Sourcing model op basis van cloud computing

Sourcing model op basis van cloud computing

Steeds meer organisaties overwegen om hun ICT onder te brengen (te sourcen) bij externe leveranciers van ICT-diensten in de cloud. Dit leidt er toe dat vele IT-afdelingen zichzelf aan het bezinnen zijn over hun eigen bestaansrecht. Binnen de huidige IT-afdelingen zal een ontvlechting moeten plaatsvinden van de vraag naar ICT-diensten en het aanbod van ICT-diensten. Het matchen van de vraag met het aanbod wordt wel de regiefunctie genoemd. Dit white paper beschrijft een model dat de regiefunctie kan gebruiken bij het maken van de juiste match tussen vraag en aanbod. Hiernaast geeft dit model de eisen aan waaraan de uit te besteden dienstverlening moet voldoen vanuit het oogpunt van het beheersen van risico’s.

Vincent Jentjens Is directeur van iComply en werkzaam in het vakgebied informatiebeveiliging, compliancy en cloud computing. [email protected]

Ben Elsinga Is als principal consultant bij Capgemini werkzaam in het vakgebied van identity en access management, architectuur en cloud computing. [email protected]

De auteurs hebben dit artikel op persoonlijke titel geschreven. Het artikel betreft dus de mening van de auteurs en niet die van de directe werkgever. Wij danken Pieter Hörchner voor illustraties van de 8 Cloud secnario's.

Inleiding Steeds meer organisaties overwegen om hun ICT onder te brengen (te sourcen) bij externe leveranciers van ICTdiensten. Deze ICT-dienstverlening wordt steeds meer via Internet toegankelijk en kan op basis van “betalen naar gebruik” worden afgenomen. Door ICT-diensten via Internet af te nemen kan de leverende partij, gegeven de mondialisering, veel meer schaalvoordeel bereiken dan een IT-afdeling binnen een willekeurige organisatie. Dit leidt er toe dat vele IT-afdelingen zichzelf aan het bezinnen zijn over hun eigen bestaansrecht. Diverse CxO’s hebben derhalve besloten dat het bestaansrecht van hun ITafdelingen niet meer ligt in het zelf leveren van de ICT, maar dat de IT-afdeling regie zal moeten voeren over “diensten van anderen” en moeten borgen dat deze verscheidenheid aan diensten ook nog integreert en bijdraagt aan de duurzaamheid van de informatie van de eigen organisatie. Dit betekent dat binnen de huidige IT-afdelingen een ontvlechting zal moeten plaatsvinden van de vraag naar ICTdiensten en het aanbod van ICT-diensten. Het matchen van de vraag met het aanbod wordt wel de regiefunctie genoemd. Cloud computing verandert de wijze waarop organisaties naar de ICT organisatie kijken. Cloud computing is nu een hype, maar zeker niet nieuw. Voorbeelden zijn Google apps, Amazon, Youtube, Twitter. Cloud computing vergemakkelijkt de keuze om de ICT onder te brengen bij een externe partij, doordat door de schaalgrootte, de diensten goedkoop, schaalbaar en op afroep afgenomen kunnen worden. Aan de andere kant introduceert het fenomeen Cloud computing ook weer een aantal zaken waarbij extra stilgestaan moet worden. Denk hierbij aan zaken als beveiliging, voldoen aan wet- & regelgeving en regie naar de dienstverlener toe. Er zijn inmiddels een bijna ontelbaar aantal artikelen geschreven over cloud computing. Het overgrote deel van deze artikelen zijn technisch van aard en/of aanbod gericht. We missen hierin de handvatten die organisaties helpen bij het verantwoord en beargumenteerd keuzes te maken voor een bepaalde cloud oplossing waarbij ook aan de cloud dienstverlener eisen gesteld worden.

White paper “Sourcing model op basis van cloud computing” door Ben Elsinga en Vincent Jentjens versie 1.1 - Januari 2011

1

Doel van dit white paper

slot wordt het model zelf beschreven.

