manag IT nummer 3, augustus 2013
Cloud voor en na 400.000 organisaties gingen u voor, welke strijd heeft u nog te gaan? In vijf stappen helemaal in de wolken Zes tips en valkuilen voor een veilige toegang Ohpen: ’s werelds eerste bank in de cloud Van de makers van Management Team, in samenwerking met Sogeti
Cloudangst 8 redenen om alles bij het oude te laten
# De strijd om de cloud Zoals met elke revolutie gaat ook cloudcomputing gepaard met strijd. Op tal van niveaus. De overheid die waarborgen eist voor de bescherming van persoonsgegevens (een hele kluif met Prism in ons achterhoofd). De IT-afdeling die voelt dat ze misschien wel overbodig wordt en de strijd aangaat met de business, die sneller en kostenefficiënter wil opereren. De strijd tussen de verschillende aanbieders. De discussies in de bestuurskamer om wel of niet naar de cloud te gaan. En zo ja, of het dan de public cloud, private cloud of een hybride aanpak wordt. Deze strijd gaat gepaard met beslissingen die je niet op een achternamiddag neemt. Eén ding is duidelijk: de struggle is in volle gang. Deze bijlage bij Management Team geeft u de munitie om die strijd met de juiste argumenten aan te gaan. U leest over voors en tegens, de afwegingen, de route naar de cloud en praktische tips voor veilige toegang tot de cloud. En natuurlijk inspirerende gesprekken met organisaties als RWS, Ecofys en de ceo van Ohpen, de eerste bank ter wereld die zonder cloud niet eens had bestaan. Hoe komt u uit de strijd voor de cloud? Wij wensen u veel inspiratie en leesplezier. De redactie
Colofon Manag’IT is een magazine van de makers van Management Team in samenwerking met Sogeti Hoofdredactie Jolanda Peek Redactieraad Matthias Radder, Ron Moerman, Ton van Veen, Jurien van Gemerden, Martin Visser Realisatie MT MediaGroep Uitgever Berend Jan Veldkamp Redactionele leiding Ewald Smits Teksten Teus Molenaar Fotografie Leonard Fäustle Vormgeving Dorine Fliervoet, Hollands Diep Prepress Colorscan Druk RotoSmeets Redactieadres Sogeti, Postbus 76, 4130 EB Vianen Tel.: 088 6606600
[email protected]
2
Manag’IT
De cloudrevo Wie de statistieken erop napluist, ziet dat nu al bijna de helft van de ‘global 1000 companies’ klantgevoelige informatie heeft opgeslagen in de cloud. In 2016, zo is de verwachting, ligt dat aantal bedrijfsbreed boven de vijftig procent. Daar komt bij dat miljoenen professionels de cloud al gebruiken voor bijvoorbeeld e-mail. Cloud = profijt
Het merendeel van de servers in cloudcenters herbergt bedrijfstoepassingen (52 procent). De andere doeleinden zijn infrastructuur software (18 procent), storage (13 procent), applicatieontwikkeling en –uitrol (9 procent) en servers (8 procent). Deze grafiek laat eveneens zien dat het gebruik van de cloud profijtelijk is. Het merendeel meent dat het beheer is vereenvoudigd, dat de gebruikerservaring is verbeterd, dat er minder uitdagingen liggen op het gebied van performance, dat de kosten van de infrastructuur zijn verminderd, en dat er minder druk ligt op eigen mensen en middelen.
olutie: telt u even mee? Cloud = werkgelegenheid
Met zulke groeicijfers is het niet verbazingwekkend dat er een grote vraag is naar IT’ers met cloudvaardigheden. Wereldwijd stijgt de behoefte aan dergelijke experts jaarlijks met 26 procent. Het volume aan digitale content dat hosting providers in datacenters gaan opslaan, groeit naar 8,7 Zettabyte (8,7 triljard bytes).
Cloud = alomtegenwoordig
Miljoenen mensen maken, al dan niet in werknemersverband, tegenwoordig al gebruik van clouddiensten. Als we alleen al kijken naar gmail, dan komen we op 425 miljoen mensen. Dan hebben we de diensten van Apple met 150 miljoen gebruikers, en tenslotte nog 50 miljoen mensen die dropbox gebruiken. Dan hebben we het nog niet eens over bijvoorbeeld Office 365, Youtube, Yammer en Spotify.
Cloud = verbetering
Het bedrag dat IT-managers uitgeven, groeit natuurlijk ook. Waarbij opvalt dat het vooral de grote organisaties zijn die hun duiten naar de cloudproviders brengen. Dat groeit naar 38 procent van het budget in 2016. En 55 procent van de huidige cloudgebruikers zegt dat de efficiëntie van de bedrijfsvoering is verbeterd.
Cloud = toekomst
De cloud is een trend die samenhangt met andere trends, zoals het gebruik van big data (want die sla je tenslotte op in de cloud) en het Internet der Dingen. Tegelijkertijd zien we het aantal verkochte pc’s (inclusief notebooks) drastisch dalen, en de verkoop van smartphones en tablets navenant stijgen. Vooral die laatste categorie benut clouddiensten. #
Manag’IT
3
# Een concreet stappenplan
In 5 stappen helemaal Wie de stap naar de cloud gaat maken, komt in een wirwar van beslissingen en overwegingen terecht. Sogeti heeft een stappenplan ontwikkeld dat u veilig en gestructureerd richting wolken loodst. “Eén van onze klanten”, zegt Ron Moerman, manager Business Development bij Sogeti, “wil binnen anderhalf jaar zijn hele applicatielandschap naar de cloud brengen. Dat is een ambitieuze doelstelling en voor ons een prachtige opdracht. Wij volgen daarbij een gedegen stappenplan en toetsen steeds of de keuzes die we onderweg maken, bijdragen aan de geformuleerde doelstelling.”
1.Stel een duidelijk doel vast Waarom wil je naar de cloud, wat wil je bereiken? Is het om kosten te besparen,
om flexibel te kunnen zijn, om bepaalde functionaliteiten te verkrijgen die je zelf niet hebt? Om noodzakelijke investeringen in vernieuwing van eigen IT te vermijden? Je IT-huishouding te standaardiseren? Of een combinatie van dit alles? “Omdat de overgang naar cloud meer een reis is dan een project, kun je in deze fase niet heel concreet worden”, zegt Moerman. Ook niet over de kosten. Meer dan een globale business case zit er niet in; je moet er vooral in geloven. Het gaat altijd om een afweging tussen kwaliteit, kosten en flexibiliteit. Veel organisaties kiezen voor de flexibiliteit om
op- en vooral af te kunnen schalen in ITcapaciteit. In combinatie met kostenbeheersing. Ook het vermijden van grote investeringen in het eigen datacenter is een veelvoorkomende reden. Standaardisatie is een belangrijk middel in de transitie naar cloud. Dat staat wel onder voortdurende druk vanwege de vaak hogere migratiekosten.”
