Cloud is kwestie van keuze

CIG Cloud

Cloud is kwestie van keuze Checklist voor de CIO

Publicatie van de CIO Interest Group Cloud CIO Platform Nederland, juni 2012 www.cio-platform.nl/publicaties

CIG Cloud - Cloud is kwestie van keuze- CIO Platform Nederland - juni 2012

CIG Cloud

Van de opstellers Cloud is een onderwerp dat bij de leden van het CIO Platform Nederland als een belangrijk strategisch onderwerp naar voren komt. Het is een veelomvattend onderwerp en een gedegen strategie is wezenlijk. Gebleken is dat veel leden op de een of andere manier “met Cloud bezig zijn”. Eind 2011 is besloten om ook voor dit onderwerp de kennis binnen het platform te bundelen door een CIO Interst Group (CIG) Cloud op te richten. Net als de andere CIGs heeft de CIG Cloud als doel om als leden van het platform kennis te delen en ervaringen en best-practices uit te wisselen om elkaar op die manier te versterken. Het onderwerp Cloud wordt binnen meerdere CIGs van het platform als onderwerp behandeld omdat het voor elke discipline binnen de organisatie relevant is. Op dit moment doet elke ICT dienstverlener wel iets met ‘de Cloud’. Vraag aan iemand wat Cloud betekent en je krijgt een diversiteit aan antwoorden en beschrijvingen van dienstverleningsvormen. Cloud is een hype en de kans is klein dat jouw organisatie nog niet te maken heeft gehad met Cloud dan wel heeft nagedacht over een Cloudstrategie. Voor vrijwel elke organisatie liggen hier kansen op het gebied van “elastische” schaalbaarheid, time-to-market en kosten efficiency. Een mogelijke een reductie van de TCO zorgt voor voordelen die moeilijk te negeren zijn. Tegenover deze voordelen staan ook zorgpunten. Over informatiebeveiliging, privacy en een mogelijk te grote afhankelijkheid van Cloudleveranciers. De snelheid van adoptie en deskundigheid door medewerkers en het verlies van controle over het ICT landschap zijn andere aandachtpunten die een rol spelen.

CIG Cloud - Cloud is kwestie van keuze- CIO Platform Nederland - juni 2012 - pagina 3 van 15

CIG Cloud

Ondanks deze mogelijke voor- en nadelen staat vast dat Cloud er is en blijft. Cloud is een kans maar geen doel op zichzelf. Hoe en in welke mate Cloud inzetbaar is verschilt per organisatie. Om de CIO te helpen met de keuze om al dan niet voor een Cloudoplossing te kiezen en leidraad te bieden waar hij op moet letten bij de selectie van een Cloudoplossing is in de CIG Cloud deze checklist opgesteld en als publicatie beschikbaar. Onze organisaties hebben ons de gelegenheid gegeven om deze exercitie te doen en het heeft ons veel werderzijdse kennis en ervaring opgeleverd. Hierdoor zijn we als proferssional gelardeerd met veel kennis die we voor onze organisatie kunnen inzetten De opstellers (zie pagina 14).


CIG Cloud

Inhoudsopgave 1! Verantwoording........................................................................................ 6! 1.1! Leeswijzer .......................................................................................... 7! 2! De basis .................................................................................................... 8! 2.1! Visie en strategie ............................................................................... 8! 2.2! Architectuur fundamenten ................................................................ 8! 2.3! Data ................................................................................................... 8! 2.4! Communicatieplan ............................................................................ 9! 2.5! Leveranciersmanagement ................................................................. 9! 3! Aandachtspunten selectie ......................................................................10! 3.1! Dienst- en functionaliteitskeuze ......................................................10! 3.2! Risico-analyse ..................................................................................10! 3.3! Privacy ..............................................................................................10! 3.4! Security ............................................................................................11! 3.5! Criteria .............................................................................................11! 3.6! Verwerving .......................................................................................11! 4! Aandachtspunten Contract / SLA...........................................................12! 4.1! Actoren ............................................................................................12! 4.2! Informatie integriteit........................................................................12! 4.3! Escrow..............................................................................................12! 4.4! Naleving ...........................................................................................13! 4.5! SLA ...................................................................................................13! 4.6! Exit-strategieplan .............................................................................13! 5! Deelnemers CIG Cloud ...........................................................................14!