Dit white paper beschrijft een model dat de regiefunctie kan gebruiken bij het maken van de juiste match tussen vraag en aanbod. Hiernaast geeft dit model de eisen aan waaraan de uit te besteden dienstverlening moet voldoen vanuit het oogpunt van het beheersen van risico’s. Een van de weinige artikelen, beschikbaar via Internet, dat uitgaat van een vraagoriëntatie is het white paper 1 “Cloud Computing Use Cases” dat is geschreven door de “Cloud Use Cases Discussion Group”. Kennis uit dat whitepaper wordt in dit white paper hergebruikt en voor de regiefunctie van een IT-afdeling concreet toepasbaar gemaakt. Ons doel van dit white paper is om dit model te beschouwen als “open kennis” door gebruik te maken van de “Creative Commons” licentie. Discussie over dit model kan derhalve worden gevoerd binnen www.ibpedia.nl2. Een kennisdelingssite voor professionals op het gebied van risico management.

Eigenschappen van Cloud computing Er zijn diverse definities van Cloud computing in de loop der tijd beschreven. In dit white paper hanteren wij de volgende definitie: Cloud computing is het servicegericht afnemen van “state of the art” ICT-diensten van derden via een netwerkinfrastructuur (bv. Internet). Cloud-diensten zijn zeer schaalbaar en “on demand” beschikbaar met minimale voorinvesteringen.

Ten tijde van het schrijven van dit whitepaper is een rapport in de maak door ENISA3 genaamd: “Security & Resilience in Governmental Clouds”. Het loont de moeite om ook dit rapport te gebruiken indien overheidsorganisaties een bewust besluit willen nemen welke applicaties in welke type cloud horen. Beide modellen kunnen wat ons betreft in combinatie met elkaar worden gebruikt. Na een architectuurkeuze op basis van dit model volgt er een risico afweging om eventuele restrisico’s weg te namen. Samengevat kan dit model prima worden gebruikt in een RFI-fase, het model van ENISA komt goed tot zijn recht in een RFP-fase.

Voor wie is dit white paper bedoeld? Dit white paper is bedoeld voor iedereen die vanuit vraagperspectief betrokken is bij het adviseren en realiseren van cloud oplossingen voor concrete business-toepassingen. Te denken valt aan business consultants, regie managers en informatie architecten. Ook voor informatiebeveiligers en compliance officers kan dit white paper interessant zijn en dan met name om globale architectuureisen die volgen uit dit model, naar meer concrete eisen door te vertalen voor de eigen specifieke situatie.

Leeswijzer In dit white paper komen een aantal zaken aan de orde. Eerst wordt er stil gestaan bij de specifieke eigenschappen van cloud computing. Hierna wordt beschreven aan welke criteria een sourcingsmodel moet voldoen alvorens het toepasbaar is door een regiefunctie van een IT-afdeling. Tot 1 http://opencloudmanifesto.org/Cloud_Computing_Use_Cases _Whitepaper-4_0.pdf 2 3

http://www.ibpedia.nl/index.php? title=Sourcing_model_op_basis_van_cloud_computing http://tweakimg.net/files/upload/Security%20-%20Resilience %20in%20Governmental%20Clouds_ENISA%20(1).pdf

2

De bovenstaande figuur van de NIST vat de relevante elementen kort en krachtig samen. De bovenlaag bestaat uit de manier waarop de cloud-dienst kan worden aangeboden (deployment models). We hebben hierbij de volgende keuzes: Publiek: De cloud-dienst is wereldwijd beschikbaar via het Internet. Meerdere organisaties en personen maken gebruik van deze publieke dienst. Voorbeelden hiervan zijn: Hosting services voor websites, Google Apps, Gmail en Yammer; Privaat: De cloud-dienst is specifiek voor één organisatie opgezet. Deze organisatie heeft de volledige controle over de cloud-dienst en is in principe alleen via diens infrastructuur benaderbaar; Hybride: Hierbij worden verschillende vormen van clouddiensten met eigen dienstverlenging geïntegreerd; Community: Een aantal organisaties die samen werken kunnen besluiten een besloten cloud op te richten voor bijvoorbeeld alleen de Rijksdienst in Nederland of alleen de Nederlandse overheid. Voorbeelden hiervan zijn te vinden in de USA, de UK en Japan.

