomstbestendige en mensgerichte oplossingen. Oplossingen die helpen ambities en doelen te realiseren. Niet voor niets hebben we een eigen opleidingsinstituut: 1 op de 3 ICT’ers in Nederland is hier opgeleid. Met ruim 1.200 gepassioneerde professionals en sterke wortels in de maatschappij, zorgen we dat organisaties klaar zijn voor de toekomst.
Bij de inzet van cloudoplossingen bieden wij allerlei organisaties complete begeleiding en een gedegen aanpak. Inclusief trajecten als ontwikkeling van een roadmap, business case, gebruikerstrainingen of hulp bij governance. Met een standaardaanpak in vier fases – oriëntatie, analyse & planning, connectie en exploratie – begeleiden we onze klanten bij de overgang naar clouddiensten. Daarnaast bepalen we met assesments of organisaties klaar zijn voor de overstap.
Mei 2013
Meer informatie Over het onderzoek: Hans Rosenberg Senior Business Consultant 06-46 70 70 15
[email protected] Over onze clouddienstverlening: Stuart Boardman Senior Business Consultant 06- 53 34 16 27
[email protected] Simon van den Doel Principal Technical Consultant 06-22 69 30 84
[email protected]
QR-code Gebruik de QR-code om dit document te bekijken op uw smartphone of tablet.
6
kpn.com/consulting
