Cloud dwingt tot regie

Blijven toetsen op basis van businesscase is wezenlijk onderdeel van regie
ITExpert
Cloud dwingt tot regie
De cloud is harde realiteit geworden. En daarmee alle problemen die erdoor ontstaan. De
businesscontinuïteit is in het geding, zeggen Jan Bouman en Gino Wesselman. Regie is
hard nodig. Zonder duidelijkheid en gemeenschappelijke verwachting over wat de cloud
biedt, kan geen regie worden gevoerd.
door: Jan Bouman & Gino Wesselman beeld: marc kolle
C
Neem bijvoorbeeld de invoering van Office 365.
Applicaties die een interface met Exchange of
SharePoint hebben, worden gedwongen vier
releases per jaar te volgen. Interne change- en
testprocessen moeten in de pas lopen met de
cloud. Businesscontinuïteit is in het geding.
Regie is nodig, vooral regie over de eigen
organisatie die moet omgaan met de afhankelijkheid van de cloud.
Regie gaat over de juiste koers houden op een
viertal gebieden: (1) compliancy met regels en
wetten, (2) continuïteit van de business, (3)
beheersen van operationele risico’s en (4)
benutten van kansen, ofwel: het beste uit de IT
halen.
Basis voor het voeren van regie rond de cloud is
vaststellen wat wel en wat niet in de cloud zit
Regie
Best practices, waaronder ITIL, BISL en het negenvlaksmodel van Maes (UVA),
samengevat in één schema (zie hieronder). Aandacht voor regie gaat vooral uit
naar de raakvlakken tussen business, informatievoorziening en IT.
Richten: Aandacht voor cloud in de sourcingstrategie.
Inrichten: Interne IT-diensten aanvullen met clouddiensten. Leverancierscontracten afstemmen op outputgerichte sturing. Afrekenen op basis van gemeten gebruik.
Cloudspecificaties kunnen niet zomaar aangepast worden.
Verrichten: Gebruikersrechten in de cloud aansluiten op eigen rechtenbeleid. Eigen
processen afstemmen op releasekalender van leverancier. Serviceverzoeken afstemmen met cloudleverancier.
Regie
(vraag)
Business
Informatie
voorziening
Informatie
technologie
Informatiemanagement
IT sourcing(Cloud) strategie
Business architectuur
IT architectuur
Risico management, compliancy en informatiebeveiliging
Programma management
Cloud inkoop
Relatie management
Afrekenen Cloud diensten
Functionele specificaties
Project management
Interne diensten catalogus
Identity & Access management (rechten in de Cloud)
Verrichten
28
Change management
Incident management
Service afhandeling
of komt door middel van een sourcingstrategie.
Dit beschrijft wat in eigen huis gebeurt, wat
kan worden uitbesteed en wat als clouddienst
geleverd kan worden. Daarnaast zal de
discussie over prestaties en toegevoegde
waarde van clouddiensten moeten gaan.
Zonder duidelijkheid en gemeenschappelijke
verwachting over wat de cloud biedt, kan geen
regie worden gevoerd.
Afspraken met business en gebruikers vormen
een belangrijke meetlat voor regie. Dat geldt
ook voor de businesscase met argumenten om
voor de cloud te kiezen en – tijdens de
levenscyclus van de clouddienst – om in de
cloud te blijven. Omstandigheden veranderen
en de kans is groot dat ooit de businesscase niet
meer geldig is. Er zijn dan drie opties: de cloud
vaarwel zeggen, de businesscase wijzigen of de
clouddienst veranderen. Het blijven toetsen op
basis van de businesscase is een wezenlijk
onderdeel van regie. Regie rond cloudoplossingen hoeft niet opnieuw het wiel uit te vinden.