White paper “Sourcing model op basis van cloud computing” door Ben Elsinga en Vincent Jentjens versie 1.1 - Januari 2011

Iedere cloud-dienst kan worden onderscheiden in het niveau van de service (service models) die wordt verleend. Dit niveau van de service ligt op het niveau van de software (SaaS), het platform (PaaS) of op het niveau van de infrastructuur (IaaS). Software as a Service (Saas): Bij Software as a Service (SaaS) wordt een applicatievedienst afgenomen, waarbij de applicatie volledig onder controle van de dienstverlener staat. Kenmerkend hierbij is dat de aangeboden diensten sterk gestandaardiseerd zijn en hierdoor is de schaalbaarheid en betrouwbaarheid hoog. Een voorbeeld van SaaS is Google mail. Platform as a Serivice (Paas): In dit type dienstverlening wordt een platform geboden waarop de gebruiker zijn eigen applicaties kan ontwikkelen, hosten en beheren. Voorbeelden: PayPal, Google App Engine, Amazon S3, Rackspace Cloud Sites. Infrastructure as a Service (Iaas): Bij IaaS wordt de infrastructuur als een dienst aangeboden. Te denken valt aan reken-, opslag- en netwerkcapaciteit. Een voorbeeld van IaaS is een organisatie die het wereldwijde netwerk als dienst afneemt.

Kansen van cloud computing Kansen voor een organisatie m.b.t. cloud computing zijn o.a.: • Het afnemen van reeds beschikbare en schaalbare Internet diensten is een manier om de wendbaarheid van de organisatie te vergroten; • Sociale netwerken (Web 2.0) gebaseerd op cloud computing dragen bij aan de coördinatie van de organisatie richting haar omgeving; • Schaalvoordelen en meer concurrentie tussen vergelijkbare ICT-dienstverlening leiden tot lagere kosten voor de verwerking en opslag van informatie; • Cloud computing voegt een component toe aan de sourcing-strategie, waardoor een organisatie optimaal haar ICT kan sourcen; • Goed instrumentarium voor vernieuwing en innovatie.

Risico’s van cloud computing Risico’s voor een organisatie m.b.t. cloud computing zijn o.a.: • Het kunnen voldoen aan wet- en regelgeving, bijvoorbeeld ten aanzien van de locatie van privacy gevoelige en vertrouwelijke gegevens. • Er zijn geen mechanismen binnen de meeste organisaties aanwezig om verschillende clouddiensten met elkaar te integreren tot één logisch geheel; • Door het ontbreken van standaarden is het momenteel lastig om te migreren van de ene naar de

•

•

ander cloud-aanbieder (vendor-lockin); De afhankelijkheid v.d. netwerkinfrastructuur. Mogelijk een probleem in landen met een beperkte telecommunicatie voorziening; Informatie die niet meer wordt gearchiveerd en versnipperd aanwezig is binnen verschillende clouds.

Cloud Sourcing Model Bij het ontwerp van dit cloud sourcing model zijn de volgende criteria opgesteld waaraan het model dient te voldoen: • Het model is snel en relatief eenvoudig te gebruiken De vragen die moeten worden beantwoord zijn zuiver functioneel en niet technisch van aard. • De uitbestedende partij staat centraal De vrager bepaalt. Door toepassing van dit model kan een tegenwicht worden geboden aan grote en dominante aanbiedende partijen. • Het is organisatie- en marktsector onafhankelijk Dit sourcing model kan in alle marktsectoren worden toegepast. Gegeven de creative commons licentie kunnen afgeleide modellen worden ontwikkeld voor specifieke sectoren (indien nodig). • Toepasbaar voor een breed scala aan diensten Het model is met name gericht op (SaaS) maar kan in principe ook hoger en lager in de (delivery model) stack worden toegepast. • Het bouwt voort op kennis die reeds op Internet aanwezig is. Dit white paper is gepubliceerd met en Creative Commons licentie en maakt actief gebruik van publicaties4 geschreven onder een Creative Commons licentie. Het model ondersteunt bij het maken van een keuze uit de diverse cloud-diensten die aangeboden worden en helpt de uitbestedende partij om de volgende zaken inzichtelijk te maken: • Keuze voor de soort dienstverlening Na de beantwoording van een aantal functionele vragen moet helder zijn welke type informatie wordt verwerkt, wie gebruik maakt van de dienst, en welke dienstverlening past bij de gevraagde functionaliteit. •

4

Kwaliteitseisen die aan de dienstverlening moeten worden gesteld Na de beantwoording van een aantal functionele vragen moeten dan ook (globaal) de eisen en consequenties in beeld zijn gebracht op het gebied van compliany (voldoen aan vigerende wet- en regelgeving), de te stellen beveiliging- en privacy eisen, eisen t.a.v. de exit strategie (voorkomen van vendor locking) en de eisen t.a.v. de kwaliteit van de Het white paper “Cloud Computing Use Cases” dat is geschreven door de “Cloud Use Cases Discussion Group”.