2. Kies uw cloudstrategie Cloud is een containerbegrip en kent vele verschijningsvormen, van private tot public cloud, van virtuele infrastruc-
SkySight: Cloud in a box Organisaties kloppen veelal bij meerdere cloudleveranciers aan voor hun diensten. In die zin is er dus geen sprake van één wolk, maar van een compleet uitspansel. Sogeti spreekt dan ook van de ‘sky’. Grote uitdaging daarbij is het voortdurend controle en inzicht houden in de kosten, veiligheid en beschikbaarheid van alles wat zich in de ‘sky’ bevindt. Met het onlangs gelanceerde SkySight biedt Sogeti dè oplossing voor deze uitdaging. “Weinig bedrijven hebben zo’n track record en de kunde om integratie met Microsoft’s nieuwste technologie te realiseren”, zegt Mark Hill, Vice President Enterprise Partners van Microsoft. “Nog minder bedrijven hebben de kennis om een bedrijfswaardige oplossing zoals SkySight te creëren.” De in samenwerking met Microsoft ontwikkelde unieke orchestratiedienst maakt gebruik van de nieuwste Cloudtechnologie. SkySight bestaat uit drie onderdelen: De SkySight Enterprise Applications Store, de orchestratiedienst en de hybride cloudomgeving gebaseerd op het Microsoft Azure platform.
4
Manag’IT
De orchestratiefunctie is eenvoudig te bedienen. Je moet dan denken aan het afrekenmechanisme (billing), de verschillende SLA’s, de beschikbaarheid van de applicaties, en de provisioning (het verstrekken van toegang van gebruikers tot systemen). Met SkySight krijgt de gebruiker een compleet overzicht, waarbij is uitgegaan van businesstermen. Het gaat niet om de bits en bytes (de techniek), maar of een dashboard ook begrijpelijk is voor niet IT-onderlegde medewerkers. De business kan ondertussen monitoren hoeveel IT kost. Er zijn verschillende views mogelijk: bijvoorbeeld de kosten, de beveiliging, of toegankelijkheid. Verder kan SkySight van een publiek onderdeel een virtuele private cloud maken. Dit kan een oplossing zijn voor organisaties die niet meteen de public cloud in willen. Vooralsnog is SkySight alleen beschikbaar voor het Microsoft Azure Platform. Naar verwachting maakt Sogeti deze ’Cloud-in-a-box’ oplossing ook geschikt voor Amazon en andere cloudproviders. Kijk voor de video met Steve Ballmer van Microsoft en meer informatie op www.sogeti.nl/cloud.
in de wolken tuur tot online applicaties. Ook zijn er vele verschillende aanbieders. Een heldere strategie om de reis naar de cloud te sturen, is dan ook een must. Bepaal eerst of u primair gebruik wilt maken van een public dan wel private cloud. Dit hangt af van eisen op het gebied van beveiliging en wet- en regelgeving. En van de mate van standaardisatie en controle die een organisatie nastreeft: private geeft meer controle maar minder schaalvoordeel en standaardisatie. “In onze aanpak gaan we uit van public before private, om de cloudvoordelen optimaal te benutten”, zegt Moerman. “Vaak resulteert dat uiteindelijk in een hybride oplossing, een combinatie van public en private cloud.” Kies in deze fase ook op welk niveau u clouddiensten wilt afnemen. Is dat op
basis van functionaliteit (SaaS, Software as a Service), op basis van applicatieplatform (PaaS, Platform as a Service) of op basis van (virtuele) infrastructuur (IaaS, Infrastructure as a Service). Moerman: “Wij gaan uit van SaaS before PaaS, before IaaS, ook weer vanwege de voordelen die standaard clouddiensten bieden. Alleen bij een specifiek gebruiksscenario, bijvoorbeeld een testinfrastructuur, verdient een IaaS clouddienst de voorkeur vanwege de grote diversiteit in de te testen systemen en applicaties. Ook hiervoor geldt dat de praktijk vaak een hybride situatie wordt. Bijvoorbeeld Salesforce en Office 365 als SaaS-diensten, Windows Azure PaaSdiensten, voor maatwerk Microsoft .NET applicaties en IaaS diensten voor applicaties en databases.”
Ron Moerman: ‘Het gaat steeds om een afweging tussen kwaliteit, kosten en flexibiliteit’
De ontwikkelingen gaan snel. Wat de leverancier vandaag nog niet biedt, kan morgen een standaard dienst zijn. “Dat geldt ook voor de kosten; een tachtig procent prijsreductie van de ene op de andere dag is geen uitzondering.” Om flexibel te zijn in de keuzes van clouddiensten is een integratiestrategie een must. Daarbij gaat het vooral om data management, workflow, identity & access management en beheer. Een duidelijke keuze voor data-integratie binnen en tussen cloudomgevingen, bijvoorbeeld op basis van een standaard servicebus (datakoppeling tussen applicaties), vormt de basis voor procesintegratie. In deze fase kiest u ook een strategie voor integraal beheer van de multi-cloudomgeving; wat is het gewenste serviceniveau, op welk niveau is cross-cloud ketenmonitoring of provisioning gewenst? In een complex applicatielandschap is orchestratie over de verschillende cloudomgevingen een absolute vereiste.” >>
Manag’IT
5
# Een concreet stappenplan Minder kosten, meer schaal Wie in Nederland grond, bagger of bouwstoffen op de bodem wil brengen, moet dat melden bij de overheid. Dat gebeurt via de website van het centraal meldpunt bodemkwaliteit. Begin 2011 was dat één van de eerste applicaties die naar de cloud ging.“Wat betreft schaalbaarheid, beschikbaarheid, en betrouwbaarheid is deze cloudoplossing ons alleszins positief bevallen”, zegt Niek Knaap, manager bij Rijkswaterstaat waaronder de webapplicatie tegenwoordig valt. Jaren geleden heeft de overheid al bepaald dat verplaatsingen van grond, bagger en bouwstoffen moeten worden gemeld. Doel is voorkomen dat verontreinigde grond op ongewenste plaatsen terecht komt. In 2007 heeft Sogeti een applicatie gebouwd waarop betrokkenen de meldingen kunnen doen. Tevens bevat deze website veel informatie over het doel en de werking van het Meldpunt Bodemkwaliteit. Eigenlijk is het alleen een doorgeefluik; de meldingen worden doorgestuurd naar de bevoegde, lokale overheden. In de achterliggende database wordt informatie over meldingen opgeslagen. Zo is bekend om welke hoeveelheden het
3. Richt de cloud in Het klinkt misschien vreemd, maar ook de cloud moet worden ingericht. In deze fase worden doelstellingen en strategie vertaald naar een architectuur. Moerman: “Omdat het veelal een meerjarige reis in een veranderend cloudlandschap is, adviseert Sogeti een duidelijke stip op de horizon te bepalen. Op basis daarvan wordt een strategie bepaald. De transitiearchitectuur definieert de eerste bestemming van de reis. Om-
6
Manag’IT
gaat, welke milieuklasse de grond heeft en waar het terecht komt. “Dit levert inzicht op of het grondstromenbeleid daadwerkelijk meer naar hergebruik toegaat”, verduidelijkt Knaap. De applicatie en database draaiden op enkele servers die werden gehost en onderhouden door Sogeti. In 2010 heeft Sogeti voorgesteld de applicatie naar Microsoft Azure te brengen. “Na beoordeling bleek dat die oplossing ons een betere prijs/prestatieverhouding laat zien dan de voorstellen van andere IT-dienstverleners. Omdat we vrij vroeg waren met de cloud hebben we wel vragen gesteld over aspecten als beveiliging, betrouwbaarheid en beschikbaarheid. Sogeti overtuigde ons met een solide aanpak en uitrol. We draaien sinds 1 januari 2011 en ik moet zeggen dat we nooit problemen hebben ondervonden of klachten hebben gekregen van gebruikers. De schaalbaarheid is zelfs beter”, vertelt Knaap. “Een gunstig bijkomend effect is dat de exploitatielasten met ongeveer veertig procent zijn afgenomen. En niet onbelangrijk, gebruikers hebben helemaal niets gemerkt van de overgang naar de cloud.”
dat doelstellingen en strategie voor verschillende organisaties veelal overeenkomen, werkt Sogeti met een referentiearchitectuur die de basis legt voor elk applicatielandschap binnen en buiten de cloud in elk willekeurig scenario.”
