Go4Cloud PwC als gids in de cloud

www.pwc.nl

Go4Cloud PwC als gids in de cloud April 2012

Bij PwC in Nederland werken ruim 4.600 mensen met elkaar samen vanuit 12 vestigingen en drie verschillende invalshoeken: Assurance, Tax & HRS en Advisory. We leveren sectorspecieke diensten en zoeken verrassende oplossingen, niet alleen voor nationale en internationale ondernemingen, maar ook voor overheden en maatschappelijke organisaties. PwC rms leveren sectorspecieke diensten op de gebieden Assurance, Tax & HRS en Advisory om waarde toe te voegen voor klanten. Meer dan 169.000 mensen in 158 landen in rms binnen het PwC-netwerk delen hun gedachten, ervaringen en oplossingen om nieuwe perspectieven en praktische oplossingen te ontwikkelen.

2

PwC

Voorwoord

We leven in het informatietijdperk en innovatie is een belangrijk speerpunt voor de economische ontwikkeling. Maar ook voor het betaalbaar houden van zorg, onderwijs en bestuur. Veel organisaties worden in hun ontwikkeling beperkt door hun IT-mogelijkheden, met een eigen netwerk, eigen maatwerk, eigen interfaces en ook een eigen IT-organisatie. De manier waarop we onze business willen doen en onze processen willen inrichten vraagt om een radicale verandering. Een hedendaagse kennisorganisatie moet sneller informatie kunnen delen dan de concurrentie in de rest van de wereld. De IT-processen en -systemen moeten daarom altijd en overal voor eigen medewerkers, partners en stakeholders toegankelijk, veilig en robuust zijn, en mee kunnen ademen met veranderingen in de dynamiek en de omvang van de organisatie. Gelukkig is de informatietechnologie die dit mogelijk maakt nu voorhanden. Met cloud computing is een evolutionaire stap gezet in het automatiseringsproces. De cloud biedt ondernemingen en instellingen de mogelijkheid om de automatisering in zijn geheel uit te besteden, en services, databeheer en capaciteit via het internet te gebruiken als daar behoefte aan is. De zakelijke gebruiker incasseert daardoor kostenvoordelen en vermindert zijn afhankelijkheid van leveranciers en hun applicaties en platformen. Voor de providers is het zowel een kans als een uitdaging. Bestaande marktaandelen worden in de cloud herverdeeld en het marktbereik wordt groter. Maar de cloud vraagt van bestaande ITbedrijven ook om een ander businessmodel en trekt veel nieuwe aanbieders aan. Gezien deze ontwikkelingen is het logisch dat cloud computing hét digitale buzzword van het moment is. Iedereen heeft het erover, iedereen wil erin. Maar hoe? Wanneer bent u er klaar voor? Moet gekozen worden voor een Big Bang of een geleidelijk groeipad? Bent u veilig in de cloud? Voldoet u straks wel aan alle van toepassing zijnde wetten en regels, hoe regelt u de assurance en governance? En: hoe houdt u de regie over al deze vraagstukken? Om u bij het beantwoorden van deze kernvragen op weg te helpen, hebben we deze publicatie samengesteld. Het zet op een leesbare wijze neer hoe de cloud voor uw organisatie waarde kan toevoegen. Maak kennis met een fenomeen dat de komende jaren nog heel veel discussies, energie en innovaties zal losmaken. Als PwC zijn wij graag uw gids in de cloud.

Suzanne Keijl, Innovation Leader van PwC Nederland

Go4Cloud | PwC als gids in de Cloud 3

4

PwC

Inhoudsopgave

Veel meer dan een hype ‘Wat is cloud computing en met welke vragen wordt u geconfronteerd?’

6

In de cloud: zakelijke gebruiker ‘Wat betekent cloud computing voor de gebruiker van deze diensten?’

8

In de cloud: de provider ‘Wat betekent cloud computing voor aanbieders die een nieuwe business model moeten bouwen?’

10

Denk nu al na over de volgende stap ‘Nu nog niet overstappen, maar wel bewust anticiperen in uw huidige (IT-)strategie’

12

Het cloudantwoord van KPN Corporate Market ‘Provider KPN Corporate Markets vertelt over haar ervaringen met cloud computing’

16

Klaar voor de cloud? ‘PwC hanteert Readiness4Cloud als een handige toets om de gereedheid te testen’

20

SMT Shipping in the cloud ‘SMT vertelt over IT strategie, groei en gebruik van cloud computing vanuit de gebruiker’

24

Veilig in de cloud ‘Wat komt er kijken bij securityvraagstukken en cloud computing?’

26

PwC uw gids in de cloud ‘Een greep uit de ondersteuning die PwC u kan bieden’

30

Maak kennis met onze cloud gidsen ‘Contacten bij PwC per industrie op een rij’

33

Go4Cloud | PwC als gids in de Cloud 5

Veel meer dan een hype Cloud computing voegt nieuwe dimensie toe aan het IT-landschap Cloud computing is méér dan een hype, bedacht en ontwikkeld door spitsvondige IT-ers die een volgende generatie producten willen verkopen. Veel meer dan dat zelfs. Het in de voor iedereen bereikbare internetwolk plaatsen van databeheer, applicaties, ontwikkeltools en infrastructuur, is een logische volgende stap in de virtualisatie van het IT-landschap. De bestaande constellatie wringt en legt technologisch onnodige beperkingen op. Met de ontwikkeling van netwerkorganisaties en de snelle doorbraak van mobiel internetten, wordt het bestaan van al die ommuurde automatiseringskoninkrijkjes meer en meer als een belemmering ervaren. Elke organisatie van enige omvang beschikt wel over een eigen infrastructuur. Eigen legacysystemen, een eigen serverpark, een eigen IT-staf, en vooral: een wirwar aan interfaces om de lappendeken van systemen aan dat van zakenpartners en andere stakeholders te kunnen koppelen. Het voor iedereen bekende gevolg is dat het beheer en het uitwisselen van informatieprocessen vaak suboptimaal is. De ontwikkelkosten zijn te hoog en de doorlooptijden te lang om de gebruikte applicaties en systemen mee te kunnen laten bewegen met de dynamiek van organisatie en keten. Bovendien zijn beslissers door eerdere slechte ervaringen huiverig om hun organisatie bloot te stellen aan weer een kosten- en tijdverspillend implementatietraject. De innovatie van automatiseringsystemen blijft daardoor achter.

6

PwC

Dat deze structuur niet meer past in de huidige ontwikkelfase van het informatietijdperk is voor velen al langer duidelijk. Maar cloud computing voegt nu een virtuele dimensie toe aan het IT-landschap. Door de mogelijkheid om het beheer, het onderhoud, en het opschalen en ontwikkelen van de automatisering geheel of gedeeltelijk in de cloud uit te besteden, worden de spelregels voor een actief en hedendaags informatiebeheer anders en de marktverhoudingen opgeschud. De voordelen zijn duidelijk. Voor gebruikers komen de ICT-kosten in de cloud op den duur lager uit. Ook kunnen ze de gevraagde capaciteit eenvoudig(er) aanpassen aan hun behoeften en worden nieuwe technologieën sneller ingepast. Voor leveranciers geldt dat hun time to market wordt bekort en dat het hele klantenpotentieel de komende jaren opnieuw verdeeld zal worden. Gezien deze vele aantrekkelijkheden moet elk bedrijf en elke instelling wel een eigen cloud-agenda ontwikkelen. De informatiebehoefte is dan ook groot. Seminars over het onderwerp worden druk bezocht en publicaties goed gelezen.

Maar eenmaal geconfronteerd met de veelheid aan keuzemogelijkheden en de diep in de organisatiestructuur en processen ingrijpende consequenties van een overstap naar de cloud, haken veel potentiële gebruikers alsnog af en maken aanbieders een pas op de plaats. Ze vrezen te verdwalen in de enorme complexiteit aan (toepassing)mogelijkheden of laten zich afschrikken door de extra securitymaatregelen die nodig zijn.

administratieve organisatie (en de wijze waarop deze wordt gecontroleerd) tegen het licht gehouden. Daarnaast moet iedereen in en buiten de organisatie worden overtuigd van de mogelijkheden, zodat ze daar ook naar gaan handelen.

Om dat alles op een beheersbare wijze te kunnen realiseren is een roadmap nodig die met al deze zaken (en meer) rekening houdt. En de beste route naar de cloud verschilt per gebruiker en aanbieder.