White paper “Sourcing model op basis van cloud computing” door Ben Elsinga en Vincent Jentjens versie 1.1 - Januari 2011

3

gevraagde dienstverlening (service level management). •

Wolk 2: De organisatie in de wolken (externe focus)

Positionering van de organisatie in haar ecosysteem De uitkomst van dit model geeft richting ten aanzien van de afspraken die een organisatie moet maken met zijn ketenpartners over waar de verantwoordelijkheden t.a.v. van de geleverde dienstverlening zijn belegd (wie heeft controle over de dienstverlening).

Het model bestaat uit 10 selectievragen waarmee een 8-tal mogelijke typen cloud-diensten geselecteerd kunnen worden. Hieronder wordt een nadere toelichting gegeven op de acht mogelijke cloud-scenario's en de tien selectievragen. Hierna wordt beschreven hoe de beantwoording van de tien selectievragen leidt tot een aantal concrete resultaten met dit model.

De acht type cloud-scenario's In onderstaande tabel worden de acht cloud-scenario's beschreven5. Wolk 1: De medewerker in de wolken

Bij dit type dienstverlening wordt er een generieke/ standaard dienst vanuit publieke of hybride cloud-diensten aangeboden. Echter, de organisatie heeft nu een contract afgesloten met de dienstverlener waardoor er specifieke eisen aan de dienstverlening gesteld kunnen worden. Denk hierbij aan het logisch scheiden van data, het borgen van het intellectueel eigendomsrecht op de organisatiegegevens en het afdwingen van een minimaal gegarandeerde beschikbaarheid. Voorbeelden van generieke diensten waar dit mogelijk is zijn bijvoorbeeld Google Apps of Yammer. Wolk 3: Onze klanten in de wolken (externe focus)

Bij dit type dienstverlening wordt er een generieke/ standaard dienst vanuit publieke cloud-diensten aangeboden. Denk hierbij aan Twitter, LinkedIn, Facebook, etc. Medewerkers van de organisatie kunnen gebruik van deze dienst maken, maar de organisatie zelf heeft geen invloed op de dienst en het gebruik hiervan. Via deze diensten staan de eigen medewerkers in contact met anderen.

5

In dit scenario gebruikt de organisatie publieke of hybride cloud-diensten en stelt deze beschikbaar aan de (potentiële) klanten van de organisatie. De organisatie heeft dus direct invloed en zeggenschap over de aangeboden dienstverlening. Voorbeelden hiervan zijn organisaties die een e-commerce of een e-government dienstverlening aanbieden.

Als consistentie-check zijn alle acht cloud-scenario’s gepositioneerd binnen de SaaS-laag van de Cloud-Cube. Voor meer informatie over de Cloud-cude, zie: http://web.me.com/pieterhorchner/Business/Artikelen/ Artikelen/2010/12/21_De_Nederlandse_overheid_in_d e_Wolken_files/De-Nederlandse-Overheid-in-deWolken-XR-Magazine.pdf

White paper “Sourcing model op basis van cloud computing” door Ben Elsinga en Vincent Jentjens versie 1.1 - Januari 2011

4

Wolk 4: Met zijn allen in de wolken (externe focus)

In dit scenario worden diensten aangeboden waar diverse organisaties en individuele personen gebruik van maken. De eigen organisatie voert samen met de ketenpartners regie over de dienstverlening richting een leverancier van publieke of hybride cloud-diensten. Voorbeelden hiervan zijn digitale loketten voor publieke diensten van de Nederlandse overheid. In dit geval zijn de klanten Nederlandse burgers en de ketenpartners samenwerkende overheidsinstanties. Wolk 5: In de gemeenschappelijke wolk (community focus)