Best practices zoals COBIT, ITIL, BISL en ASL
bieden veel, mits ze worden toegepast met oog
voor de specifieke situatie. Ook inzichten uit
risicomanagement, informatiemanagement en
Service Oriented Architecture (SOA), waarvan
cloud een verwezenlijking is, leveren handzame
richtlijnen. De verschillende invalshoeken van
deze best practices vormen een uitdaging. Bij de
ene is het beheer en bij de andere risico’s,
management, beleid of architectuur. De ene is
richtinggevend terwijl de andere meer
operationeel is. Regie vraagt om een integrale,
heldere en het liefst een eenvoudige aanpak en
dus om gezond verstand.
Integrale aanpak
Regie
(aanbod)
Portfoliomanagement
Inrichten
Voor reacties
en nieuwe
bijdragen van
IT-experts:
Henk Ester,
070 3046812
h.ester@
automatiseringgids.nl
Investeringen
loud wordt snel gemeengoed. De
hype is over en de weerbarstige
praktijk dient zich aan. De businessmanager wil functionaliteit,
kostenbeheersing, focus op
kernactiviteiten of flexibiliteit zien. Echter, de
IT-manager heeft de techniek en het beheer
niet meer in handen. Wat betekent dit voor de
interne organisatie, voor processen en
systemen die afhankelijk van de cloud zijn, en
voor het voldoen aan wet- en regelgeving?
Cloud dwingt tot regie.
Het risico bestaat dat een essentiële businessapplicatie niet meer werkt omdat er toevallig
een nieuwe cloudrelease is ingevoerd. Wat
gebeurt er als opeens niet meer voldaan wordt
aan de regels van de toezichthouder of sector?
Richten
tussen objecten (processen, applicaties,
componenten) binnen en buiten de cloud
worden vastgelegd en onderhouden. Of het
periodiek doorlichten van de cloud op compliancy issues en risico’s. Vaak zien we ook een
signaleringssysteem verschijnen dat incidenten
bij de cloudleverancier en in de eigen organisatie registreert, die impact kunnen hebben op de
businesscontinuïteit en/of compliancy. Vele
andere typen maatregelen kunnen aan de orde
zijn.
Het simpelweg stellen van de vraag ‘wat hebben
we nodig om te sturen en koers te houden’ en
die beantwoorden langs bovengenoemde onderwerpen, biedt veel inzicht en daardoor de
mogelijkheid voor een effectieve regie.
Om tot die integrale aanpak te komen en
zodoende door de bomen het bos van best
practices te zien, speelt de vraag: Wat hebben
we nodig om te sturen en koers te houden?
• Scope
De eerste stap is altijd duidelijkheid scheppen
over wat wel en wat niet in de cloud zit. Eerder
noemden we al de sourcingstrategie en een
heldere scope: de diensten en componenten
waarom het gaat en welke beheeractiviteiten
inbegrepen zijn. Clouddiensten zijn vaak
verweven met ‘on premise’ processen of
applicaties. Duidelijkheid over de scheidslijn is
geboden. Bij het afnemen van een SaaS-oplossing dient men bijvoorbeeld van tevoren te
weten of gebruikersbeheer, zoals het toekennen van rechten en het instellen van wachtwoorden, door de cloudleverancier wordt
gedaan.
• Regels, normen en kaders
Vervolgens wordt vastgesteld op basis waarvan
we regie gaan voeren of gaan sturen. Dit zijn
interne en externe regels, normen en kaders.
Actuele voorbeelden voor de cloud zijn de Wet
Bescherming Persoonsgegevens, regels over
informatiebeveiliging, zoals NEN 7510 en ISO
27001, regels voor financiële instellingen,
bijvoorbeeld in verband met de Amerikaanse
Patriot Act, en getekende overeenkomsten met
cloudleveranciers. Het gaat hier om alle regels,
normen en kaders waarvan de wetgever,
toezichthouder of eigen directie zegt dat ze
geldig zijn. Het inventariseren van alles
waaraan men zich moet houden is een
belangrijke stap naar effectieve regie.
• Processen
Aan de hiervoor bedoelde regels, normen en
kaders wordt voldaan door middel van werkende processen die eenduidig belegd moeten
worden in de organisatie. Het algemene beeld is
dat processen die dicht bij de business staan
meer aandacht krijgen dan zij die te maken
hebben met techniek. Businessarchitectuur
wordt belangrijker dan IT-architectuur en het
gewicht van portfoliomanagement neemt toe
ten opzichte van de interne dienstencatalogus.