Daar komt bij dat veel partijen de fout maken om het uitsluitend als een ITuitdaging te zien. Terwijl het timen van het transitieproces (kies ik voor een Big Bangscenario of voor een geleidelijke overgang?) en de selectie van meest geschikte cloud oplossingen en providers, bepalend kan zijn voor het toekomstige onderscheidende vermogen van de organisatie. Al met al vraagt de (onvermijdelijke) transitie naar een vorm van cloud computing om een stevige regie van de kant van de leiding van de organisatie. CEO, CIO en CFO moeten samen optrekken, geholpen door hun IT-specialisten en externe clouddeskundigen. De uitdaging is niet alleen om het complexe cloud theater te kunnen overzien, maar ook om alle relevante aspecten mee te nemen die bij een keuze voor de best passende oplossingen en providers om de hoek komen kijken. De IT-strategie moet worden herzien, controlemechanismen en risicosystemen aangepast, het veiligheidsbeleid opgeschaald, nieuwe afspraken (zoals SLA’s) vastgelegd, scale en privacy-issues ontward, businessen verdienmodellen aangepast, en de

Go4Cloud | PwC als gids in de Cloud 7

In de cloud: de zakelijke gebruiker

Cloud computing wordt niet voor niets ‘the users holy grail of modern computing’ genoemd. Want de grootschalige toepassing van een al langer bestaande technologie (het virtualiseren van alleen applicaties wordt door application service providers al langer aangeboden) is voor de zakelijke gebruiker een per saldo zeer voordelige ontwikkeling. Zij het dat de winst natuurlijk afhankelijk is van welke cloud toepassing gebruik wordt gemaakt en hoe intensief. Allereerst belooft de cloud de gebruiker lagere kapitaalkosten. De huurvergoedingen, die betaald moeten worden voor het gebruik van in de cloud geplaatste applicaties, systemen, bouwstenen of infrastructuur, liggen aanzienlijk lager dan de voorheen betaalde fees. Zeker bij grootschalig gebruik. Bovendien betaalt de gebruiker alleen de werkelijk afgenomen capaciteit. In de cloud wordt afgerekend per click. Daarnaast zijn er kostenvoordelen te behalen. De onderhoudskosten worden sterk gereduceerd, en de investeringen in het opschalen en vernieuwen van software en hardware zijn signicant lager. Dat geldt overigens ook voor de afschrijvingen. Een groot deel van de eigen IT-staf zal op de langere termijn overbodig zijn (of zo u wilt: meer tijd kunnen vrijmaken voor het beter doen aansluiten van de IT-oplossingen op de strategie en marktpositie), en de cloudprovider spreidt de ontwikkelkosten voor volgende generaties state of the art producten en diensten over een grote groep afnemers.

8

PwC

De zeer transparante cloudmarkt dwingt providers bovendien om technologische innovaties en uitbreidingsopties zo snel mogelijk in te voeren, en de virtuele omgeving biedt hen de schaalgrootte om dit tegen lagere kosten te doen. Er is dus ook een belangrijke innovatieplus. Een ander belangrijk gebruikersvoordeel is dat de afhankelijkheid van leveranciers verandert. Is het in de bestaande digitale situatie nog zo dat de zakelijke gebruiker met handen en voeten gebonden is aan de ontwikkelsnelheid, de vindingrijkheid en de kostenbeheersing van de leveranciers van eenmaal gekozen oplossingen, in de cloud is een overstap veel minder ingrijpend en zijn de implementatiekosten aanzienlijk minder hoog. Zowel materieel als immaterieel. Dan is er nog de exibiliteitwinst. Dankzij de mogelijkheid van het virtueel uitbesteden, kunnen organisaties hun IT-capaciteit mee laten ademen met verschillen in omvang en samenstelling van de organisatie of veranderingen in propositie en marktpositie. Overtuigde cloud enthousiastelingen geloven zelfs dat de beslissing- en toezichtcycli door het sneller beschikbaar zijn van data en het beter doorzoekbaar maken ervan, aanzienlijk wordt bekort. En dat vergroot weer de slagvaardigheid en de marktgerichtheid.

Maar om al deze voordelen ook daadwerkelijk te kunnen incasseren en goed voorbereid de juiste cloud te kiezen, moet de zakelijke gebruiker eerst wel passende antwoorden vinden op nieuwe vraagstukken of variaties op bestaande thema’s. Een opsomming van de meest gestelde vragen door gebruikers aan PwC:

•

Wat is het beste overstapscenario? Moeten we voor een Big Bang kiezen, of voor een stapsgewijze entree? Welk tijdspad hoort daarbij, en hoe kan ik tijdens de transitie twee automatiseringwerelden het beste met elkaar integreren?

•

Welke cloud toepassing en provider past het beste bij onze organisatie? Gezien de verwachte markt- en organisatieontwikkelingen, nu en in de toekomst.

•

Hoe houd ik bij de innovatie van mijn organisatie- en ketenprocessen gelijke tred met de mogelijkheden in de cloud? Het is onvermijdelijk dat cloudgebruik op de langere termijn leidt tot ingrijpende aanpassingen van de fysieke organisatie.

•

Is het verantwoord om vitale nanciële en verslaggevinginformatie toe te vertrouwen aan de cloud? Welke voorwaarden stellen accountancy- en toezichtregels, en wat moet ik doen om ook straks compliant te zijn?

•

Op welke wijze beïnvloedt de cloud onze compliance- en transparantieverplichtingen? Zeker over het op afstand zetten van data moet op zorgvuldige wijze verantwoording kunnen worden afgelegd.

•

Hoe veilig zijn mijn data in de cloud? Belangrijk is dat de veiligheidsnormen in de cloud aansluiten bij het tot dusver gevoerde veiligheidbeleid – en andersom. En welke wet- en regelgeving is bij overtreding ervan van toepassing?

•

Hoe zijn datasegregatie en dataeigendom geregeld? Met andere woorden: zijn mijn data voldoende afgeschermd van andere bestanden, is het unieke gebruik ervan gewaarborgd, wie hebben er zoal toegang toe, en blijf ik strikt juridisch in de gekozen cloud conguratie wel de enige eigenaar van mijn bedrijfsgegevens en overige vertrouwelijke data?

•

Is de privacy van mijn data wel goed geregeld? Wordt voldaan aan de wettelijk verplichte privacyverplichtingen en welke voorwaarden zijn daarvoor geschapen?

•

In welke jurisprudentie staat mijn cloud server? De trend is dat steeds meer datacenters en cloud serverparken worden geconcentreerd op een plek met lage loon- en vestigingskosten. Met name India is in trek. Dat heeft gevolgen voor de scaliteit (waar wordt de BTW geheven?) en kan ook privacygevoelig zijn of strijdig met wet- en toezichtregels. Zo is het verboden om privacygevoelige data zonder toestemming in- en uit de EU te voeren, en mogen beursgenoteerde ondernemingen gevoelige nanciële informatie niet zonder meer buiten de invloedssfeer van de toezichthoudende instantie bewaren.

•

Hoe politiek stabiel is de omgeving waarin mijn cloud draait? Zonder dat veel data-eigenaren het in de gaten hebben, verschuift het politieke risico. Wat bijvoorbeeld te doen als tegen het vestigingsland van de cloud server VNsancties worden ingesteld? Deze en andere risico’s moeten worden gewogen en gemitigeerd.

•

Is de provider in staat om een reeks van maatwerkoplossingen te leveren die past bij de dynamiek van mijn organisatie? En welke garanties zijn er dat de kostenvoordelen ook daadwerkelijk worden doorgegeven?

•

Hoe houd ik grip op mijn verschillende aanbieders in de cloud? Het bewaken van de virtuele keten wordt één van de grootste uitdagingen in de cloud.

•

Hoe leg ik de gemaakte afspraken vast? Ofwel, in welke zin moeten contracten en SLA’s worden aangepast?

•

Welke condities moet je opnemen in een contract om er zeker van te kunnen zijn dat je ook weer snel los kunt komen van een provider? Kortom, hoe kan ik er zeker van zijn dat een overstap op korte of middellange termijn mogelijk is? En hoe compatibel is de ene cloud omgeving met de andere?

•

Wat betekent de overstap naar de cloud voor onze business continuity en disaster recovery planning? Rampenscenario’s en back-up systemen moeten in lijn worden gebracht.

Antwoord op deze vragen is sterk afhankelijk van de volwassenheid van uw (IT)-organisatie. De antwoorden geven wij u dan ook graag op maat.

Go4Cloud | PwC als gids in de Cloud 9

In de cloud: de provider

Ook van providers vraagt de cloud ingrijpende maatregelen. De marktverhoudingen worden anders. Er komen nieuwe aanbieders en klanten bij, bestaande marktaandelen worden herverdeeld. En door het wegvallen van veel van de vroegere marktbeperkingen, zoals geograsche bereikbaarheid en hoge maatwerk- en implementatiekosten, veranderen de concurrentieverhoudingen en stellen afnemers andere eisen. Veel bestaande IT-bedrijven zullen zich daarom opnieuw moeten uitvinden. Ze moeten hun businessmodel en organisatievorm drastisch herzien om na de ‘cloudication’ succesvol te kunnen zijn. De belangrijkste bedreiging voor deze categorie IT-dienstverleners is dat de klantentrouw door een grootschalig gebruik van de cloud afneemt. Gebruikers van cloud toepassingen betalen naar gebruik en verrekening van afgenomen diensten zal voortaan na afname gebeuren. Daarmee verschuiven de inkomstenstromen van de huidige aanbieders en worden deze onzekerder. Betaling van abonnementsvergoedingen vooraf (zoals nu nog vaak gebeurt) wordt schaarser en de kasstroom gevoeliger voor cyclische bewegingen en prijsconcurrentie. Door de lage toegangsdrempel melden zich ook steeds meer nieuwe concurrenten. Deze zijn niet bezwaard met de historische last van oude en achterhaalde technologieën noch met de noodzaak om deze in stand te houden. Evenmin dragen ze op andere terreinen een legacy mee. Om toch met deze partijen te kunnen concurreren, zullen veel ITbedrijven de komende jaren moeten kiezen voor een hybride marktbenadering;

10

PwC

naast het bewerken van de nieuwe cloudmarkten, moeten ze hun oude klanten blijven bedienen en ook blijven investeren in het up to date houden van netwerken en oplossingen. Een dubbele last die hen op achterstand kan zetten. Daar staat tegenover dat de klantenbase veel breder wordt en dat ze bestaande klanten actief kunnen ondersteunen bij een cloudtransitie. Begrijpelijk dus dat de vragen die door ITbedrijven aan PwC worden gesteld, anders zijn:

•

Welk business- en verdienmodel past ons straks het beste? Welk kostenpatroon maakt een succesvolle transitie mogelijk en hoe kan ik tegelijkertijd mijn kasstroom minder volatiel maken? En welk verdienmodel heb ik op de langere termijn nodig om over voldoende lange adem te kunnen beschikken?