Wolk 6: Dienstverlening vanuit een eigen wolk (externe focus)

In dit geval biedt de organisatie zelf een cloud-dienst aan en stelt deze beschikbaar aan klanten, de eigen medewerkers en vertrouwde ketenpartners. De organisatie heeft dus direct invloed en zeggenschap over de aangeboden dienstverlening. Voorbeeld hiervan zijn te vinden in de auto-industrie waar de toeleveranciers direct toegang hebben tot een centrale database van een autofabrikant. Een ander voorbeeld zijn de basisregistraties binnen de Nederlandse overheid. Wolk 7: Open data (externe focus)

In dit scenario wordt door een derde partij diensten aangeboden die voor vertrouwde ketenpartners beschikbaar zijn. De eigen organisatie voert samen met de ketenpartners regie over de dienstverlening richting een leverancier van publieke of hybride cloud-diensten. Het doel van dit scenario is om met de ketenpartners een community gerichte samenwerking op te bouwen. Bijvoorbeeld een aantal verschillende organisaties die samen aan een gemeenschappelijk product werken. Een ander voorbeeld zijn alle departementen van de Nederlandse overheid die in het kader van de bedrijfsvoering rijksbreed samenwerken.

In dit scenario stelt de eigen organisatie publieke gegevens actief beschikbaar aan anderen zodat deze partijen of individuen hier aanvullende dienstverlening op kunnen baseren. De eigen organisatie is in dit geval DE bron voor de gegevens die ter beschikking worden gesteld. Voorbeelden zijn kranten die nieuws via Internet openbaar maken over overheden die publieke gegevens via Internet ter beschikking stellen zoals weergegevens, geografische informatie, enz.

White paper “Sourcing model op basis van cloud computing” door Ben Elsinga en Vincent Jentjens versie 1.1 - Januari 2011

5

Wolk 8: Optimale bedrijfsvoering (interne focus)

de dienst noodzakelijk? Uitgangspunt is dat de gebruiker van de dienst een minimale beschikbaarheid van de dienstverlening wenst. Deze vraag is zeer relevant omdat (in theorie) via het Internet gaan minimale beschikbaarheid kan worden geboden. 6. Is de informatie die door de dienst wordt verwerkt organisatie vertrouwelijk6? Er wordt gekeken naar wat voor informatie in de cloud verwerkt wordt qua gevoeligheid. Het criterium is dat het uitlekken van deze informatie de organisatie in kwestie ernstige schade kan toebrengen.

Voor de bedrijfsvoering maakt de eigen organisatie gebruik van eigen IT-dienstverlening in combinatie van clouddiensten van anderen. Diensten die de eigen IT-organisatie niet efficiënt of doelmatig kan leveren worden via flexibele cq. elastische cloud-diensten afgenomen. Voorbeelden zijn het tijdelijk opschakelen van verwerkingscapaciteit of de cloud-diensten voor het ondersteunen van een testmanagement proces.

De 10 selectievragen In onderstaande tabel worden de selectievragen beschreven. De uitkomsten van deze vragen sturen de uitkomsten van het model in dit white paper. 1. Maken de medewerkers van de organisatie gebruik van de dienst, maar zonder invloed van de eigen organisatie? Uitgangspunt is dat medewerkers van een organisatie gebruik maken van diverse diensten op het internet voor hun werkzaamheden die niet onder de controle van de organisatie staan. 2. Is de organisatie is een directe afnemer van de dienst? Uitgangspunt is dat aan de medewerkers van een organisatie een cloud-dienst door de organisatie zelf wordt afgenomen. De organisatie heeft controle over het gebruik en de toegang tot de dienst.