4. Kies de applicaties De standaardisatie die cloud inzet met zich meebrengt, heeft veel voordelen. Tegelijk heeft de migratie naar de cloud altijd een prijs. Om te voorkomen dat
Niek Knaap: ‘De exploitatielasten zijn met ongeveer veertig procent afgenomen’
deze transitie uitmondt in een simpele lift&shift-aanpak van het eigen datacenter naar de cloud (waardoor veel voordelen verloren gaan), brengt u het bestaande applicatielandschap pas in kaart nadat u het doel van de reis naar de cloud en de strategische keuzes bepaalt. “Wij stellen aan de hand van een checklist vast welke toepassingen het meeste baat hebben bij de cloud en wat de migratie-impact is.” Sommige applicaties kunt u direct overbrengen. Andere hebben grote aanpassingen nodig. Voor software die aangepast moet worden, heeft Sogeti zogenoemde wasstraten ingericht. Moerman: “Per applicatiecategorie kennen we een aparte wasstraat, bijvoorbeeld voor Java of . NET maatwerk, inclusief databases, voor verschillende typen ISV -toepassingen, maar ook voor standaardpakketten. Daarin wordt via een fabrieksmatig proces dat uit vier sporen bestaat
(techniek, licenties en ISV contracten, services en data) de applicatie voorbereid op de reis naar de cloud.”
5. Ga van beheer naar services Brengt u enkel applicaties naar de cloud, dan is de impact op beheer niet zo groot, en kunt u bestaande werkwijzen, kennis en technieken vrij eenvoudig aanpassen. Als er sprake is van een grootschalige transitie, is een ‘herstart’ op zijn plaats. De cloud verplaatst het beheer naar een hoger niveau waardoor u meer aansluiting met de business kunt maken. Tegelijkertijd wordt daarmee alles complexer. Moerman licht toe: “Traditioneel zijn we gewend te denken in termen van datacenters, systemen en componenten en voegen we hooguit een dun laagje toe dat we services noemen. De business ziet vaak al in dat de voordelen van de cloud opwegen tegen het deels wegvallen van ‘u vraagt, wij draaien’; de IT-organisatie
heeft daar veelal wat meer moeite mee. In de cloud begint en eindigt alles met services en standaardisatie. Van hoog tot laag moeten we denken in diensten. De beheerorganisatie moet daarbij leren dat de cloudprovider al veel afdekt. Alleen door de cloudservices als een gegeven te beschouwen waaraan services toegevoegd worden met waarde voor de business, wordt optimaal geprofiteerd van de voordelen. Op zowel het gebied van kostenbesparingen als flexibiliteit.” #
Stephen Brown: ‘De ene dag hebben we veel rekenkracht nodig, de andere niet. We betalen nu alleen voor wat we gebruiken’
Cloud first Wie zijn mailverkeer naar de cloud brengt, moet eerst zorgen voor een goede opschoning van alle mailboxen. Energiebedrijf Ecofys koos voor de migratie van het mailverkeer naar Exchange Online. Vervolgens is een gedegen migratieplan ook broodnodig. “Alles in één keer verhuizen, is vragen om moeilijkheden”, stelt IT-manager Stephen Brown. De onderneming heeft een cloud first-strategie. Ecofys levert intelligente, effectieve en praktische, duurzame oplossingen voor het gehele spectrum van hernieuwbare energie, heeft wereldwijd vijf hoofdkantoren en is actief in zo’n vijftig landen. Wat hebben we niet in de cloud?, luidt het antwoord van Brown op de vraag welke processen en data Ecofys heeft ondergebracht bij een cloudprovider. “Office365, SharePoint Online en Exchange Online voor de kantoorproductiviteit, een aantal SaaS-oplossingen en bijvoorbeeld mobile device management in de cloud.” De flexibiliteit is de belangrijkste drijfveer, zo geeft Brown aan. “De bestaande VPN-verbindingen van vroeger waren veel te traag. Onze medewerkers zijn actief in landen
waar niet altijd internetverbindingen voorhanden zijn.” Met Office365 kunnen ze offline doorwerken en synchroniseren zodra de verbinding er weer is. Brown geeft een voorbeeld van de gewenste flexibiliteit: “Wereldwijd beheren wij windmolenparken. Elke dag uploaden we windkaarten; dat is een enorme hoeveelheid gegevens. Om ze te verwerken, heb je veel rekenkracht nodig. We doen dat om te bepalen welke windparken we moeten uit- of inschakelen. Dat is niet elke dag nodig. Een dag later hebben we die rekenkracht niet nodig, en betalen we er ook niet voor.” Er zijn wat beperkingen aan de cloud; er moet namelijk meer met standaard software worden gewerkt. Brown wil dat overigens geen nadeel noemen. “Wij hebben ons hele interne netwerk opnieuw ingericht om de clouddiensten te gebruiken. Je moet wel die grote hoeveelheden data snel en juist kunnen transporteren”. De meerderheid van de medewerkers kon zonder training aan de slag met SharePoint, Office 365 en Exchange Online. “We waren al gewend met Office te werken”, verklaart hij.
Manag’IT
7
Cloud angst? # Do’s en don’ts over de cloud
8 redenen om alles bij het oude te laten
Klein of groot: elk bedrijf heeft saillante voordelen wanneer de IT naar de cloud verhuist
8
Manag’IT
Veel organisaties zien cloudcomputing als een disruptieve technologie, iets dat alles op zijn kop zet. Hieronder vindt u acht redenen om alles bij het oude te laten. Redenen die natuurlijk houtsnijden. En tegelijkertijd weinig overtuigend zijn.
Reden 1: De cloud is helemaal niet nieuw Wie dit zegt, bedoelt eigenlijk: waarom zou je al die moeite op de hals halen voor iets dat al bestaat? De IT-senioren onder ons zullen dit argument vast naar voren brengen. En ze hebben voor een deel gelijk. Het computertijdperk begon met grote mainframes, waar je computertijd kon huren. De IT’ers liepen er in witte doktersjassen rond, heel gewichtig te doen. Als gebruiker had je niks in te brengen, behalve dan grote magneetbanden en later ponskaarten. Maar daar houdt de vergelijking met de cloud dan ook meteen mee op. De flexibiliteit van mainframes is ver te zoeken. Je hebt je te voegen naar de mainframe-oppergod. Oracle kwam in de jaren negentig al met de leuze ‘the network is the computer’. En Larry Ellison (ceo van Oracle) probeerde van 1995 tot 2000 de netwerkcomputer (NC) op elk bureau te krijgen. Een
apparaat zonder harde schijf dat is verbonden met een server waarop applicaties draaien en data worden opgeslagen. De term NC is nooit echt aangeslagen; de meesten spraken van een thin client. De komst van betrouwbare en snelle communicatienetwerken, de pc, mobiele computers en applicaties die eenvoudig te bedienen zijn, hebben van de cloud een vrijplaats gemaakt. De gebruiker schikt zich niet naar de mainframebeheerder, maar bepaalt zelf wat hij wil doen. IT faciliteert in plaats van dicteert. Dat is cloudcomputing. Deze vorm van computeren lijkt op het mainframetijdperk als een chihuahua op een wolf lijkt.