•

Wat betekent dit alles voor mijn kansen op (her)nanciering? Banken zullen door de groeiende onzekerheid over de inkomstenstromen mogelijk terughoudend(er) worden naar de IT-sector toe. Hoe kan ik wel voldoen aan de convenant en krijg ik toch toegang tot voldoende en betaalbaar vreemd vermogen voor werkkapitaal en toekomstige investeringen?

•

Moet ik bestaande applicaties versneld afschrijven? En wat is de juiste kostprijs van in de cloud geplaatste applicaties en tools?

•

Hoe bouw ik mijn procesgestuurde organisatie om naar een servicegerichte club? In de cloud draait het om de kwaliteit van de dienstverlening en de nazorg, en veel minder op transactiegerichtheid en het vergroten van de processingpower. Juist de vaardigheden waar traditionele ITbedrijven lang op gestuurd hebben.

•

Waar haal ik voldoende mensen vandaan met cloudkwalicaties? De arbeidsmarkt sluit nog onvoldoende aan. De war for talent zal steeds grimmiger worden. Tegelijkertijd zullen bedrijven bestaande talenten de omslag moeten helpen maken.

•

Hoe regel ik de beveiliging in een cloudomgeving? De partij die de beste securitygaranties biedt, verovert het grootste marktaandeel. Maar naar welke garanties is de klant op zoek, en hoe kan ik deze bieden?

•

Met welk datacenter ga ik in zee en in welke jurisprudentie moet deze liggen? Welke garanties kan ik voor een neutrale locatie op de langere termijn bedingen, en hoe geef ik dit contractueel vorm?

En dat zijn nog maar enkele van de vele kwesties en vraagstukken waarmee de onvermijdelijke transitie van ommuurde automatiseringsnetwerken naar een meer open en virtuele cloudstructuur aanbieders en afnemers de komende jaren zal confronteren. In de volgende hoofdstukken van deze speciale cloud uitgave van Business Assurance Services van PwC gaan we dieper in op de antwoorden van de belangrijkste vragen en schetsen we enkele best practices.

Meerdere clouds De cloud kent meerdere varianten. De bekendste zijn: 1. Software as a Service (SaaS): het aanbieden van software als een online dienst 2. Platform as a Service (PaaS): een online ontwikkelplatform 3. Infrastructure as a Service (IaaS): waarbij online gebruik wordt gemaakt van hardware-voorzieningen

Go4Cloud | PwC als gids in de Cloud

11

Denk nu al na over de volgende stap Cloud als ondersteuning van uw strategie Uitbesteden naar de cloud is een strategisch gevoelig en complex proces. Het vraagt om een lange adem en een duidelijk beeld waar de organisatie wil staan in de digitale wereld. ‘Je moet niet alleen nadenken over hoe je op korte termijn de transitie maakt, maar ook over toekomstige transities.’ De keuze om wel of niet in de cloud te gaan, wordt vaak genomen op grond van de verkeerde korte termijnredenen. Sommige beslissers willen de overstap maken omdat het nu eenmaal in de mode is, en ze vinden dat ze het zich als leiders van een technologisch geavanceerde onderneming of instelling niet kunnen permitteren het niet te doen. Ook zijn er organisaties die de cloud zien als een instant-oplossing voor voordien onoplosbare organisatorische en technische uitdagingen. Door het probleem over te hevelen naar de cloud, denken ze de oplossing gevonden te hebben. Maar zoals al zo vaak is aangetoond bij traditionele uitbesteding, werkt dit als een boemerang. Sterker, als niet eerst iets is gedaan aan de fouten en onvolkomenheden in de bestaande bedrijfsvoering en technologie, worden deze in de cloud nog uitvergroot. ‘Uitbesteden naar de cloud is een strategisch gevoelig traject. Het vraagt om tijd en een zorgvuldige voorbereiding en afstemming,’ vindt Bram van Tiel van PwC, adviseur bij de strategische cloudbeslissingen van zowel gebruikers als service providers. ‘Niet de vraag òf je in de cloud moet is relevant, maar

12

PwC

wat je ermee wilt bereiken en in welke ontwikkelstappen.’ ‘De cloud is geen doel op zich. Het is een onvermijdelijke tussenstap op weg naar een digitale toekomst. Organisaties nemen daarin services af waar ze gezien hun organisatiemodel en dienstverlening op dat moment behoefte aan hebben. Daar komt bij dat onder invloed van de cloud de businessomgeving snel verandert – en steeds sneller zal veranderen.’ ‘Het volstaat dan ook niet om de huidige systemen in de cloud te plaatsen. Nee, om met succes gebruik te maken van de cloud moet je weten hoe de organisatie zich over vijf en tien jaar wil onderscheiden en welke organisatievorm, waardeketen en informatiestromen daarvoor nodig zijn. Pas dan kun je in de cloud een strategisch groeipad naar het einddoel uitstippelen. In dat kader moet je niet alleen nadenken over hoe je nu de transitie maakt, maar ook over toekomstige transities.’

Lange adem Een succesvolle overgang naar de cloud vraagt om een lange adem en lange termijndoelstellingen. De cloud kan veel méér zijn dan een aantrekkelijke kans om de kosten van IT terug te dringen en de afhankelijkheid van leveranciers en hun technologie af te bouwen. Natuurlijk zijn dit argumenten om voor de cloud te kiezen, maar voor een succesvol verblijf in de cloud is een steviger strategisch fundament nodig. Hetzelfde geldt (zij het om andere redenen) voor de service providers.

‘Er moet een samenhang zijn tussen het (toekomstige) businessmodel, de verwachte ontwikkelingen in de dienstverlening en hoe de organisatie daar met haar ITstrategie op in wil spelen. En ten opzichte van het verleden komt daar een aantal factoren bij: in de cloud komen innovaties eerder beschikbaar, en is voor iedereen in beginsel altijd voldoende capaciteit aanwezig. Een voorsprong door IT wordt in de cloud daarom bepaald door de adaptiesnelheid en mate van exibiliteit, en in mindere mate door investeringskracht.’ ‘Er moet een strategie worden gekozen die zoveel mogelijk meebeweegt met de levenscyclus van de cloudplatformen. Want ook deze zijn nog ink in ontwikkeling. Over een paar jaar ziet het landschap er al weer heel anders uit. Service providers zullen zich steeds meer gaan specialiseren. Sommige leggen zich toe op het aanbieden en onderhouden van technologisch hoogwaardige platforms waarop services van andere aanbieders kunnen draaien. De technologische afkomst is dan niet meer belangrijk; of de gebruikte service nu door SAP of Oracle ontwikkeld is of in eigen beheer, men kan op elk platform terecht. Voor gebruikers betekent het dat een slechte keuze nu, straks onvoorziene gevolgen kan hebben. Zozeer zelfs, dat het de continuïteit van de organisatie in gevaar kan brengen.’ Daarom adviseren Van Tiel en zijn collega’s gebruikers om te kiezen voor een groeimodel, waarin een voor de organisatie (en haar doelen) juiste balans tussen complexiteit en exibiliteit moet worden gevonden. ‘Het moet beheersbaar zijn én blijven, en als gebruiker moet je altijd de vrijheid houden om van service provider of platform te veranderen.’

System integrators Als het benodigde instrumentarium onder de loep wordt genomen, zal in veel gevallen blijken dat de eigen ITorganisatie in de huidige samenstelling niet over de competenties beschikt om invulling te geven aan deze strategische uitgangspunten. ‘In de cloud heb je system integrators nodig; mensen die met kennis van de informatiebehoefte van de eigen organisatie de regie kunnen voeren over steeds wisselende netwerken van service providers en platformen. Zonder system integrators is een grootschalig gebruik van de cloud onverantwoord. Het aantrekken en opleiden van professionals met deze kwalicaties is dus ook een integraal onderdeel van het strategische groeipad. Hetzelfde geldt overigens voor in de cloud actieve IT-bedrijven en consultants.’ Nu is het in kaart brengen van de uitgangssituatie toch vitaal. ‘Heel vaak wordt vergeten om eerst naar de randvoorwaarden te kijken. Hoe zeker is bijvoorbeeld de continue toegang tot de clouddiensten (ook in politiek of qua infrastructuur instabiele gebieden), en is de capaciteit en exibiliteit voldoende voor signicante verschuivingen in het gebruik?’ ‘Het stellen van deze vragen is in de beginfase net zo belangrijk als de discussie over het zeker stellen van data, het zorgen voor een optimale beveiliging of het voldoen aan privacywetgeving. Als organisatie dien je je te realiseren dat je eindverantwoordelijk bent - en blijft - voor de kwaliteit van de totale dienstverlening. Er worden dan wel steeds meer processen uitbesteed, maar uitgangspunt is en blijft dat je zelf als organisatie verantwoordelijk blijft voor de keuze van de dienstverleners en of deze voldoen aan jouw eisen. Denk

dan ook al in de voorbereidingsfase na over wat contractueel moet worden vastgelegd en welke eisen in de service levels moeten worden opgenomen. Dat helpt uiteindelijk weer bij de selectie van geschikte providers.’ Kies ook de transitiesnelheid en conguratie die passen bij de bestaande organisatie en dienstverlening. ‘Een Big Bang is voor de meeste bedrijven te hoog gegrepen. Durf daarom klein te beginnen, en neem voor vervolgstappen de dynamiek van de organisatie als uitgangspunt. Als je ervaring en succes hebt met een eerste cloudtoepassing, kun je deze meenemen bij het zetten van de volgende stap.’ Tegelijkertijd is het zaak om de organisatie stap voor stap mee te krijgen. ‘Het misschien wel meest kwetsbare punt van het hele transitieproces is om alle stakeholders (niet alleen de eigen medewerkers, maar bijvoorbeeld ook leveranciers en klanten) ervan te overtuigen dat de cloud niet alleen een technologisch verbetering is, maar de wijze waarop we samenwerken en diensten en producten aanbieden ingrijpend zal veranderen. Daar moet je als organisatie wel klaar voor zijn. En de omgeving net zo.’ Wij kunnen uw organisatie helpen om de juiste keuzes te maken en erop toe te zien dat deze aansluiten op strategie en beleid.