7. Is de informatie die door de dienst wordt verwerkt privacy gevoelig? Er wordt gekeken naar wat voor informatie in de cloud verwerkt wordt qua privacy gevoeligheid (WBP-klasse II of III 7). Deze vraag is van belang in het kader van het voldoen van wet- en regelgeving. 8. Is de informatieverwerking is fraude gevoelig? Er wordt gekeken naar de mate waarin integriteit van de gegevens. Te denken valt aan gegevens die financieel van aard zijn. 9. Is de dienstverlening hoofdzakelijk gericht op het ter beschikking stellen van publieke informatie aan anderen? Er wordt gekeken naar de mate het publiceren van openbare informatie aan derde partijen. Beschikbaarheid en integriteit van de gegevens zijn belangrijk, de vertrouwelijkheid juist niet vanwege het openbare karakter van deze gegevens. 10. Is de dienstverlening hoofdzakelijk gericht op het optimaliseren van de eigen bedrijfsvoering? Er wordt gekeken naar de mate waarin de ondersteunende processen van de eigen organisatie efficiënter en doelmatiger kunnen worden ondersteund.

3. Is de dienst is een public of private dienst waar klanten gebruik van kunnen maken? Uitgangspunt is dat iedereen (op uitnodiging) gebruik van de dienst kan maken. Dit gaat dus verder dan enkel de medewerkers van de eigen organisatie. 4. Maken andere organisaties gebruik van de dienst? Uitgangspunt is dat ook andere organisaties afnemer van de dienst kunnen zijn. Bijvoorbeeld, de aangesloten organisaties leveren een samenhangende dienst voor één of meerdere klantengroepen. 6

5. Is er een gegarandeerde minimale beschikbaarheid van

7

Binnen de Nederlandse overheid wordt hiervoor ook wel de term “Departementaal Vertrouwelijk” gehanteerd Zie www.cbp.nl

White paper “Sourcing model op basis van cloud computing” door Ben Elsinga en Vincent Jentjens versie 1.1 - Januari 2011

6

7 Analysetabel met de voorkeurscenario(s) De bovenstaande analysetabel8 wordt gebruikt om een voorkeurscenario voor een type wolk te selecteren. Beantwoord hiervoor de selectievragen en maak bij ieder positief antwoord de "√"-jes in dezelfde rij grijs. Selecteer vervolgens de kolom(men) met de meeste grijze "√"-jes als zijnde het / de voorkeurscenario('s). In de praktijk kan deze invuloefening kolommen met dezelfde score opleveren. Op zich geen probleem want dan is er nog ruimte voor een nadere keuze. Over het algemeen is een publieke cloud meer kosteneffectief dan een community of een privé cloud9 . M.a.w. een stelregel kan zijn dat er bij een gelijke score de meest linkse kolom wordt geselecteerd.

8 9

De bovenstaande analysetabel is ook in de vorm van een spreadsheet beschikbaar via de auteurs van deze white paper Zie de whitepaper http://blogs.technet.com/b/microsoft_on_the_issues/archive/ 2010/11/11/the-economic-impact-of-the-cloud.aspx

Een alternatief is om de top-2 of top-3 aan scenario’s met het model van ENISA 10 verder uit te werken. Dit afhankelijk van de hoeveelheid beschikbare tijd, geld en kennis in de eigen organisatie om deze analyse uit te voeren. Zodra de hierboven genoemde invuloefening is uitgevoerd dan hebben we al een hele belangrijke architectonische afweging gemaakt, n.l. de keuze tussen een publieke, community of privé cloud-dienst en we hebben bepaald hoe andere ketenpartners met deze cloud-dienst zullen interacteren.

10 Zie het report “Security & Resilience in Governmental Clouds”

White paper “Sourcing model op basis van cloud computing” door Ben Elsinga en Vincent Jentjens versie 1.1 - Januari 2011

Analysetabel primaire eisen aan de cloud-dienst Op basis van de vorige analysetabel hebben we na consultatie met alle belanghebbenden uit de acht scenario’s het voorkeursscenario uitgekozen. Op basis van dit voorkeursscenario kunnen nu de eisen aan de cloud-dienst worden geformuleerd. Dit doen we door gebruik te maken van de publicatie white paper11 “Cloud Computing Use Cases” dat is geschreven door de “Cloud Use Cases Discussion Group” (Bij de auteurs van dit artikel is een excelsheet verkrijgbaar met een overzicht van de gestelde eisen per scenario). We raden aan om regelmatig de laatste versie van dit white paper op Internet op te zoeken omdat dit paper zelf ook steeds weer wordt verbeterd. Ten tijde van het schrijven van dit whitepaper bevond het “Cloud Computing Use Cases” zich in versie 4.0. In de onderstaande tabel zoeken we nu voor het voorkeursscenario de bijbehorende “Use Cases” uit het paper “Cloud Computing Use Cases” op.