CIG Cloud

1

Verantwoording

Deze checklist is ontstaan naar aanleiding van meerdere discussies die binnen de CIG Cloud zijn gevoerd over dit onderwerp. Gebleken is, dat alle aanwezigen op de een of andere manier Cloud op de agenda hebben staan. De punten die in deze checklist zijn opgenomen komen voornamelijk vanuit de collectieve kennis en ervaring van de deelnemers van de CIG Cloud. Ook zijn deelnemers van de CIG’s HRM, Inkoop, Informatiebeveiliging en Architectuur bevraagd om het onderwerp Cloud vanuit hun discipline te belichten. Ook hierin is de toegevoegde waarde van de CIGs en het benutten van elkaars expertise tussen CIGs onderling duidelijk zichtbaar. Ten slotte is er marktonderzoek en literatuurstudie gedaan en zijn ervaringen uit het afstudeeronderzoek ‘SLA’s in Cloud Computing’ van Guus Jacobs van de TU Eindhoven meegenomen. Belangrijk is, dat deze checklist specifiek gericht is op Cloud dienstverlening en niet op het totale hosting en outsourcing aandachtsgebied. Het helpt de CIO om aan zijn organisatie de juiste vragen te kunnen stellen om daarmee uiteindelijk een goede afweging voor een (Cloud) oplossing te maken. We geven geen antwoorden op vragen maar helpen de CIO om de juiste vragen te stellen. Elke organisatie vraagt een net andere Cloudoplossing; private versus publiek, binnen de Nederlandse grenzen, EU of daarbuiten, een eigen beheer verantwoordelijkheid, et cetera. Dit zijn keuzes die elke organisatie zelf moet maken. Er zijn checklists in omloop gericht op individuele aandachtsgebieden zoals informatiebeveiliging en beheer. Deze checklists zijn mogelijk gedetailleerder en meer specifiek ten aanzien van kwaliteitsnormeringen zoals ISO en SAS certificering.


CIG Cloud

Wij hebben bewust gekozen voor een kortere checklist met generieke verwijzingen naar normeringen. Hierdoor is een duurzame en overzichtelijke lijst ontstaan die generiek toepasbaar is voor elke markt en elk bedrijf. We denken hiermee de CIO een hulpmiddel te geven waarmee hij binnen zijn eigen organisatie de juiste snaar kan raken om het beste uit de Cloud te halen. 1.1

Leeswijzer

Bij het doornemen van de checklist vragen we de lezer de volgende drie punten in acht te nemen: De genoemde elementen en aandachtspunten zijn niet beschreven of bedoeld als sequentieel. Ze dienen om de juiste vragen te kunnen stellen binnen jouw organisatie om al dan niet voor een Cloudoplossing of -dienst te kiezen. De voorbeelden die bij de aandachtspunten zijn genoemd zijn niet uitputtend maar helpen om de juiste context van deze aandachtspunten te geven. De checklist helpt in de beeldvorming en het komen tot een keuze om al dan niet diensten in de Cloud af te nemen.


CIG Cloud

2

De basis

2.1

Visie en strategie

Aandachtspunten

Voorbeelden

Cloud is onderdeel van Sluit het aan op dienstverlening? Visie & Strategie Sourcing/hosting

Past Cloud binnen de Sourcingstrategie?

Informatiebeleid

Sluit het aan op de functionele vraag?

2.2

Architectuur fundamenten

Aandachtspunten

Voorbeelden

Security

Minimaal aandacht voor: Authenticatie / autorisatie / transportbeveiliging

Beheer

Hoe voer je beheer, regie, monitoring en/of ketenbewaking uit in een versnipperd landschap?

Koppelingen/ applicatie integratie

Interoperabiliteit tussen applicaties op basis van open (Web) standaarden. Standaardisatie netwerk op basis van open protocollen.

2.3

Data

Aandachtspunten

Voorbeelden

Classificatie

Is er een informatie / data classificatiebeleid?

Document-huishouding

Is informatie / data opgeslagen en traceerbaar op basis van de classificatie?