Go4Cloud | PwC als gids in de Cloud

13

Met welke strategische vraagstukken moeten gebruikers zoal rekening houden?

•

Businesscase. Wegen de verwachte voordelen in de cloud wel voldoende op tegen de mogelijke risico’s van de gekozen transitieroute? En welke zekerheden kunnen voor het uitnutten ervan worden ingebouwd?

•

Governance. Is de beheersorganisatie klaar om alle cloudrisico’s te overzien en beheersen? Zijn de IT-organisatie en -processen geschikt voor de benodigde ketenregie?

•

Integratie. Sluiten cloudservices en legacy systemen wel op elkaar aan?

•

Data. Er kunnen eigendomkwesties ontstaan, met alle scale en privacygevoelige gevolgen van dien. Daarnaast zijn er tal van beveiligingsvragen die al in een vroeg stadium van de besluitvorming antwoorden vereisen.

•

Locatie. Als data buiten de EU worden bewaard, kan dit leiden tot privacyclaims. Maar ook met betrekking tot een mogelijke rechtsgang is het belangrijk om vooraf te weten waar fysiek de cloudplatformen draaien en worden beheerd.

•

Belasting. Informeer tijdig welke belastingtechnische gevolgen een plaatsing in de cloud heeft.

14

PwC

•

Geopolitiek. Data kunnen worden bewaard in een politiek instabiele omgeving of op een plaats met een verhoogd risico op natuurrampen. Is de verzekering daartegen afdoende, en welke garanties zijn er dat vitale data beschikbaar blijven bij onvoorziene gebeurtenissen?

•

Maatwerk. Kunnen de cloud services mee ademen met de specieke behoeften van de organisatie?

•

Capaciteit. Hoe borg je capaciteit en schaalbaarheid tegen een economisch verantwoorde prijs?

•

Leverancier. De kans dat een provider niet meer kan leveren of out of business gaat, is nimmer uit te sluiten. Spreek onder andere af onder welke condities afscheid wordt genomen, en in welk format en onder welk regime data beschikbaar blijven.

•

Overstappen. Welke technologische exibiliteit is nodig voor de gevraagde bewegingsvrijheid?

•

Assurance. Voldoet de cloudomgeving op continue basis aan alle gestelde vereisten?

Het cloudantwoord van KPN Corporate Market ‘In de cloud vragen onze klanten om regie’ De opkomst van cloud computing ziet Coen Olde Olthof als de logische volgende stap in een trend. Drie jaar geleden al stelden de vice-president Marketing, Alliances, Portfolio & Strategy van KPN Corporate Market en zijn collega-analisten vast dat de IT-ondersteuning in de businessomgeving achterblijft. Veel medewerkers beschikken thuis over meer snelheid en exibiliteit dan op kantoor. Dit wringt des te meer daar het overal in zwang zijnde Nieuwe Werken vraagt om een robuuste en overal beschikbare ondersteuning. ‘ICT in de zakelijke omgeving moet uit de kast. Het draait al lang niet meer om het ondersteunen van de bedrijfsprocessen alleen. We zitten in het tijdperk van de personal performance. Organisaties moeten in staat zijn om individuen en groepen te binden en tot hun beste prestaties te bewegen. De kwaliteit, beschikbaarheid en exibiliteit van de ICT-ondersteuning is daarbij van doorslaggevend belang. De cloud is een middel op weg naar dat doel. Als KPN Corporate Market omarmen we de cloud dan ook als een means to an end. Maar natuurlijk, de ontwikkeling ervan vraagt ook in dit huis om de nodige structurele aanpassingen en veranderingen. Zowel wat onze propositie betreft als de organisatie.’

Twee gezichten De businesscase van de cloud heeft voor de service provider twee gezichten. Natuurlijk is er het onmiskenbare voordeel dat de markt voor services de komende jaren voor een fors deel zal worden

16

PwC

herverdeeld. Maar daar staat tegenover dat aanbieders van cloudproducten en -diensten voor veel uitdagingen worden geplaatst, schetst Bram van Tiel van PwC. ‘Met de beschikbaarheid van de cloud ontwikkelt zich een laagdrempelige kopersmarkt. Er melden zich nieuwe concurrenten, die niet worden geremd door hun historie of die van hun klanten. Het verdien- en kostenmodel zal transformeren. Diensten en capaciteit worden in de cloud immers naar de behoeften van dat moment afgenomen en afgerekend. Uiteindelijk draait het in de cloud om het verlenen van diensten. Productgestuurde organisaties moeten dus worden omgebouwd tot end to end dienstverleners. De medewerker 2.0 moet deze servicegedachte in de genen hebben.’ Als belangrijkste toekomststrateeg van KPN Corporate Market, erkent Coen Olde Olthof dat de cloud voor zijn organisatie een uitdaging is. Maar hij voegt er onmiddellijk aan toe dat de daarvoor noodzakelijke aanpassingen sowieso nodig zijn om je als ICT-dienstverlener in het snel verschuivende speelveld staande te kunnen houden. ‘Er is al langer een fundamentele verschuiving in de marktvraag zichtbaar. Gebruikers zijn op zoek naar hun optimale businessexibiliteit. Ze moeten in staat zijn om hun activiteiten te laten meebewegen met conjuncturele of marktbewegingen en bijvoorbeeld veranderingen in de organisatie van de keten. De cloud is een instrument dat hen daartoe beter in staat stelt.’

Andere klantenvraag Als een gevolg verschuift de klantenvraag. ‘Onze klanten zijn op zoek naar businessoplossingen. Ze verwachten van ons dat we hun business kennen, dat we een duidelijk beeld hebben van welke richting het op gaat en hoe ze hun informatieprocessen het beste kunnen vormgeven. De IT-consultant wordt daardoor steeds meer een businessconsultant.’

Die laatste vaststelling is voor Olde Olthof overigens de beste garantie dat KPN ook zelf de gelegenheid krijgt om in haar nieuwe cloudrollen te groeien. ‘Er gaat nog wel een tijd overeen voordat met name grotere organisaties volledig in de cloud opereren. Maar natuurlijk denken wij al na over hoe we onze dienstverlening, en daarmee onze inkomstenstromen, kunnen aanpassen aan de veranderende markt.’

Zeker is wel dat de investeringshorizon er anders uit komt te zien. ‘De klant is niet meer bereid om vóór te investeren in de ontwikkeling van een maatwerkapplicatie, maar neemt liever bestaande standaarden als dienst af. In dat opzicht zullen we andere keuzes moeten maken. We moeten selectiever zijn bij de keuze van nieuw te ontwikkelen functionaliteiten. Maar dat geldt voor de hele keten.’

Nu zorgt de cloud voor extra complexiteit, analyseert Olde Olthof in het ontmoetingscentrum van de Amsterdamse vestiging van KPN. ‘Er ontstaat steeds meer behoefte aan regie. Allereerst natuurlijk om wegwijs te worden in de cloud zelf. Welke conguratie is voor mijn organisatie op dit moment de beste, en hoe maak ik steeds weer de beste afweging in dat enorme aanbod? Daarnaast vragen onze klanten om hun historie mee te nemen. Een veelgemaakte fout bij cloudproposities is dat vergeten wordt dat vrijwel alle organisaties heel veel tijd, geld en geduld hebben geïnvesteerd in de ontwikkeling en implementatie van hun bestaande systemen. Een Big Bang is voor hen dan ook geen optie. Ze willen graag in de cloud, maar ze verwachten van ons dat we ze vanuit hun bestaande situatie meenemen. Stapje voor stapje, zodat de organisatie de tijd en de adem krijgt om mee te groeien. Dat betekent dat de voordelen van de cloud stapsgewijs zullen worden geïncasseerd. Ook daarin moeten onze opdrachtgevers begeleid worden.’