Reden 2: De cloud is veel te duur Zeker, de clouddienstverlener vraagt geld voor het werk dat hij verricht en de hardware en verbindingen die hij ter beschikking stelt. Is het werkaan-
bod in de organisatie heel gelijkmatig? Is er nauwelijks behoefte aan flexibiliteit? Dan is de cloud inderdaad duur. Je zou het kunnen vergelijken met het hebben van een eigen wagenpark of het leasen van mobiliteit. Zij het dat veel van dergelijke vergelijkingen per definitie mank gaan, omdat cloudcomputing vrijwel alle bedrijfsprocessen raakt en (gevoelige) gegevens omvat, terwijl mobiliteit gewoon het vervoer van A naar B is. Voor organisaties die willen beschikken over flexibele computercapaciteit is de cloud juist een kosteneffectieve oplossing. Het computerpark wordt altijd ingericht op piekgebruik. Dat betekent vaak dat zo’n tachtig procent van de IT-capaciteit een groot deel van de tijd niet wordt gebruikt; wachten tot er weer een renteberekening nodig is, of tot de pensioenen moeten worden uitgerekend bijvoorbeeld. In die tijd is er sprake van overcapaciteit; dat is pas duur.
Reden 3: Het is vooral gedoe Een organisatie die clouddiensten gebruikt, ziet er anders uit dan voorheen. Ook processen gaan anders lopen. Dat is ook de bedoeling: het werk moet efficiënter en soms helemaal anders worden gedaan om de concurrent voor te zijn, om nieuwe markten te bedienen, of je time-to-market te versnellen. En sommige processen en gegevens wil je helemaal niet in de cloud hebben. Dat deel blijf je gewoon in eigen huis (lees: op je eigen servers) bedienen. Vaak zal er sprake zijn van een combinatie van cloud en on premise (zoals ‘ín eigen huis’ in computertermen heet), een hybride omgeving dus. Net als bij outsourcing is het een kwestie van alle bedrijfsprocessen goed in kaart brengen, voordat je ze in handen van een derde partij kunt geven. Die beschrijving kost tijd, maar werpt altijd haar vruchten af. Daarbij biedt cloudcomputing de mo- >>
Manag’IT
9
# Do’s en don’ts over de cloud gelijkheid om geheel volgens eigen gewenst tempo (deels) naar de cloud te gaan.
Reden 4: De cloud is leuk voor startups, niet voor serieuze organisaties Het voordeel van startups is dat ze met niks beginnen. Ze hebben geen last van – wat in IT-termen heet – legacy. Erfenissen van reeds ingekochte en ingerichte computers zijn er niet. Dus is er ook geen sprake van kapitaalvernietiging als ze naar de cloud gaan. Een tweede voordeel is wellicht nog aansprekender: ze hoeven niet zelf hardware (en software) te kopen en dus een voorinvestering te maken, maar halen de computerfunctionaliteit voor een vast bedrag per maand bij één of meerdere clouddienstverlener(s). En als ze dan plots heel snel groeien, kunnen de nieuwe medewerkers meteen aan de slag. Ze hoeven niet eerst weken te wachten tot er voldoende computercapaciteit is ingekocht en geïnstalleerd. Met een paar muisklikken is een nieuwe digitale werkplek beschikbaar. Daar heb je geen IT-afdeling voor nodig. Maar al die voordelen heeft een grote organisatie natuurlijk ook bij het gebruik van de cloud. Je kunt zelfs bedrijfsonderdelen als startup inrichten voor bijvoorbeeld nieuwe projecten. Sterker nog: in de praktijk blijkt dat juist grote organisaties eerder vallen voor de charmes van de cloud dan het midden- en kleinbedrijf.
Reden 5: Mijn data zijn niet veilig Het principe van cloudcomputing is dat je IT-capaciteit deelt met andere gebruikers, waardoor schaalvoordeel optreedt. De dienstverlener kan, dankzij de snelle en betrouwbare communicatienetwerken, datacenters bouwen waar de exploitatie ervan het goedkoopst is (bijvoorbeeld lage ener-
10
Manag’IT
Providers te kust en te keur Er zijn inmiddels heel wat cloudproviders. Voor ieder wat wils, zou je kunnen zeggen. Voor groot en klein. De grote zijn wel bekend: Microsoft, Amazon, Google, SAP, HP, IBM, Rackspace, Equinix, Telecity en Terramark. Daar zitten wel verschillen tussen. Microsoft biedt niet alleen een platform, maar ook Office 365 en CRM online aan; SAP biedt met Business by Design een online ERP-applicatie aan, terwijl HP bijvoorbeeld alleen de infrastructuur in de aanbieding heeft. Maar het is ook interessant te weten welke aanbieders ons land kent. Onderzoeksbureau The METISfiles heeft dit onlangs in kaart gebracht. • SaaS, software as a service, blijkt populair. Van de ongeveer 140 onderzochte bedrijven biedt 77% een SaaS-oplossing aan. De meeste (19 procent) gaan over cloudtelefonie. Ook online werkplekken zijn in trek (19 procent): Snapper, Workvoices, Computication en New Day at Work zijn voorbeelden van innovatieve Nederlandse oplossingen voor samenwerken in de cloud. Het financiële segment (16 procent) omvat een paar namen (Exact, Unit4 en Twinfield) die niet alleen in eigen land bekend zijn, maar ook over de grenzen hun oplossingen aan de man brengen. • H RM (8 procent) en CRM (7 procent) zijn minder populair bij Nederlandse cloudaanbieders. PerfectView in CRM en Raet (YouForce) in HRM zijn evenwel aansprekende en succesvolle Nederlandse voorbeelden. • Nederlandse aanbieders van PaaS (platform as a service) moet je met een lantaarntje zoeken. The METISfiles vond Cordys, Mendix, SaaSplaza en Servoy. Die zijn ook internationaal actief. • W at IaaS (Infrastructure as a service) betreft: 20 procent van de onderzochte bedrijven biedt opslag en rekenkracht aan in de cloud. Onder hen spelers als KPN, InterXion en Ocom. Greencloud is een innovatieve nieuwkomer. Het onderzoeksbureau verwacht dat het aantal Nederlandse cloudaanbieders sterk gaat groeien, naarmate meer Nederlandse organisaties (delen van) hun automatisering op afstand gaan zetten. HRM, CRM en Document Management zijn in opkomst als categorie. The METISfiles verwacht dat IaaS-, communicatie- en online werkplekaanbieders in de toekomst zullen samensmelten tot een bredere infrastructuur categorie. Dit onderzoek is online beschikbaar op de website van The METISfiles.
gieprijzen) en goedkoop, kundig personeel voorhanden is. De cloudtechnologie zit zo in elkaar dat gegevens verspreid over meerdere servers kunnen worden opgeslagen en toch bij elkaar horen. Dan kan het inderdaad gebeuren dat (een deel van de) data soms in Amsterdam staan, soms in Rusland, en soms in India, om maar wat locaties te noemen. Als dat niet wenselijk is, moet je met de dienstver-
lener afspraken maken welke data het land niet mogen verlaten. Er zijn technologieën beschikbaar die automatisch een schifting in data kunnen maken zodat de veilige data op een speciale server blijven staan. Veiligheid is overigens een rekbaar begrip. Want zeg nou zelf: is uw eigen serverruimte (of datacenter) volledig waterdicht? Juist de clouddienstverleners hebben op dit punt knappe
koppen in dienst die dag in dag uit bezig zijn de boel maximaal te beveiligen. Hun voortbestaan hangt immers af van een adequate beveiliging.