CIG Cloud

2.4

Communicatieplan

Aandachtspunten

Voorbeelden

Verwerving door projecten en medewerkers

Conform verwervingsproces.

Gedragscode rond Clouddiensten

Bewust maken informatie beveiligingsbeleid en eigen verantwoordelijkheid.

Medewerkers willen faciliteren

Overzicht van geautoriseerde Clouddiensten.

2.5

Leveranciersmanagement

Aandachtspunten

Voorbeelden

Sourcing en contactstrategie

Afhankelijk van het strategisch belang: global/local sourcing, single/multiple sourcing, partnership/ concurrentiestelling; standaard inkoopcontract.

Regievoering

Gebruik is ontkoppeld van bezit. Diensten worden afgenomen op basis van gebruik (vraag gestuurd).

Verwervingsstrategie

TCO benchmarking, aanbesteding (regelgeving onderhands/Europees), wegingsfactoren.


CIG Cloud

3

Aandachtspunten selectie

3.1

Dienst- en functionaliteitskeuze

Aandachtspunten

Voorbeelden

Soort dienst

Exploitatiedienst (IaaS), ApplicatiePlatformdienst (PaaS), Verwerkingsdienst (SaaS).

Inzet vorm

Public, Private of mengvorm (Hybrid of Community Cloud).

Applicatie portfolio

Rationalisatie applicatie portfolio. Clouddiensten maken onderdeel van portfolio uit.

3.2

Risico-analyse

Aandachtspunten

Voorbeelden

Proces

Onderdeel van selectieproces en gestandaardiseerd op basis van bekende risico's.

Onderdeel is informatie classificatie

Gebaseerd op classificatie regels.

Locatie

Nationaal, Europees, Global - opslaglocatie data en nationaliteit aanbieder.

3.3

Privacy

Aandachtspunten

Voorbeelden

Privacy wet- en regelgeving

Wat is van toepassing?

Witte lijst landen EC

Beperking van aanbieders buiten EG/Europese economische ruimte.

Safe Harbor / EU privacy regelgeving

Geeft de Safe Harbor certificering en/of naleving van Europese privacy regelgeving voldoende waarborgen voor de organisatie?


CIG Cloud

3.4

Security

Aandachtspunten

Voorbeelden

Informatiebeveiligingsbeleid

Controleer de te treffen maatregelen op basis van het eigen informatiebeveiligings-beleid (bijvoorbeeld: beschikbaarheid, integriteit en vertrouwelijkheid, controleerbaarheid) of externe security checklist (bijvoorbeeld van de Cloud Security Alliance of ISACA).

Maatregelen

Tref risico-mitigerende maatregelen.

3.5

Criteria

Aandachtspunten

Voorbeelden

Leverancier

Onderaannemers, omvang, toekomstperspectief en referenties.

Requirements

Onafhankelijke certificering of kwaliteitskeurmerk, niet functionele requirements, flexibiliteit en aanpasbaarheid.

Contracten

Invloed op inhoud, prijsmodel, inclusief groei/krimp, conform eigen inkoopvoorwaarden en controle op aanvullende voorwaarden.

3.6

Verwerving

Aandachtspunten

Voorbeelden

Business case

Is er een valide business case? (Houd rekening met mogelijke migratiekosten)

Inkoop

Conform eigen proces en verwervingsstrategie.


CIG Cloud

4 4.1

Aandachtspunten Contract / SLA Actoren

Aandachtspunten

Voorbeelden

Verantwoordelijke

Eigenaarschap en verantwoordelijkheden helder van de opdrachtgever.

Be-/verwerker

Verantwoordelijkheden van de Cloud/dienstaanbieder.

Betrokkenen

Wie is het lijdend voorwerp (persoon in kwestie/burger/patiënt/klant)?

4.2

Informatie integriteit

Aandachtspunten

Voorbeelden

Verwerken gegevens

Clouddienstverlener creëert, update en verwijderd enkel in opdracht van verantwoordelijke. Hoe lang is data beschikbaar in Cloud versie (hoeveel versies/copies)?

Verstrekken gegevens/export beperkingen van data

Clouddienstverlener mag zelfstandig data niet verstrekken of zelf gebruiken.