Go4Cloud | PwC als gids in de Cloud

17

Uitgangspositie Olde Olthof schat de uitgangspositie van KPN per saldo bijzonder positief in. Het moederbedrijf beheert de netwerken die de cloud met zijn gebruikers verbindt. De waarde ervan zal alleen maar toenemen. KPN ziet een toekomst in het aanbieden van energiezuinige ICT cloud services. Daarnaast is de IT-poot van oudsher gewend om met uctuaties in het klantenbestand om te gaan. En klantrelaties zullen in de cloud vluchtiger zijn. ‘Met een klantenbestand als het onze weten we wat het is om afscheid te moeten nemen van klantrelaties en weer nieuwe te mogen begroeten. Ook moeten we leren om samen te werken met steeds wisselende partners. En sommige van deze voor de toekomst relevante partijen, kennen we nu nog niet eens.’ De propositie die KPN Corporate Market voor haar dienstverlening in de cloud ontwikkelt, draait om drie kerntaken. De eerste is het ontwikkelen van cloud dienstverlening voor de werkplek, voor telecom en voor infrastructuur. Daarnaast hebben cloudklanten behoefte aan overzicht. ‘Ze willen weten waar ze staan. Welke cloudtoepassingen gebruiken we en welke mogelijkheden zijn er nog meer? Daarom hebben we een portal (of eigenlijk is het meer een aggregatielaag) in ontwikkeling waarop onze klanten in één oogopslag kunnen zien welke applicaties wij in de cloud aanbieden en wat er nog meer te koop is. En welke zij willen gebruiken. Een cloud appstore als het ware, waarbij we zowel onze eigen diensten als die van derde partijen leveren.’

18

PwC

De derde kerntaak is het zorgen voor integratie. ‘De cloud is voortdurend in beweging, en dus is het integratievraagstuk complex. Hoe verloopt de integratie tussen mijn bestaande systemen en de cloud? Hoe zorgen we voor een overkoepelend security- en identitymanagement? Op zulke vragen verwachten gebruikers antwoorden. Meer grip op het integratieproces betekent ook dat je minder governance- en assurancekwesties hebt.’ Om deze taken daadwerkelijk centraal te kunnen stellen, wordt de organisatie van KPN Corporate Market ingrijpend aangepast. De belangrijkste, en tegelijkertijd moeilijkste ingreep is de overgang van een vooral productgestuurd naar een servicegericht businessmodel. ‘Een cloudtransitie is voor een onderneming als de onze vooral ook een HR-uitdaging. We moeten daarvoor andere competenties binnenhalen, mensen anders laten samenwerken. En we hebben nieuwe talenten en competenties nodig. Tegenwoordig is iedereen op zoek naar die ene specialist met ruime ervaring in ICT en sociale media. Maar waar vind je die? We moeten dus de grootste slag maken met onze eigen mensen.’

Tegelijkertijd wordt creatief nagedacht over toekomstige vormen van dienstverlening die mede door de cloud zullen ontstaan. ‘Wij zetten zwaar in op devicemanagement. De toegang tot de cloud en mogelijke volgende generatietoepassingen, zal steeds meer afhangen van de kwaliteit van de persoonlijke informatiedragers die mensen gebruiken. Mensen willen daarbij ook graag zelf kunnen kiezen. Maar welke zijn daarvoor het meest geschikt? Hoe kunnen we onze mensen garanderen dat ze met het device van hun keuze ook toegang hebben tot alle beschikbare informatie? Dat is een vorm van dienstverlening waar we veel van verwachten.’

Klaar voor de cloud? Readiness4Cloud-model: hulpmiddel bij voorbereiding Een nog te weinig gestelde vraag is of mijn organisatie wel klaar is voor de cloud. En is de cloud klaar voor ons? Voordat een strategie en implementatietraject kan worden gekozen, moet een antwoord op deze cruciale vragen zijn geformuleerd. Het Readiness4Cloud-model helpt u daarbij. ‘De cloud is een gereedschapskist met talloze mogelijkheden. Bovendien is de cloud nog volop in ontwikkeling, waardoor het extra moeilijk te zeggen is welke gebruiksaanwijzing past bij wie,’ stellen Mark Tesselaar en Markus Vehlow, respectievelijk van de Nederlandse en de Duitse cloud adviespraktijk van PwC. ‘Om de weg te kunnen vinden en de voor de organisatie juiste doelen te stellen, moet je voor het vertrek weten waar of je staat, wie je bent, en wie je in de cloud wílt zijn. Dat concept moet door de gehele organisatie omarmd worden, en méér zijn dan een sterkte-zwakte analyse van de cloudtechniek of cloudleverancier.’

Veeleisend voorwerk Het in kaart brengen van de uitgangspositie is inderdaad geen gemakkelijk karwei. Vaak hebben beslissers en hun achterban een kennisachterstand of een eenzijdig beeld van de cloud. Daar komt bij dat de doorsnee IT-er de cloud eerder als een bedreiging dan een kans ziet en zich daarom soms defensief opstelt. ‘Er zijn veel onzichtbare barrières. Verschillen in inzicht en kennis moeten daarom al vroeg worden geïdenticeerd en geadresseerd. Dat dit vaak niet gebeurt (of niet goed) is er de oorzaak van dat veel cloudprogramma’s vertraging oplopen, mislukken of nooit worden gerealiseerd.’

20

PwC

Maar de belangrijkste faalfactor is toch onderschatting van waar het bij een cloudtranstie om draait, waarschuwen Tesselaar en Vehlow. Ze baseren zich bij deze vaststelling op een inmiddels brede praktijkervaring met zulke processen bij gerenommeerde ondernemingen en instellingen. ‘De cloud heeft een invloed op de essentie van de organisatie, hoe er geld wordt verdiend en business wordt gedaan. Daarom vraagt een cloudtransitie om een vorm van change management. De alignement van business en IT moet daarin centraal staan.’

Centraal uitgangspunt Dat is dan ook het uitgangspunt van een methodiek die PwC heeft ontwikkeld om het voorwerk voor een cloudtransitie in goede banen te leiden en vooral: beheersbaar te maken. Het Readiness4Cloud-model kiest voor een holistische benadering om alle aspecten die bij een transitie van de cloud komen kijken in lijn te kunnen brengen. Dat zorgt op den duur weer voor het vergroten van het draagvlak binnen de organisatie voor de cloud en geeft houvast bij het doorlichten van alle organisatieprocessen (in- en extern) op hun cloud-readiness. ‘Het is een prachtig instrument om in een betrekkelijk korte doorlooptijd grip te krijgen op de vele aspecten die gemoeid zijn met een cloudtransitie en hoe deze zich ontwikkelen.’ Als eerste stap worden in de Readiness4Cloud-aanpak de ‘harde’ randvoorwaarden van de organisatie van de opdrachtgever in kaart gebracht. Daarbij komen vragen aan de orde als: is de bestaande infrastructuur voldoende

ch n Te

Eén van de kritische succesfactoren waar naar gekeken wordt, is de veranderingsbereidheid van de bestaande IT-organisatie en of men wel over de juiste competenties beschikt om de overstap te kunnen maken. ‘De cloud vraagt om ketenregisseurs, die op elk moment de informatie- en capaciteitbehoeften van de organisatie kunnen vertalen in de best passende cloudconguraties. Dat is een heel andere manier van denken en werken, en het vraagt om een andere attitude en inrichting van de IT-processen. Hoe ver is de organisatie daar al mee, en welke inspanningen zijn nog nodig?’

ie olog 5

St ra t

4

3 Bedrijfsstrategie

Complia

IT -/Cloud Strategie

2

Informatiebeveiliging Licenties

Diensten

Waardenketen

1 portfolio

Fiscale eisen

0

Regelgeving Eisen Bescherming persoonsgegevens

Financiële ratio's

Wijzigingsbeheer

Zakelijke flexibiliteit

Cloud dienst ontwerp

Cloud Dienst gebruik

financiële verslaggeving

g r in

Bedrijfscontinuïteit Communicatie Contractbeheer

P r oc es

Cloud Diensten transitie

Ontwikkeling personeel

e nd

ur stu Be

nce

Infrastructuur

&

isatie gan Or

Men sen

&

Ve ra

Aansluitend worden de deelnemers op actieve wijze doorgevraagd over wat ze (denken te) weten van de cloud. ‘Er bestaan ink wat misconcepties. De meest hardnekkige is dat de cloud de volgende internethype is die vanzelf wel weer zal overdrijven. Een hobby voor IT-ers, die er beter aan zouden doen om zich met de bestaande business en systemen bezig te houden. Door zulk onderhuids

Mede op basis van de uitkomsten wordt een maturity analysis opgesteld. ‘Dat is een sterkte-zwakte analyse van de uitgangspositie van de bewuste organisatie, waarbij tot 24 verschillende aspecten (zie de afbeelding hieronder) worden bekeken en gewogen. Het eindresultaat is een scorecard in de vorm van een spinnenwebmodel. Daarin worden de belangrijkste kritische succesfactoren voor een succesvol verblijf in de cloud vanuit vijf verschillend perspectieven (technologie, strategie en governance, mensen en verandering, processen en organisatie, compliance) op een waarderingschaal gelegd.

ie eg

De vraagstelling kent meerdere lagen. In de eerste vragenrondes wordt dieper ingegaan op de huidige IT-praktijk. Hoe werkt men tot dusver met elkaar samen door IT, zijn deze processen bevredigend en waar ziet men zoal verbetermogelijkheden? ‘In deze fase gaan we op zoek naar hoe in de huidige situatie de business wordt ondersteund door de gekozen IT-strategie, en welke mogelijke rendementen men volgens de werkvloer daar op het moment nog laat liggen. ‘Vaak is het de eerste keer dat er vanuit het perspectief van business alignement naar gekeken wordt. De uitkomst biedt de volgende meerwaarde: het helpt om de verwachtingen ten aanzien van de cloud in de gewenste richting te kunnen sturen én er rollen nuttige tips en aanwijzingen uit voor verbeterpotentieel.’