Reden 6: Privacy en cloud gaan niet samen Voor een Nederlands bedrijf geldt de Nederlandse wet; ook al doet hij zaken met een Amerikaanse onderneming, zoals Amazon, Microsoft of Google. De Wet Bescherming Persoonsgegevens is ook hier van toepassing. Gegeven de Patriot Act en NSA-activiteiten schrikken veel organisaties terug om hun data toe te vertrouwen aan een Amerikaanse cloudprovider. Maar de providers hebben zich verbindend verklaard aan de Europese Data Privacy richtlijn (officieel Richtlijn 95/46/EC genoemd). Die is bedoeld om natuurlijke personen te beschermen als het gaat om verwerking van persoonsgegevens in de Europese Unie. Via de Safe Harbor Principles is een koppeling gemaakt tussen Amerikaanse bedrijven en de Europese Richtlijn. Je hoeft alleen te vragen of de dienstverlener over de benodigde certificaten beschikt. Het College Bescherming Persoonsgegevens acht doorgifte van persoonsge-
De praktijk leert dat tachtig procent van de IT-capaciteit een groot deel van de tijd niet wordt gebruikt.
gevens naar de VS mogelijk als de dienstverlener zo’n Safe Harbor certificaat heeft. Overigens heeft de Nederlandse overheid ook vergaande bevoegdheden om bedrijfsinformatie in te zien.
Reden 7: Cloud zorgt voor een lock-in bij mijn leveranciers Met cloudcomputing is lock-in weer helemaal terug: het met huid en haar overgeleverd zijn aan één leverancier. Toch hoeft dit niet het geval te zijn. Gewoon een kwestie van goede afspraken maken over dataportabiliteit. Bovendien doen veel bedrijven niet met slechts één dienstverlener zaken.
Dus is het toch al nodig om goede afspraken te maken met de verschillende ICT-leveranciers.
Reden 8: Mijn IT-afdeling wil niet Alles is politiek: ook cloudcomputing. Natuurlijk zijn er medewerkers op de IT-afdeling die voor hun baan vrezen als het bedrijf een clouddienstverlener inschakelt. Eén van de redenen om naar de cloud te gaan, is te besparen op operationele kosten van IT. Daarmee is het niet zo dat al het ITwerk verdwijnt; het verplaatst zich. Dat de IT-afdeling dwars ligt, is misschien wel juist een reden om naar de cloud te gaan. #
Larry Ellison kwam in de jaren negentig met de leuze ‘the network is the computer’. Hij probeerde van 1995 tot 2000 de netwerkcomputer (NC) op elk bureau te krijgen. Een apparaat zonder harde schijf dat is verbonden met een server waarop applicaties draaien en data worden opgeslagen. De term NC is echter nooit echt aangeslagen.
Manag’IT
11
# Security versus Privacy
De waarde van data en processen is bepalend Bescherming van persoonsgegevens in de cloud is een kwestie van goede encryptie gebruiken en daar afspraken over maken met de dienstverlener(s). De cloudprovider moet persoonsgegevens immers adequaat beveiligen. Maar elke gang naar de cloud begint met vast te stellen welke waarde data en bedrijfsprocessen hebben, aldus Martin Visser, securityspecialist bij Sogeti.
H
et gesprek vindt buiten plaats. Niet omdat Visser bang is voor door de NSA in het kantoor geplaatste microfoons, maar gewoon omdat het mooi weer is. Visser is wel iemand van de heldere uitspraken. “Cloud computing heeft veel voordelen. Maar het is een hele weloverwogen keuze. Zo lijkt het me geen goed idee alle gegevens van de GBA (Gemeentelijke Basis Administratie) in de cloud te stoppen. Dat is dan de uit-
12
Manag’IT
komst van een gedegen afweging.” “Op een aantal te nemen maatregelen heb je slechts indirect invloed. Bijvoorbeeld over waar de data staan opgeslagen. Cloud is zo’n paraplubegrip. Daar kan een veelvoud aan partijen achter schuil gaan. Je kunt een contract hebben met provider A en je denkt alleen maar met deze partij van doen te hebben. Maar die kan op zijn beurt weer afspraken hebben met dienstverlener B, die vervolgens data doorsluist naar C, omdat die nog
goedkoper data kan opslaan. Je denkt dat de gegevens in een rekencentrum in Amsterdam staan, maar in werkelijkheid staan ze ergens in China. Daarvan moet je je bewust zijn. Dus moet je vantevoren afspraken maken over waar jij vindt dat de data opgeslagen moeten zijn.”
Risicoanalyse maken De cloudproviders, zo is zijn ervaring, hebben de focus geheel gericht op ‘operational excellence’. “Maar voor
‘Je kunt een contract hebben met provider A, maar die kan op zijn beurt weer afspraken hebben met dienstverlener B, die vervolgens data doorsluist naar C’ Martin Visser, securityspecialist: “Het begint allemaal met een goede risico-analyse.”
Zo laat je mensen veilig binnen Hoe zorg je ervoor, dat alleen bevoegden gebruikmaken van jouw cloudomgeving? Identity Access Management is de portier én tevens gastheer. Hieronder zes zaken die aandacht verdienen voor een veilig gebruik van de cloud. 1. Maak een grondige analyse van de autorisatiestructuur. Het kan handig zijn om deze te hergebruiken over meerdere diensten heen. Baseer deze op de rollen die medewerkers vervullen binnen de organisatie. 2. Niet alleen uw eigen organisatie moet regelen dat de juiste personen toegang hebben tot de juiste applicaties en gegevens. Ook de cloudprovider moet dat doen. De dienstverlener moet beschikken over een autorisatiebroker die authenticatie en autorisatie volgens uw regels toepast. 3. Zorg dat de cloudprovider een overzicht kan geven van uitstaande autorisaties. Rapportages kunnen nodig zijn om controlerende instanties inzicht te geven. Dit geldt natuurlijk ook voor het doen van audits op (gevoelige) transacties. Kies voor een standaard-oplossing. Zoals WS-Federation/ WS-Trust/SAML, of OpenID/OAuth. 4. Deze protocollen zorgen voor de communicatie tussen
een bedrijf zijn er veel meer zaken die een rol spelen. Zo zijn zij verplicht zorgvuldig om te gaan met persoonsgegevens. Moeten ze helder hebben waarvoor ze die willen gebruiken en op tijd weer vernietigen. De wetgever is op dit punt niet altijd consequent. Volgens de ene richtlijn moet je data na gebruik meteen verwijderen, ter-
eindgebruikers, brokers en doelsystemen. WS* komt veelal voor in een enterprise context, terwijl O* het meest te vinden is in de wereld van de eindgebruikers. Een goede dienstverlener ondersteunt beide. Deze protocollen maken het ook mogelijk single-sign-on toe te passen. 5. Door de standaardisering kunnen interne applicaties overweg met externe cloudgebaseerde applicaties. Dat geeft de gewenste flexibiliteit. Je moet er dan wel zeker van zijn dat de applicatie geschikt is om de diensten van de broker te gebruiken. 6. Controle aan de poort (portier) is niet voldoende. Zorg er eveneens voor dat de authenticatiegegevens ook in de cloud beschikbaar zijn (gastheer). Mensen maken zelden gebruik van één applicatie. Een actie op een website leidt vaak tot een andere actie die van een andere applicatie gebruikmaakt. Dan is het van belang dat zowel de digitale identiteit bekend is als de bijbehorende authenticatie en autorisatie. Daarmee weet de applicatie wat iemand wel en niet mag doen.