Maatregelen

Scheiding van klantgegevens, beveiliging en backup & recovery.

4.3

Escrow

Aandachtspunten

Voorbeelden

Broncode

Vastleggen voorwaarde overdracht broncode.

Financieel

Vastleggen voorwaarde voor overdracht liquide middelen.


CIG Cloud

4.4

Naleving

Aandachtspunten

Voorbeelden

Controle

Verantwoordelijke heeft recht op aangekondigd en niet aangekondigd. Ook mogelijk uit naam van de betrokkenen.

Logging en auditing

Toestaan van (digitaal) forensisch onderzoek.

Compliancy

Bijvoorbeeld Wet- & regelgeving of informatiebeveiligingsbeleid.

4.5

SLA

Aandachtspunten

Voorbeelden

Dienstniveau

Openings- en reactietijden, wijzigingen, onderhoud, monitoring, rapportage, proces voor technologische vernieuwing (scope, life cycle, roadmap).

Communicatie- en escalatieplan

Adequate communicatie bij incidenten en onderhoud gebaseerd op ernst.

Business continuity maatregelen

Hoe snel is er een omgeving waarop organisatie kan doorwerken?

Ondersteuningsclausule

Prioritering bij calamiteiten en/of grote verstoring (bonus/malus regeling).

4.6

Exit-strategieplan

Aandachtspunten

Voorbeelden

Condities

Specificatie op basis van exit strategie in werking treedt.

Exit rollen

Vastleggen van rollen en bijbehorende verantwoordelijkheden.

Inhoud

Eisen aan oplevering/overdracht (Informatie, data (bijvoorbeeld 'origineel' formaat), planning, code, afkoop, enzovoort).


CIG Cloud

5

Deelnemers CIG Cloud

Organisatie

Voornaam

Achternaam

Heineken International

Jeroen

Aris

Unirobe Meeùs Groep B.V.

Gertjan

Beijer

Ministerie van EL en I

Katinka

Besenbruch

Stichting SURF

Erwin

Bleumink

Espria

Peter

Bruijniks

Royal Vopak

Lambert

Caljouw

Ahold / Albert Heijn

Han

Crielaard

Gemeente Rotterdam

Rob

de Bruin

SHV

Marnix

de Hoop

Coöperatie VGZ UA

Jacq

de Rijck

Telegraaf Media ICT B.V.

Ernst

de Rijk

LUMC

Rob

de Weerd

Enexis B.V.

Louis

Dietvorst

Ministerie van Infrastructuur en Milieu

Wilbert

Disseldorp

Eneco

Mark

Edelbroek

Alliander

Hans

Fugers

Draka

Arthur

Govaert

Rabobank Nederland

Toine

Jenniskens

PostNL

Markus

Keuter

UWV

Marcel

Koers

De Nederlandsche Bank

Jan-Jaap

Moerman

Espria

Olav

Palm

ECT

Jean-Pierre

Piters

Coöperatie VGZ UA

Tjeerd

Schoemaker

Stichting SURF

Andres

Steijaert

CBS

Ted

Stormen

Sociale Verzekeringsbank

Edwin

Strijland


CIG Cloud

(vervolg deelnemers CIG Cloud) Organisatie

Voornaam

Achternaam

CZ Actief in Gezondheid

Marc

van Boxtel

ECT

Rob

van Buiten

IHC Merwede Holding B.V.

Jan

van de Wouw

Gemeente Rotterdam

Ruub

van der Klip

Ymere

Arjan

van Dijk

Heijmans Nederland B.V.

Wim

van Son

Stedin Netbeheer B.V.

Willem Jan

Zwart

CIO Platform

Rik

van Embden

CIO Platform

Ronald

Verbeek

CIO Platform

Foppe

Vogd

Speciale dank gaat uit naar de deelnemers van de CIG’s HRM, Inkoop, Informatiebeveiliging en Architectuur die een belangrijke bijdrage hebben geleverd aan deze publicatie.


“

De vereniging van ICT eindverantwoordelijken in grote organisaties van de vraagzijde

“

www.cio-platform.nl

CIG Cloud - Cloud is kwestie van keuze- CIO Platform Nederland - juni 2012

Cloud is kwestie van keuze

Recommend Documents