Spinnenweb

‘Het biedt het management van de bewuste organisatie in één oogopslag inzicht in welke aspecten extra aandacht verdienen en welke met prioriteit moeten worden aangepakt. Gezien de grote complexiteit van een cloudtransitie is dit een heel nuttig sturingsmiddel.’

&

De volgende stap is het organiseren van een reeks van interviewrondes en workshops waarbij mensen van verschillende functieniveaus en achtergronden worden uitgedaagd om te vertellen wat ze van de cloud weten en verwachten. ‘De samenstelling van de groepen is essentieel voor het succes ervan. Alle belangrijke functiegroepen van de organisatie (en van haar dochters en business units) moeten daarin vertegenwoordigd zijn: HRM, strategy & nance, compliance, (internal) audit, in- en verkoop, logistiek. Kortom alle processen die van de betrouwbaarheid en kwaliteit van elkaar informatievoorziening afhankelijk zijn.’

verzet onbesproken te laten, brokkelt het fundament onder vervolgstappen snel af. Daarnaast is het goed om vooraf te weten waar mogelijk verzet sluimert tegen het beoogde veranderproces en op wiens steun men kan rekenen.’

n se

robuust, heeft de internettoegang genoeg capaciteit, welke systemen zijn cloud compatibel, en garandeert de security een veilige entree?

Go4Cloud | PwC als gids in de Cloud

21

Derde en laatste onderdeel van de modulaire aanpak van PwC is een reeks van aanbevelingen, die de organisatie van de opdrachtgever op weg helpen in de cloud en onderscheidend voordeel kunnen opleveren. ‘Dat zijn doorgaans heel concrete tips. Zoals: is je organisatie gevoelig voor seizoensinvloeden, dan is het verstandig om eerst een cloudoplossing te kiezen die je in staat stelt om mee te kunnen bewegen met de wisselingen in capaciteitsbehoefte. Doe daar eerst ervaring mee op, ervaar de (kosten)voordelen ervan, en zet dan pas vervolgstappen.’ ‘Nu moet het geleidelijk opschalen van de processen in de cloud de basis zijn van een goede cloudstrategie. En zo’n basis kan alleen worden gelegd als men zeker weet dat de organisatie ook echt klaar is voor de cloud.’

22

PwC

SMT Shipping in de cloud ‘We gaan stap voor stap dieper’ SMT Shipping zag het groeipad in gevaar komen door niet meer passende IT. De overstap naar de cloud heeft het scheepvaartbedrijf meer voordelen gebracht dan tevoren was gedacht. ‘Als middelgrote onderneming hebben we een wereldwijde dekking tegen beheersbare kosten.’ Voorlopig heeft de overstap naar de cloud SMT Shipping gebracht waar CFO Marcel Heijnsbroek en zijn collega-bestuurders vooraf op hoopten. En meer. Medewerkers en zakenpartners, waar ter wereld, kunnen via het internet op elk moment terecht op een afgeschermd digitaal platform. De opslag en uitwisseling van informatie verloopt daarop sneller, stabieler en betrouwbaarder dan daarvoor. In de cloud is een interface gebouwd die alle verschillende systemen aan elkaar knoopt. Daardoor is een einde gekomen aan de versnippering, en kan men in bestaande applicaties in de cloud blijven werken. Tijdrovende en kostbare implementatietrajecten zijn niet meer nodig, en het bundelen van alle beschikbare data op één server levert het management van SMT Shipping meer en betere sturingsinformatie op. Bovendien is het opschalen van de benodigde capaciteit een sinecure in de cloud. Het aanvragen van een offerte volstaat, weet Marcel Heijnsbroek uit ervaring. ‘Onze uitdaging was het om een ITplatform te vinden waarop we onze volgende groeispurt kunnen maken. Dat is gelukt. Sterker, dankzij de cloud hebben we als middelgroot bedrijf nu een wereldwijde dekking tegen beheersbare kosten.’

24

PwC

Digitale netwerkorganisatie SMT Shipping staat zich er al langer op voor een netwerkorganisatie te zijn. Nu is dat gezien het organisatie- en locatiemodel van het scheepvaartbedrijf een vereiste. SMT werd in 1990 opgericht als shipmanagement bedrijf, gespecialiseerd in het bevrachten, bemannen en technisch onderhouden van schepen en het regelen van de administratieve en boekhoudkundige zaken die daarbij horen. Maar al snel werden de activiteiten uitgebreid met het in eigendom beheren van een intussen 35 schepen tellende vloot van droge bulkcarriers. De ship managementpoot werkt sindsdien alleen voor de eigen rederij. Vraagt het aansturen van beide activiteiten onder één noemer al om een goede beheersorganisatie en dito ICTondersteuning, daar komt bij dat SMT Shipping geen echt hoofdkantoor kent. Er is een hoofdvestiging in Cyprus en het bedrijf heeft vaste vertegenwoordigingen in Polen en in Vlaardingen. Het management van de onderneming werkt en communiceert bij voorkeur vanuit home offices. Zo zetelt de top drie van het bedrijf in New York, Nieuwkoop en op Cyprus. Als ze ten minste niet onderweg zijn. ‘Het zit in de genen van dit bedrijf om snel te willen beslissen en exibel te zijn. Hoe we onze informatie- en communicatieprocessen inrichten, is voor ons daarom een kerncompetentie.’ Maar medio 2008 begonnen de gekozen oplossingen en de onderliggende technologie toch te knellen, herinnert de voor het ICT-beleid eindverantwoordelijke

Marcel Heijnsbroek zich. ‘Het werkte allemaal nog wel, maar het was duidelijk dat we tegen de grenzen van een beheersbare groei begonnen aan te lopen. In de jaren daarvoor waren we internationaal sterk geëxpandeerd, en het werd moeilijker om rapportages en managementinformatie uit al die verschillende systemen op tijd bij elkaar te krijgen. Dat zorgde voor toenemende frustratie binnen de organisatie. Ook hadden we behoefte aan standaardisatie. Gezien het feit dat we aan de vooravond stonden van het ontwikkelen van nieuwe markten in met name Brazilië, Venezuela en India, was wel duidelijk dat we op zoek moesten naar een andere oplossing.’ Om hen te helpen bij deze zoektocht, werd Mark Tesselaar van PwC gevraagd om een ICT Healthcheck te doen. De uitkomst was dat de ICT-strategie en -technologie van SMT Shipping inderdaad een upgrade behoefde om toekomstige groei mogelijk te maken én te kunnen beheersen. ‘Op zich was de situatie bij SMT Shipping nog wel beheersbaar. Maar als ze zich wilden blijven onderscheiden door een betere en snellere informatievoorziening, zouden ze een einde moeten maken aan de versnippering en een volgende stap moeten zetten. Op dat moment was de cloud nog vooral een buzzword. Maar toen al was duidelijk dat dit een interessante optie zou zijn voor SMT Shipping.’

Boost Om de best passende cloudoplossing én de weg ernaar toe voor SMT Shipping te kunnen kiezen, werd een stuurgroep gevormd. Mede op advies van Tesselaar namen in BOOST (Bringing Our Organization Smarter Together) vertegenwoordigers van de belangrijkste organisatie- en bedrijfsprocessen zitting. ‘Het proces is net zo belangrijk als de uitkomst. Door zoveel mogelijk mensen en organisatielagen te betrekken, schep je draagvlak. Hun enthousiasme werkt weer aanstekelijk op de rest. Dat gebeurde ook bij SMT.’

De belangrijkste bijdrage van BOOST aan de interne discussies was dat duidelijk werd aan welke (basis)eisen het nieuwe platform zou moeten voldoen. Heijnsbroek: ‘Uitgangspunt was dat het altijd beheersbaar moet zijn voor een middelgroot bedrijf als het onze. We hebben geen uitgebreide IT-staf en dat willen we graag zo houden. Daarnaast moet de nieuwe oplossing exibel zijn, zowel wat mogelijkheden tot opschalen betreft als functionaliteiten. ‘Als derde voorkeurspunt hebben we genoteerd dat we het liefst een best of breed oplossing kiezen. Dus een architectuur die ons in staat stelt om per proces met de voor ons doel beste applicatie te werken, zonder afstemmingen integratieproblemen. Daarnaast wilden we in één klap een einde maken aan de versnippering.’ De volgende stap was een technische analyse van de bestaande ICTinfrastructuur en of deze wel geschikt is om bijvoorbeeld een cloudoplossing te ondersteunen. ‘Daar kwam uit dat onze technologie nog wel voldeed, maar dat bij een volgende groeispurt inderdaad het capaciteitsplafond zou worden bereikt. Door daar zekerheid vooraf over te krijgen, voorkwamen we interne discussies en wisten we dat we sowieso zouden moeten investeren in het upgraden van onze ICT. Daarmee was eigenlijk de laatste belemmering weggenomen.’ Met deze uitkomsten op zak was de strategische keuze voor de cloud relatief eenvoudig. ‘Daarin worden al deze voordelen voor ons gebundeld. En meer, want ook met andere partijen in de logistieke keten kunnen we in de cloud gemakkelijker informatie delen, zoals met onze vaste onderaannemers en jointventure partners.’

Score Uiteindelijk heeft SMT Shipping voor een windowsomgeving gekozen in de cloud, binnen SMT Score gedoopt.