wijl je die voor een andere wet juist weer nodig hebt. Het zou een verademing zijn als de overheid hier wat harmonie in brengt.” Dat betekent bijvoorbeeld dat je in het contract laat opnemen welke beveiligingsmaatregelen de dienstverlener treft, ook ten aanzien van persoonsgegevens. De providers zijn over
het algemeen terughoudend met het verstrekken van welke maatregelen zij treffen. Enerzijds om hun acties geheim te houden. Anderzijds om te voorkomen dat de concurrent er weet van krijgt. Zij verwijzen dan veelal naar algemene beveiligingsmaatregelen en naar certificeringen. Of dit afdoende is, hangt af van de >>
Manag’IT
13
# Security versus Privacy Onderzoek: security belangrijkste reden om de cloud in te gaan Uit het onderzoek onder IT-professionals ‘Techinsight Report 2013: Cloud Services. Now What?’ dat in opdracht van CA Technologies is uitgevoerd, blijkt dat de respondenten vinden dat cloudcomputing volwassen is geworden. Zij geven aan dat zij betere resultaten halen, processen sneller kunnen invoeren en lagere kosten hebben dan zij aanvankelijk hadden verwacht bij het afnemen van één of meerdere clouddiensten. De cloud overtreft de verwachtingen. De hoofdreden van Europese organisaties is om de totale IT-kosten te verlagen, terwijl de respondenten in de VS voornamelijk de toenemende snelheid van innovatie en de verbeterde IT-prestaties,
aard van gegevens en processen die bij de dienstverlener zijn ondergebracht. Als het echt om gevoelige informatie gaat, zou de dienstverlener onder geheimhouding inzicht moeten geven. Ook moet de dienstverlener toestaan dat de opdrachtgever regelmatig controleert of de beveiliging goed wordt uitgevoerd. Ook hier zal de cloudprovider tegensputteren.
Waardebepaling “Het begint allemaal met een goede risicoanalyse”, zegt Visser. “Zo moet je nagaan welke waarde data en processen hebben voor jouw organisatie. Vaak denken mensen alleen aan data bij de cloud. Ook processen doen ertoe. Denk aan het Bureau Krediet Registratie. Veel partijen, zoals woningcorporaties en energiebedrijven raadplegen deze instantie. Dat is een gestuurd proces. Als je dat in de cloud zet, weet je niet of het allemaal zo loopt zoals het hoort te lopen”, vindt Visser. Als het om data gaat, moet je vragen beantwoorden als: hoe vaak heb je ze nodig, zijn ze geheim (voor wie), speelt integriteit een rol? “Bij die waardebepaling gaat het niet om technische uitdagingen, maar om de waarde die ze voor de business heb-
14
Manag’IT
schaalbaarheid en flexibiliteit als redenen noemen. Op het vlak van beveiliging toont het onderzoek tegenstrijdige resultaten. 98 procent vindt dat de cloud op dit terrein zijn verwachtingen overtreft. Ongeveer dertig procent noemt security een minder groot probleem dan aanvankelijk gedacht, en gaf beveiliging juist op als een primaire reden dat cloudcomputing succesvol is in hun organisatie. Toch zet 48 procent security juist op de eerste plaats als reden om een applicatie niet naar de cloud te verplaatsen. Eigenlijk precies zoals Visser van Sogeti zegt: “Niet alles is geschikt voor de cloud. Maak steeds een zorgvuldige risicoanalyse.”
ben. Je moet niet praten in technische risico’s, maar in bedrijfsrisico’s.” Wat gebeurt er als de gegevens worden doorverkocht aan een andere partij? “Dat is lastig te controleren. En soms gaat het niet om de gegevens zelf, maar om de context. Het kan voor een organisatie bijvoorbeeld interessant zijn om te weten in welke postcodes veel wintersportvakanties worden geboekt. Dat zijn dan volkomen geanonimiseerde gegevens. Tegelijkertijd kunnen die ook heel waardevol zijn”, stelt Visser. Natuurlijk hebben organisaties voor-
delen bij een cloudstrategie. “Maar je moet op strategisch niveau alle risico’s afwegen. Daarbij gaat het altijd om prijs, kwaliteit en de mogelijke schade die je loopt als de provider toch niet de juiste beveiliging van data, processen en persoonsgegevens weet te realiseren. Er is geen ‘one size fits all’. Daarom vinden we het verstandig om de cloud als vertrekpunt te nemen. Maar nooit zonder een gedegen risico-analyse. Want dat dwingt je om na te denken over de risico’s die je loopt en hoe je die kunt afdichten.” #
# Cloudcomputing
Cloud ABC Wie wil meepraten over cloudcomputing zal op zijn minst een beetje moeten snappen wat al die afkortingen betekenen. Zonder te vervallen in zwaar technische beschrijvingen, volgt hier een handzame opsomming van de gebruikte begrippen.
Cloud Waar komt die naam eigenlijk vandaan? Oorspronkelijk uit de telefoniewereld. Je hebt een telefoontoestel dat verbonden is met een netwerk. Wie een nummer draait, hoort op een gegeven moment de gekozen persoon praten. Wat er precies in het netwerk gebeurt, is niet bekend. De route kan per keer verschillen. Daarom tekenden de technici een wolkje tussen de apparatuur die de verbinding tot stand brengt. Ook bij cloudcomputing is niet precies bekend waar data zijn opgeslagen. Waar precies de berekeningen plaatsvinden. Dat kan op een server in Amsterdam zijn, maar evengoed in Dublin of Katmandu. Gewoon in de cloud, dus!
Cloud Service Architecture (CSA) Een ontwerp of architectuur waarin toepassingen of componenten van toepassingen als services vanuit de cloud beschikbaar worden gemaakt voor andere toepassingen.
Cloudprovider Aanbieder van clouddiensten, zoals Amazon, Microsoft, Terramark of één van de tientallen anderen.
Hybride platform Een deel van de automatisering draait in het eigen datacenter, een deel bij een cloudprovider. Het is zaak het beheer van beide omgevingen in één systeem onder te brengen.
‘Daarom tekenden de technici een wolkje’
twee. Waarbij je niet alleen een server huurt van de dienstverlener, maar eentje die helemaal is ingeregeld. Je hoeft niet meer zelf de middleware te installeren en te onderhouden.
Private cloud Een intern datacentrum dat zich gedraagt als een cloudomgeving achter de eigen firewall. Uitsluitend voor intern gebruik (meestal spreekt men hier van een interne cloud). Dit kan ook een cloud-omgeving in het datacenter van een dienstverlener zijn. Die alleen toegankelijk is voor de organisatie dat daarop een abonnement heeft.
Public cloud Een cloudomgeving die open staat voor algemeen gebruik door organisaties en individuen. Denk aan Amazon Web Services. Wordt ook wel de externe cloud genoemd.
SaaS
IaaS Infrastructure as a Service. Daarbij huur je servers en storage bij een aanbieder. Je maakt zelf uit welke software je erop draait. De dienstverlener zorgt ervoor dat je altijd over de juiste capaciteit kunt beschikken.