In termen van best practices betekent dit dat
BISL meer aandacht krijgt dan voorheen (zie
kader). Het in kaart brengen van noodzakelijke
processen en het vergelijken met de huidige
situatie, geeft vrijwel direct inzicht over de te
nemen acties.
• Organisatie
De processen leiden tot taken. Taken worden
gecombineerd tot rollen waarvoor bepaalde
competenties nodig zijn en die worden
gekoppeld aan functies. Functies worden
ingevuld door mensen die vanwege hun rollen
specifieke overlegvormen nodig hebben.
Uitwerking hiervan werkt zeer verhelderend en
brengt discussie op gang over knelpunten in de
regie-organisatie. De RACI-checklist, toegepast
per proces, over wie verantwoordelijk is voor de
uitvoering en welke andere betrokkenen er
zijn, blijkt hier een handig hulpmiddel te zijn.
• Informatie
Voor regiesituaties geldt altijd het principe
‘meten is weten is sturen’. Cloudleverancier en
de eigen organisatie leveren informatie in de
vorm van rapportages en signalen (bijvoorbeeld
in de vorm van ‘alerts’), op basis waarvan het
voldoen aan regels en het verloop van processen
wordt getoetst. Dit geeft mogelijkheden om bij
te sturen. Zonder deze informatie is er geen
effectieve regie mogelijk.
De aandacht voor bovengenoemde zaken leidt
tot een lijst met concrete maatregelen die in
samenhang zorgen voor voldoende regie.
Bijvoorbeeld het inrichten van een Configuration Management Database (CMDB) waarin –
beter dan voorheen – de afhankelijkheden
Als men de IT-infrastructuur, -platformen en
-applicaties in één cloud plaatst, zal de regie zich
beperken tot aansluiting op businessprocessen.
Goede afspraken met de cloudleverancier leiden
dan tot eenvoudige regie. Echter, de praktijk is
meestal anders. Niet alles zal in de cloud
geplaatst kunnen worden waardoor er complexe
afhankelijkheden ontstaan tussen wat wel en
wat niet in de cloud zit. Regie is dan essentieel
voor de continuïteit van business en IT.
Cloud ontzorgt dus niet alleen op het gebied
van techniek en beheer maar maakt ook een
investering in regie noodzakelijk. Dit komt tot
uiting in nieuwe of aangescherpte processen,
nieuwe tools en het opbouwen van nieuwe en
andere kennis en ervaring.
Deels hebben deze investeringen betrekking op
een nieuwe situatie, namelijk het feit dat
gegevens en/of applicaties buiten de eigen
organisatie geplaatst worden én dat de verdere
ontwikkeling van techniek en beheer uit
handen gegeven wordt. Echter, de vraag is
gerechtvaardigd of het allemaal wel zo nieuw is.
De meeste vormen van uitbesteding vragen om
gelijksoortige regie. Sterker nog, zelfs als er
geen sprake is van cloud of uitbesteding is regie
nodig. In de praktijk zien we vaak dat regie op
basis van de hiervoor genoemde onderwerpen
verwaarloosd wordt. Met IT in eigen huis is de
roep om proactieve controle meestal kleiner en
lost men problemen achteraf op.
De lijnen zijn immers korter en men is beter in
staat om problemen buiten de publiciteit te
houden.De cloud dwingt dus tot regie. Regie
die er eigenlijk altijd al had moeten zijn
maar waarvan de noodzaak minder
ervaren werd.
»
Jan Bouman CGEIT (links) en Gino Wesselman zijn
werkzaam bij SLTN Inter Acess te Hilversum.
Bouman adviseert en begeleidt organisaties over
regie van IT op basis van business, bedrijfsvoering, kosten/baten, risico’s en compliancy.
Wesselman adviseert organisaties over inrichting
van IT-regieorganisaties en -processen en het
bewaken van uitbestede delen van IT.
29

Download Report