Analysetabel aanvullende eisen aan de cloud-dienst Ondanks de kwaliteit van het whitepaper “Cloud Computing Use Cases” menen wij dat door het beantwoorden van de selectievragen meer concrete aanvullende eisen kunnen worden gesteld aan de cloud-dienst conform het voorkeursscenario. Doorloop wederom de acht selectievragen en voeg de onderstaande globale eisen tot aan de cloud-dienst indien het antwoord op een selectievraag positief is. De lezer van dit white paper wordt door de auteurs van dit white paper uitgedaagd om nog specifiekere modellen te ontwikkelen en deze de delen via www.ibpedia.nl12 .

11 http://opencloudmanifesto.org/Cloud_Computing_Use_Cases _Whitepaper-4_0.pdf 12 http://www.ibpedia.nl/index.php? title=Sourcing_model_op_basis_van_cloud_computing

White paper “Sourcing model op basis van cloud computing” door Ben Elsinga en Vincent Jentjens versie 1.1 - Januari 2011

8

De gehele werkwijze samengevat

9

Bovenstaande figuur vat de gehele werkwijze samen (deze excelsheet is verkrijgbaar bij de auteus). 1. Beantwoord de selectievragen en maak bij ieder positief antwoord, de "√"-jes in dezelfde rij grijs in de analysetabel met de voorkeurscenario(s); 2. Selecteer de kolom(men) met de meeste grijze "√"-jes als zijnde het / de voorkeurscenario('s) en voeg de aanvullende eisen (de drie groene rijen) toe aan de eisen voor ieder voorkeurscenario; 3. Maak samen met alle belanghebbenden een keuze voor het meest optimale scenario op basis van het "reuse by design"- en “privacy by design”-principes en uitgangspunten uit de business case13 zoals kosten en compliance overwegingen; 4. Maak aan de hand van de “analysetabel primaire eisen aan de cloud-dienst” een eerste overzicht van globale eisen voor de cloud-dienst conform het voorkeursscenario; 5. Vul deze globale eisen aan door gebruik te maken van de “analysetabel aanvullende eisen aan de clouddienst”; 6. Maak de lijst met globale eisen compleet om een keuze te kunnen maken voor de juiste aanbieder van de cloud-dienst;

13 Aanname is hier wel at er voor de beoogde verandering een business case is gemaakt. Het model in dit white paper kan tevens tijdens de business case fase worden gebruikt om meer zicht te krijgen op de beoogde oplossing en de kosten hiervan.

7. Selecteer een dienstverlener op basis van het voorkeurscenario, functionele behoeften, aanvullende eisen, globaal dan wel specifiek. Laat desnoods door de cloud-leverancier aangeven hoe globale eisen door de cloud leverancier specifiek worden gemaakt; 8. Voer een risicoanalyse uit voor het formuleren van compenserende maatregelen en het expliciteren van restrisico's voor het management (opdrachtgever en informatie-eigenaren); 9. Verwerf de dienst14 en richt deze in bij een positief besluit van het management; 10. Begeleiding van de invoering en de integratie met de rest van de informatievoorziening gebeurd bij voorkeur “onder architectuur”15 ; 11. Doe voorstellen via www.ibpedia.nl16 om op basis van leerervaringen dit model nog beter te maken voor anderen (en uiteraard uzelf).

14 Bijvoorbeeld via een RFP of aanbestedingsfase afhankelijk van de marktsector waarin de organisatie zich bevindt. 15 http://www.dya.info/Images/Niveaus%20in%20werken %20onder%20architectuur_tcm13-19175.pdf 16 http://www.ibpedia.nl/index.php? title=Sourcing_model_op_basis_van_cloud_computing

White paper “Sourcing model op basis van cloud computing” door Ben Elsinga en Vincent Jentjens versie 1.1 - Januari 2011

Gebruikte licentievorm De expertbrief wordt gepubliceerd onder de volgende licentie: http://creativecommons.org/licenses/by/3.0/nl/

10

White paper “Sourcing model op basis van cloud computing” door Ben Elsinga en Vincent Jentjens versie 1.1 - Januari 2011