Middleware Een verzameling van programmatuur en afspraken die het mogelijk maakt om afzonderlijke applicaties met elkaar te laten praten.
PaaS Platform as a Service. Dit is eigenlijk een combinatie van bovenstaande
Software as a Service. Je installeert niet zelf de software binnen het eigen bedrijfsnetwerk, maar huurt de functionaliteit bij een dienstverlener. De SaaSprovider zorgt voor installatie, onderhoud en beheer; de gebruiker benadert de software via internet. Het meest bekende voorbeeld is wel Salesforce.com.
Vendor lock-in Een verschijnsel waarbij het vrijwel onmogelijk is om zonder (grote) financiële gevolgen het contract bij een dienstverlener op te zeggen om de functionaliteit in eigen huis terug te halen. Of over te brengen naar een andere dienstverlener. We kennen dit van vroeger toen fabrikanten servers en applicaties zo maakten dat ze niet overweg kunnen met andere hard- en software. We komen dat nu weer tegen in de cloudwereld. Oppassen dus. #
Manag’IT
15
# Ohpen
Bank in de cloud
Ohpen is de eerste bank ter wereld in de cloud. Ceo Chris Zadeh van Ohpen zegt het met enige trots. Dat de onderneming de diensten van Amazon gebruikt, past bij het credo van de organisatie: Simpel en verantwoord. “Door de cloud te gebruiken, kunnen wij ons volledig richten op de diensten aan onze klanten. Geen gedoe meer met hardware en het aan elkaar knopen van toepassingen.”
Z
adeh vertelt dat hij in 2000 is begonnen te werken bij de toen net opgerichte BinckBank; hij was één van de eerste personeelsleden. Hij was verantwoordelijk voor alle applicaties waarmee klanten konden handelen in aandelen. “Bijna iedere bank heeft applicaties als een backoffice, een datawarehouse, CRM, nog wat andere systemen en veel hardware. Om het nog wat ingewikkelder te maken: veel systemen draaiden onder verschillende besturingssystemen. Linux voor de backoffice, Windows voor de frontoffice, misschien hier en daar nog een Macintosh met Apple en ook nog eens verschillende databases. Een groot en compleet bord spaghetti dus. Dan had je wat middleware om ervoor te zorgen dat de websites met de backoffice kunnen praten. Als je moest uitbreiden, bestelde je nieuwe hardware. Vervolgens moest je drie maanden wachten op de levering waarna installatie en configuratie kon beginnen. Een heel langdurig gedoe. Maar zo deed iedereen het, en wij dus ook bij Binck.” Hij zegt dat BinckBank de eerste twee jaar de risee van de financiële wereld was. Er waren nauwelijks klanten. “Als er al iemand belde, dan was het een headhunter met de vraag of het geld al op was en of we geen trek hadden in een
16
Manag’IT
baan bij een echte bank”, lacht Zadeh. Maar toen begon het ineens te lopen. En het applicatielandschap breidde maar uit. “Big data was bij ons al aan de orde voordat de term was uitgevonden. Vijftig koersverschillen per seconde; 800.000 producten in de database; ga er maar aan staan. De ITafdeling groeide in razendsnel tempo naar 150 mensen.” In 2007 kocht Binckbank Alex van de Rabobank. Oprichter Kalo Bagijn verliet de onderneming. Hij was er klaar mee. Gelukkig had ik ook aandelen in Binck en kon ik me veroorloven een jaar vrij te nemen om me te bezinnen op een volgende stap. Daarnaast wilde ik wel graag voor Kalo werken, maar niet voor zijn opvolger.”
Diepzeeduiken Hij is fervent diepzeeduiker – Zadeh wijst met een handgebaar naar het dressoir achter hem waar een scala aan boeken over zeebewoners ligt – en trok de wereld rond. Van de ene mooie duikplek naar de volgende. Dat gaf hem de rust na te denken over de afgelopen jaren en de slotsom was dat het anders moest kunnen. Hij loopt naar het whiteboard. “Kijk”, legt hij uit, “een aandelenbank is eigenlijk alleen actief van tien voor negen tot tien over negen ’s morgens, omdat de beurs om negen uur opent. Dan is ie-
dereen online en draaien de systemen op volle toeren. Daarna zakt het als een plumpudding in elkaar. Het hele serverpark is ingericht op dat piekmoment. Voor de rest van de dag staat het vrijwel nutteloos te zoemen. Dat is bij vrijwel alle banken zo. Ja, je hebt wel meer momenten dat het computerpark hard moet werken, bijvoorbeeld als de rentes moeten worden berekend voor alle rekeninghouders, maar het merendeel van de tijd staat het niks te doen.” Eigenlijk, zo tekent hij een grafiek op het bord, zou je een computeromgeving willen hebben die meebeweegt met de vraag naar rekenkracht. Op- en afschalen als het nodig is. “Toen las ik een boek over Amazon. Jeff Bezos, de oprichter en CEO van Amazon, had natuurlijk hetzelfde probleem. Hij had de grootste online winkel gebouwd, maar al die computers waren vooral aan het werk in de periode voor Kerst. Dat bracht hem tien jaar geleden al op het idee om die servers te verhuren aan anderen als ze toch geen werk deden voor Amazon. Zo is de eerste cloudprovider ontstaan. En dat was precies waarnaar ik op zoek was.”
Ontwikkelteam Die ontdekking zette hem op het spoor van Ohpen. “Elke bank heeft >>
‘Waar we bij Binck 150 IT’ers nodig hadden om de automatisering te doen, heb ik er nu genoeg aan acht’
Ceo Chris Zadeh: “Wij kunnen nu voor 500.000 klanten de rente berekenen in 10 minuten.”
Manag’IT
17
# Ohpen software in de kernsystemen die minstens 25 jaar oud is. Per definitie in een taal geschreven die meer hardware nodig heeft dan wanneer het systeem zou zijn geschreven in een moderne taal. Dezelfde functionaliteit, maar met minder hardware”, gaat Zadeh verder. Bovendien wilde hij van de ‘spaghetti’ af. De banksystemen zijn gegroeid door er steeds wat aan vast te plakken, met alle communicatieproblemen die dat met zich meebrengt. Afzonderlijke silo’s met middleware aan elkaar geklonken. “Het is veel nuttiger één systeem te hebben waarin alle functionaliteit is opgenomen die je nodig hebt, draaiend op één database. Dat is veel goedkoper te onderhouden en werkt gewoon veel sneller. En als het dan automatisch kan op- en afschalen, dan kan dat tientallen miljoenen euro’s op jaarbasis schelen.” Dus belde hij zijn maatjes van de ontwikkelafdeling van Binck. “Nou, ze wilden wel in het avontuur stappen als er genoeg geld was om de salarissen te betalen de eerste jaren. De financiering was rond, dus kon ik een ontwikkelteam samenstellen met mensen in wie ik vertrouwen had. Ook het vroegere hoofd IT van Binck, een goede vriend van me, heb ik erbij weten te halen. En het idee voorgelegd om ons systeem te laten draaien in de Amazon-cloud. Daar wilde hij eerst niks van weten. Hij wilde ‘in control’ zijn. Maar toen ik hem vroeg hoe een normale werkdag eruit zag, kwam hij met allerlei bezigheden die alleen maar met de dagelijkse operatie te maken hadden, niet met de verdere ontwikkeling van het kernsysteem en nadenken over vernieuwing. Hoezo ‘in control’, vroeg ik hem.”