Het is een private cloudconguratie, waar ook zakenpartners toegang toe hebben. ‘In principe zetten we daar alle informatie in die gedeeld moet worden. Dus zaken als supplier- en charterercontracten, inkoopafspraken, binnen de groep gehanteerde rentetarieven en omwisselkoersen, best practices, nieuwe projecten, kortom alles waarvan zoveel mogelijk mensen binnen onze organisatie kennis moeten hebben en over mee moeten kunnen praten. Condentiële informatie wisselen we uit via andere systemen. Mogelijk dat we daar straks ook een cloudoplossing voor zoeken, maar eerst willen we ervaring met de cloud opdoen.’ Maar ook dat gaat sneller dan Heijnsbroek en zijn collega-bestuurders gedacht hadden. ‘Door in de cloud te werken, wordt uiteindelijk iedereen enthousiast over de mogelijkheden ervan. Een voorbeeld: wij zijn gewend om via skype te communiceren. Nu maken we gebruik van een applicatie waarbij een icoontje met een email wordt meegestuurd om aan te geven dat de zender online is en beschikbaar voor een snelle chat. Dankzij de cloud is deze functionaliteit direct beschikbaar voor iedereen in ons netwerk. Dat is een geweldige versnellingsslag en een besparing op de bandbreedte nodig voor emailverkeer.’ Naast de in de aanhef al genoemde reeks van voordelen, vindt Marcel Heijnsbroek het ook prettig dat de wijze van informatievoorziening van SMT Shipping in de cloud organisch kan groeien. ‘Zodra we het gevoel hebben dat we dit traject volledig beheersen en in de vingers hebben, gaan we op detailpunten specialistische keuzes maken. We denken er bijvoorbeeld over om op termijn in de cloud workow management applicaties te ontwikkelen. Op het gebied van crew- en inkoopmanagament liggen er mogelijkheden. Zo gaan we stap voor stap dieper in de cloud.’

Go4Cloud | PwC als gids in de Cloud

25

Veilig in de cloud Securitybeleid 2.0 is onmisbare component van succesvolle transitie Uit de vele onderzoeken naar de aantrekkelijkheid van de cloud komt naar voren dat het veiligheidsprobleem vooralsnog de grootste sta in de weg is voor een massale transitiegolf. Met name twijfel of in de cloud bewaarde data wel altijd beschikbaar zijn en afdoende kunnen worden beschermd tegen manipulatie of diefstal, maakt dat veel potentiële gebruikers nog huiverig zijn om de overstap te maken. Deze terughoudendheid wordt gevoed doordat veel aanbieders niet (of onvoldoende) inzien dat de veiligheidsrisico’s in de cloud een andere dynamiek en verschijningsvorm hebben en om bijzondere tegenmaatregelen vragen. Een ernstige omissie, vindt Tonne Mulder, één van de deskundigen van PwC op het gebied van security in de cloud. ‘De cloud is de meest ultieme vorm van outsourcing. Je zet als gebruiker vertrouwelijke informatie, en vaak ook de systemen waarmee je deze kunt bewerken, op afstand. In een kenniseconomie voelt dit alsof de meest waardevolle asset niet meer onder de directe controle en invloedsfeer van de organisatie valt. Om deze stap te durven maken, zijn meer en betere veiligheidsgaranties nodig. Uitgangspunt moet zijn dat de onmiskenbare voordelen van een overstap naar de cloud alleen kunnen worden geïncasseerd als de integriteit, vertrouwelijkheid en beschikbaarheid van de op afstand geplaatste data en systemen zo zeker mogelijk kan worden gesteld. Dat vraagt om een opschaling van het securitybeleid en een integrale visie op de ketenrisico’s in de cloud.’

26

PwC

Meer gewicht Met de snelle opkomst van de cloud heeft het veiligheidsvraagstuk inderdaad aan gewicht en actualiteit gewonnen. Door de veelheid aan services, platformen en cloudconguraties (public, private, hybrid of community cloud) waaruit gekozen kan worden, zijn de veiligheidsbedreigingen in de cloud complex en veelzijdig. Dat dwingt service providers en gebruikers om bestaande security policies te herijken en op te schalen. Voor de aanbieders is de uitdaging duidelijk: het aanbieden van een aantoonbaar veilige cloudomgeving is een hygiënefactor én een zeer belangrijk verkoopargument. Maar ook de gebruiker moet de vele risico’s in zijn keten van gebruikte cloudtoepassingen, services en providers leren kennen en er greep op zien te krijgen. En die uitdaging is voor beide partijen complexer dan wel wordt gedacht, waarschuwt Mulder. ‘De veiligheidsrisico’s in de cloud zijn veel breder. De data-segregatie moet kunnen worden gegarandeerd. In de cloud speelt het eigendomsvraagstuk van data een veel grotere rol, net als privacy-aangelegenheden. Je kunt geconfronteerd worden met politieke risico’s of de mogelijke dreiging van natuurrampen, afhankelijk van de locatie van het datacenter dat de service provider gebruikt. Er kunnen onvoorziene scale gevolgen zijn. Bestaande problemen van de beveiliging van interne systemen krijgen in de cloud een letterlijk andere schaal, doordat de zogenaamde fysieke barrière vervalt. En dan is er natuurlijk nog de steeds dominantere dreiging van de vele vormen van cybercrime.’

Security due diligence Mede daardoor worden Tonne Mulder en zijn collega-veiligheidsexperts steeds vaker gevraagd om al in de beginfase van een keuze- en transitieproces te adviseren of een security due diligence of security check uit te voeren. ‘De vragen die ons gesteld worden, zijn in de cloud anders van teneur. Gebruikers willen dat we hen adviseren over hoe ze de ketenregie kunnen houden over het eigen veiligheidsbeleid, hoe ze er zeker van kunnen zijn dat ze in elke mogelijke situatie bij hun data kunnen, of hoe ze minder afhankelijk van hun provider(s) kunnen worden. Aanbieders komen op hun beurt bij ons omdat de markt maximale veiligheidsgaranties van ze eist. Ze kunnen zich daardoor onderscheiden en beginnen het steeds meer als een kerncompetentie te beschouwen.’ Desondanks worstelen veel partijen nog met dit complexe vraagstuk. Zakelijke gebruikers voorop. Deze twijfelen met name over welke aanpak hen het beste past, gelet op de specieke omstandigheden van de organisatie en de al bestaande veiligheidsstructuren. ‘Wat voor security in brede zin geldt, geldt ook hier: elk afzonderlijk dossier vraagt om maatwerk. Maar er is wel een rode draad aan te geven die voor praktisch alle situaties opgaat.’ De door PwC gehanteerde methodiek kent een stapsgewijze en modulair opgebouwde aanpak. De eerste bouwsteen is een risicoanalyse vooraf. ‘Voordat een selectie van cloudtoepassingen en passende providers wordt gemaakt, moeten idealiter alle bestaande veiligheidsrisico’s zijn geïnventariseerd. Vervolgens wordt de impact ervan in kaart gebracht. Het uitgangspunt is simpel: op een zwak fundament is het wankel bouwen. Doordat wij met de koele blik van de relatieve buitenstaander kijken, komen hierbij bovendien vaak verrassende, en voorheen nog ongeziene zaken boven water.’

Vervolgens wordt een scan gemaakt van de gewenste cloudomgeving en welke veiligheidgaranties deze vraagt. ‘Daarbij worden vragen beantwoord als: wat willen we eigenlijk met de overstap naar de cloud bereiken? Welke partijen mogen of moeten toegang hebben om er het meeste voordeel van te hebben, en wat weten we van hun veiligheidsvoorzieningen? Welke risico’s spelen hier? En welke weten complianceregels gelden voor deze specieke situaties?’

Veiligheidsbehoefte Aan de hand van dit multidisciplinaire voorwerk wordt de actuele veiligheidsbehoefte opnieuw gedenieerd en voorzien van ‘clouddimensies’. ‘In deze fase moet duidelijk zijn welke veiligheidsrisico’s een organisatie in de gekozen cloudsituaties zal lopen, welke beheersbaar zijn en welke niet, en naar welke aanvullende security garanties men op zoek moet. In deze fase dient ook de vraag te zijn beantwoord of men in zee wil met één of meer providers. Oftewel: kies ik voor minder complexiteit en meer afhankelijkheid of het tegenovergestelde? Pas als dit alles duidelijk is en vastgelegd in een risicoplan, kan de zoektocht naar het meest geschikte deployment model en provider(s) beginnen.’ Vanuit security-oogpunt moet een geschikte aanbieder aan een aantal basisvoorwaarden voldoen. De eerste is dat men transparant is (en kan zijn) over het eigen veiligheidsbeleid. ‘Voldoen aan de ISO-normen alleen is niet genoeg. Ze moeten open zijn over hun trackrecord op veiligheidsgebied en dit inzichtelijk kunnen maken. Ze moeten laten zien hoe de veiligheidsprocessen zijn verankerd in de processen. Belangrijk is ook dat op al die punten door de gebruiker wordt dóórgevraagd en dat zoveel mogelijk garanties worden geëist. ’

Voorts moet natuurlijk aan heel concrete voorwaarden kunnen worden voldaan. Zo weegt de zekerheid van data-segregatie zwaar voor gebruikers. Net als de mogelijkheid om desgewenst van provider te kunnen switchen. ‘Als data worden uitbesteed, is het van vitaal belang te weten of deze in een aparte database worden bewaard of samen met datasets van andere gebruikers. In het laatste geval is sprake van een heel ander veiligheidsproel. ‘Ook adviseren we organisaties om een zo groot mogelijke bewegingsvrijheid vast te leggen. Als een leverancier contractueel een vendor lockin eist over een langere periode, is het maar de vraag of je wel met zo’n partij in zee moet gaan. Want wat gebeurt met je data als deze partij tussentijds failliet gaat? Of als de servers verplaatst zijn naar een land waar het Nederlands recht niet geldt of sprake is van politieke instabiliteit? ‘Hoe zeker is überhaupt dat men onder alle omstandigheden bij zijn data kan? En zo ja, hoe worden deze dan aangeleverd? In welk format, en heeft men in stresssituaties recht op de sleutel van encrypted bestanden? En wie is aansprakelijk als iets misgaat? Bevredigende antwoorden op deze en nog veel meer veiligheidsvragen moeten contractueel worden vastgelegd en in de SLA’s. Ook dit hoort bij securitymanagement 2.0.’ Alles overziend komt Tonne Mulder tot de conclusie dat de cloud een extra dimensie toevoegt aan het securityvraagstuk én een bijzondere vorm van advisering vereist. ‘Het beheersen van de ketenrisico’s vraagt om een multidisciplinaire vorm van ondersteuning. Het gaat niet alleen om het mitigeren van de technologische veiligheidsrisico’s, er komen veel meer aspecten bij kijken. Als PwC hebben we toegang tot alle benodigde kennisbronnen. We zijn dan ook in staat om het securityvraagstuk in de cloud vanuit alle perspectieven te benaderen.’

Go4Cloud | PwC als gids in de Cloud

27

Hoe veilig moet de provider zijn? De wijze waarop een aanbieder de security heeft geregeld en onderhoudt, wordt een steeds belangrijkere concurrentiefactor. De partijen die op dit punt het meeste comfort bieden, hebben een marktvoordeel. Maar wat moet de provider met voorrang doen om de veiligheidsclaim met succes te kunnen leggen? • Wees transparant over de securitymaatregelen • Garandeer een optimale data-segregatie • Wees duidelijk over de plaats en de omstandigheden waar de data worden opgeslagen of de systemen draaien • Denk actief mee over het professionaliseren van het identity management van de klant • Betrek bij de keuze voor een locatie van het datacenter ook de gevolgen voor de klanten op het gebied van privacy en scaliteit • Zorg voor een uitwijkscenario voor de datacenters en communiceer daarover • Leg vast in de SLA’s wie eigenaar is (en blijft) van de data en wie aansprakelijk is als data of systemen om welke reden niet benaderbaar zijn • Maak harde afspraken over de formats waarin data na beëindiging van de relatie worden aangeleverd • Denk mee met de klant over diens transparantie- en complianceverplichtingen

28

PwC

Hoe kunnen de securitygaranties van providers in de cloud het beste worden vergeleken? Om standaardisatie van veiligheidsmaatregelen mogelijk te maken, is de Cloud Controls Matrix ontwikkeld. Een internationale standaard voor dertien veiligheidsdomeinen, die allemaal betrekking hebben op de business informationomgeving. Gebruik naast andere veiligheidsnormen als ISO 27001/27002, DCI, NIST en CIS (Center for Internet security) biedt de CCM-matrix bovendien meer houvast bij het vormgeven van internationaal geaccepteerde securitygaranties. Daarnaast is het een betrouwbare maat om de securityprotocollen van service providers naast te leggen. ‘Het is een leidraad voor de beoordeling van de eigen securitymaatregelen en die van zakenpartners’ vindt Tonne Mulder.

PwC uw gids in de cloud Onze oplossingen voor een opkomende markt

PwC Services4Cloud RZOEK

CTEER SELE

GEBRUIK

ONDE

CLOUD GEBRUIKERS

De cloud gebruiker Fase

30

Activiteit • • • •

Cloud Use Cases Business Case Status Bepaling Programma van Eisen

Voordeel

Onderzoek

• • • •

Selecteer

• Aanbestedingsprocedure • Aanbieder Screening (Markt Analyse) • Selectie Aanbieder • Contract (bijvoorbeeld Privacy)

• Aanbesteding (RfP) • Aanbieders Short-List • Service Level Agreement (SLA)

• • • •

Onafhankelijk Focus Betrouwbaar Werkend

Implementeer

• Test Voorbereiding & Uitvoering • Migratie Voorbereiding & Assistentie • Wijzigingen & Communicatie Analyse • Fiscale Optimalisatie

• Test Plan, Test Cases, Test Resultaten • Concept inzake Migratie & Documentatie • Programma van wijzigingen, Communicatie Plan • Fiscale Optimalisatie Concept

• • • •

Bruikbaarheid Regelmaat Duurzaamheid Efficiëntie

Gebruik

• Post-Implementatie Evaluatie • Penetratie Testen op Beveiliging • Internal audit Ondersteuning (Aanbieder/Gebruiker) • Geschillenbeslechting

• • • •

• • • •

Zekerheid Transparantie Mate van afhankelijkheid Neutraliteit

PwC

Potentieel Analyse Efficiëntie Analyse Stakeholder/Gereedheidsanalyse Behoefte Analyse

Resultaat

Evaluatie van behaalde resultaten Veiligheidsgaten Auditrapport Bemiddeling of Beoordeling

• • • •

Geschiktheid Planning van beveiliging Oriëntatie Zorgvuldigheid

PwC Services4Cloud

GI

E

KOOP & OMZE T

REAL

ESS & STRATE

R VE

ISEREN

SIN BU

CLOUD AANBIEDERS

De cloud aanbieder Fase

Activiteit

Business & Strategie

• • • •

Efficiëntie Analyse Gereedheidsanalyse Transformatie Strategie Transactie Advies

Verkoop & Omzet

• • • •

SLA & Privacy Verklaring Analyse E-Invoicing, E-Archief Software Revenue Recognition Licentie Audit

Software & Diensten

Realiseren

Resultaat • • • •

Voordeel

Business Case Status Bepaling Cloud Business Model Targeting, Prijsstelling, Onderhandelen, Integratie

• Planning van Beveiliging • Oriëntatie Duurzaamheid • Betrouwbaarheid

• Wettelijke Bepaling • Transposition Concept • Revenue Recognition op basis van US-GAAP • Lijst & Evaluatie van Licentie Schendingen

• • • •

• Gegarandeerde Dienstverlening • Software Certicering • Data Privacy Seal

• Rapport(ISAE3402, SOC1-3) • Attestat • Certicaat (EuroPriSe)

• Compliance • Regelmaat • Conformiteit

• Penetratie Testen op Beveiliging • Geschillenbeslechting • Dashboard

• Veiligheidsgaten • Bemiddeling of Beoordeling • KPI Cockpit

• Transparantie • Neutraliteit • Governance

Zekerheid Compliance Betrouwbaarheid Neutraliteit

Go4Cloud | PwC als gids in de Cloud

31

32

PwC

Maak kennis met onze cloud gidsen Mark Tesselaar Cloud Leader [email protected] +31 887923525

Mark Kuijper Cloud in Telecom, Informatie Technology en Entertainment Mark.Kuij[email protected] +31 887923518

Suzanne Keijl Cloud in Public Sector Suzanne.keij[email protected] +31 887923517

Ronald Teuthof Cloud in Energy & Utilities [email protected] +31 887925301

Wim Hutten Cloud in Private Sector [email protected] +31 887924665

Stefan Verweij Cloud in Financial Sector Stefan.verweij@nl.pwc.com +31 887925446

Tonne Mulder Cloud en Security [email protected] +31 887925093

Deze publicatie is uitsluitend opgesteld als algemene leidraad voor relevante kwesties en dient niet te worden geïnterpreteerd als professioneel advies. U dient niet te handelen op basis van de in deze publicatie vervatte informatie zonder nader professioneel advies te hebben ingewonnen. Er wordt geen enkele expliciete of impliciete verklaring verstrekt of garantie geboden ten aanzien van de juistheid of volledigheid van de in deze publicatie vervatte informatie, en voor zover toegestaan krachtens de wet, aanvaarden de bij deze publicatie betrokken PwC rms, medewerkers en vertegenwoordigers geen enkele aansprakelijkheid, voor de gevolgen van enige handeling dan wel omissie door hetzij uzelf hetzij enige andere persoon op basis van de in deze publicatie vervatte informatie of voor enig besluit waaraan die informatie ten grondslag ligt.

Go4Cloud | PwC als gids in de Cloud

33

© 2012 PricewaterhouseCoopers Accountants N.V. (KvK 34180285). Alle rechten voorbehouden. In dit document wordt met ‘PwC’ bedoeld PricewaterhouseCoopers Accountants N.V., die een member firm is van PricewaterhouseCoopers International Limited. 'PwC' is het merk waaronder member firms van PricewaterhouseCoopers International Limited (PwCIL) handelen en diensten verlenen. Samen vormen deze member firms het wereldwijde PwC-netwerk. Elke member firm in het netwerk is een afzonderlijke juridische entiteit en handelt voor eigen rekening en verantwoording en niet als vertegenwoordiger van PwCIL of enige andere member firm. PwCIL verricht zelf geen diensten voor klanten. PwCIL is niet verantwoordelijk of aansprakelijk voor het handelen of nalaten van welke van haar member firms dan ook, kan geen zeggenschap uitoefenen over hun professionele oordeel en kan hen op geen enkele manier binden.