Vele malen sneller Een proefaccount bij Amazon trok zijn vriend over de streep. Ze hebben in de ontwikkeltaal .NET een nieuw banksysteem gebouwd en het onderge-
18
Manag’IT
bracht in de cloud. “Waar we bij Binck 150 IT’ers nodig hadden om de automatisering te doen, heb ik nu genoeg aan acht mensen. Want Amazon regelt het meeste. Vroeger had ik een apart firewallteam; dat heb ik nu niet meer nodig. En alles gaat vele malen sneller. Gewoon omdat we de software opnieuw hebben geschreven in een moderne taal. En omdat Amazon zorgt voor de snelste hardware. Wij kunnen nu voor 500.000 klanten de rente berekenen in tien minuten. En als het twintig minuten duurt, dan weten we dat, want we hebben zelf een monitoringsysteem gebouwd. Dan gaan we na waarom het zo lang duurt, sporen de fout op, en herstellen dat.” Ook is hij bijzonder te spreken over de OTAP-straat (Ontwikkeling, Test, Acceptatie en Productie) in de cloud. “Dat moet in de bankwereld altijd heel netjes gebeuren, terecht. Het is altijd een heel gedoe. Maar nu niet meer. Ik neem een snapshot van de omgeving, en dan heb ik meteen een testomgeving. En Amazon zorgt ervoor dat ik servers heb om die omgeving te draaien. Als we klaar zijn, dan heb ik die servers niet meer nodig en betalen we er ook niet voor.”
“Wij doen het beleid, stellen de procedures vast, richten de controls in en regelen de rapportages. Wij doen de hosting, maar gebruiken hun infrastructuur. Die op hun beurt weer voer zijn voor beleidsaanpassingen. We worden niet meer afgeleid door de dagelijkse operatie; 80% daarvan doet Amazon. Wij kunnen ons richten op de regie en het beleid. Het systeem is veel sneller, kosteneffectiever en inzichtelijker.” Of hij zich geen zorgen maakt over beveiliging? “Nee, dat blijft jouw eigen verantwoordelijkheid. Gewoon alles goed encrypten. Waarbij Amazon bovendien gespecialiseerd is in fysieke en operationele beveiliging van zijn datacenters. Daar kom je echt niet zomaar binnen. En Prism? Eigenlijk staat dat los van de cloud, want vergeet niet: de overheden hebben sowieso al heel veel bevoegdheden om boekhoudingen en berichtenverkeer in te zien. De ACM (Autoriteit Consument & Markt) kan elk moment binnenvallen en de complete boekhouding, alle computers, noem maar op, meenemen voor onderzoek. De cloud is echt niet per definitie onveiliger dan een eigen datacenter; misschien is het wel andersom.” #
Wat is Ohpen? Ohpen is in 2009 opgericht en heeft als missie de financiële wereld te veranderen. Ohpen heeft een volledig geautomatiseerd online platform ontwikkeld voor het uitvoeren, administreren en rapporteren van financiële diensten en (beleggings)producten. Ohpen stelt dit platform ter beschikking aan beleggingsinstellingen, pensioenfondsen, banken en overige financiële instellingen die tegen de laagst mogelijke kosten gebruik willen maken van de laatste state of the art -technologieën. Robeco heeft zijn werk bij Ohpen ondergebracht. Maar ook particulieren kunnen terecht bij Ohpen. Particuliere beleggers en bedrijven kunnen via dit platform vanaf 1 euro op een simpele en verantwoorde manier direct beleggen in indexfondsen. In 2012 heeft een vakjury de Gouden Stier toegekend aan Ohpen voor de beste beleggingsoplossing om vermogen voor later op te bouwen. Ohpen heeft circa 60 medewerkers in dienst.
# Column
Security is makkelijk, vrijheid is moeilijk Menno van Doorn
Een maand geleden was ik genodigde, zoals dat zo mooi heet, op een conferentie over cybersecurity. De kamer was gevuld met kolonels in ornaat, procureurs die digicriminelen aan de schandpaal nagelen, een paar kennisinstituten en vertegenwoordigers van de Tweede Kamer. Toen een Tweede Kamerlid een kolonel vroeg wat het leger doet om ons te beschermen in geval van een cyberaanval, was het korte antwoord ‘niets’. Daarop volgde een warrige discussie met ogenschijnlijke nuances op het woord niets. Bij het weggaan schudde het Tweede Kamerlid de kolonel de hand en voegde eraan toe: ‘Nog veel succes, wat u ook mocht besluiten over het wel of niet verdedigen van ons land’. Dit alles voltrok zich vlak nadat één van de aanwezigen zich had beklaagd over de inhoud van het debat. Hij dacht dat het zou gaan over de balans tussen beveiliging en vrijheid. Maar we hadden het alleen over de bescherming tegen digicriminelen gehad. Geagiteerd voegde hij er aan toe: ‘Security is makkelijk, vrijheid is moeilijk’. Hoe moeilijk kan het zijn denk ik dan. Je neemt een rugzak en trekt erop uit in de vrije natuur. Niemand die je wat kan maken en zo laat je de vrijheid in al zijn glorie op je inwerken. Wie op het internet aan de wandel gaat, bijvoorbeeld in de cloud, waande zich tot voor kort hooguit economisch in het vrijheidskruis getast. Als je surft, loopt er een colporteur mee die notities maakt en die even later aanklopt met wat gerichte aanbiedingen. Nu duidelijk is dat de cloud ook structureel wordt besnuffeld door de veiligheidsdiensten, beginnen sommigen ongerust te worden. Vooral de marketing- en
reclamesector maakt zich grote zorgen. Eén van de grootste in zijn soort, de WPP, met een omzet van 11 miljard euro, is verontrust. Voornamelijk vanwege de eigen boterham. Als iedereen een paar extra slotjes op de browser of op de modem gaat zetten, kan dat miljarden schade veroorzaken aan inkomsten voor de ‘profile-industrie’. Zelf doe ik zo mijn dingetjes om het een beetje lastiger te maken om me te volgen, maar liever wacht ik op de quantumcomputer die het voor me gaat doen. Als dat ding de lucht in gaat, zijn al deze issues in één klap verdwenen. Want met quantumrekenkracht krijgen we ook quantumencryptie erbij. Uit betrouwbare
bron weet ik dat Justitie zich zorgen maakt over deze ontwikkeling. Internet wordt dan een fort met een slot dat geen enkele politieagent meer kan kraken. En dat is goed nieuws voor mijn moeder. Die vroeg laatst nog een shredder voor haar verjaardag om documenten mee te vermalen. Ik vroeg haar wat ze dacht te moeten gaan shredden. Ze is geboren in de oorlog, misschien ligt daar een verklaring. Of heeft ze nog een oud testament liggen dat ik niet in mag zien, brieven van een aanbidder, een buitenechtelijk kind van mijn vader? Het antwoord bleef uit. Ik heb haar toen maar een lekker luchtje gegeven. #
‘Internet wordt dan een fort met een slot dat geen enkele politieagent meer kan kraken’ Manag’IT
19
Naar de
cloud?
Sogeti helpt. Meer snelheid, flexibiliteit en schaalbaarheid? Sogeti begeleidt ook uw organisatie naar de cloud. Met kostenbesparingen tot 50%. Meer weten? Mail
[email protected].
Uw betrouwbare partner in de cloud.