5
mei 2012: Maandblad Informatie: De Vloedgolf 'Cloud'
Originele
artikel en per pagina's
1, 2 en 3 gepubliceerd op: 04-05-2012
Discussie
via LinkedIn
>>
Cloud belooft fantastische mogelijkheden die alleen beperkt kunnen worden
toegepast <<
Samenvatting:
Organisaties
die overwegen zich in de cloud te begeven moeten zich bewust zijn
van de haken en ogen aan cloud computing. Een punt om goed over
na te denken is bijvoorbeeld welke functionaliteit zich leent voor
de cloud. Ook is cruciaal dat een organisatie zelf de regie houdt.
Een andere belangrijke vraag dien een organisatie zich moet stellen
is hoeveel risico ij met haar informatie kan, durft, wil en/of mag
lopen.
De inhoud van het
artikel is:
De
vloedgolf 'Cloud'
Sinds enige
tijd wordt veel in de informatie- en IT-sector geassocieerd met
cloud computing. In dit artikel worden veel van de uitingen rond
cloud gerelativeerd om enige rede terug te brengen in de discussies
over de mogelijkheden die cloud kan bieden.
Haken
en ogen aan cloud computing
Alles in de informatie-
en IT-sector schijnt tegenwoordig om ‘cloud’ te draaien.
De zoveelste hype. Cloud belooft schitterende dingen, zoals ‘alleen
betalen voor wat je gebruikt’ en ‘nooit meer aan één
plaats gebonden zijn om te werken’. Waarom nog door die vervelende
file naar kantoor als je ook thuis kunt werken? Of totaal ergens anders,
waar dan ook ter wereld? En dat alles via een computerinfrastructuur
via een netwerk, zoals internet, dat zo elastisch is dat het snel groter
of kleiner gemaakt kan worden al naargelang dat nodig is. Fantastische,
schijnbaar ongelimiteerde mogelijkheden. Maar wel met vele, min of meer
verborgen, haken en ogen
Het woord ‘cloud’
komt voort uit de wolkjes die IT’ers al vele jaren tekenen om
hun IT-infrastructuur met ‘iets’ te verbinden. Het gebruik
van die wolkjes is de laatste tijd sterk uitgebreid, en dat alles wordt
nu cloud genoemd. Als je cloudleveranciers mag geloven, omvat cloud
alle IT-infrastructuur waar zij voor hun klanten verantwoordelijk voor
zouden kunnen zijn. Dat levert zowel goede als enigszins vreemde ideeën
op die vaak alleen logisch zijn als je in de commerciële lijn van
zo’n leverancier denkt. Bijvoorbeeld de private cloud (ook wel
interne of corporate cloud genoemd). Dit is de eigen IT-infrastructuur
van een organisatie die diensten verleent aan een beperkte groep mensen
in een beschermde omgeving. ‘Private cloud’ wordt vooral
gezien als een marketingterm omdat organisaties leveranciers kunnen
vragen hun investeringen in en exploitatie van hun IT-infrastructuur
voor hen te regelen. Bij voorkeur via outsourcing.
Dit alles breidt
de originele definitie van cloud heel stevig uit. Cloud blijkt nu niet
alleen het gebruik van algemeen beschikbare, ‘elastische’
IT-infrastructuren buiten de organisatie te omvatten, maar ook alle
andere IT-infrastructuren waar een cloudleverancier verantwoordelijk
voor zou kunnen zijn. Zo is er weinig verschil meer tussen wat tot nu
toe IT-infrastructuur genoemd is en wat vanaf nu cloud heet. Het enige
verschil lijkt dat cloudleveranciers zichzelf bij cloud ‘onmisbaar’
tussen organisatie en IT proberen te plaatsen. Dit is een veel explicietere
en hardere positionering dan men tot nu toe nastreefde, waarbij niet
de klant maar marktaandeel en continuïteit centraal staan.
Er zitten vele haken
en ogen aan cloud. Daar wordt nog weinig over gesproken omdat er waarschijnlijk
nog te weinig ervaring mee is. In het navolgende wordt, zonder compleet
te willen zijn, een aantal essentiële punten op een rij gezet.
Misvattingen
over cloud
Als eerste het punt
dat cloud veel betere oplossingen voor de informatievoorziening van
organisaties zou bieden omdat cloudleveranciers veel meer weten van
IT en beter personeel kunnen inzetten. Dat is een idee-fixe. Ten eerste
omdat er geen reden is waarom organisaties niet zelf competent IT-personeel
in dienst zouden kunnen hebben. Toegegeven, voor veel organisaties,
vooral de kleinere, is het lastig om het juiste personeel te vinden.
Maar als een cloudleverancier het kan, dan kunnen andere organisaties
dat ook. Veel van de zelfstandige IT-professionals tonen dit ook aan
omdat zij wel in staat blijken zichzelf competent te maken, en te houden.
Organisaties zouden hun medewerkers kunnen helpen door passende programma’s
voor ‘permanente educatie’ op te zetten, bijvoorbeeld door
die programma’s in te passen in de aanstaande gestandaardiseerde
beroepsregels van Europa. Een tweede reden is dat cloudleveranciers
misschien wel hoog competent personeel hebben, maar dat ze die mensen
niet overal tegelijk kunnen inzetten. Het kan niet anders dan dat het
inzetten van minder competent of zelfs beginnend personeel gevolgen
heeft voor de kwaliteit van hun dienstverlening.
Dan de claim dat
een IT-infrastructuur beter in elkaar zit (en blijft zitten) als deze
door externen beheerd wordt. Een van de genoemde redenen is dat trends
in technologie snel(ler) gevolgd zouden kunnen worden. Dit is vooral
een wens, en het is de vraag of die wens een feit wordt. Functioneel
gezien kunnen ook cloudleveranciers geen betere ondersteuning creëren
omdat ook zij afhankelijk zijn van wat hun ‘klantorganisatie’
hun kan vertellen over wat ze nodig hebben. Daarom levert het outsourcen
van een IT-infrastructuur niet automatisch een betere ondersteuning
op; ook de leverancier zal immers verder moeten gaan met wat de organisatie
al had. Het is sterk de vraag of het bestaande sneller en goedkoper
verbeterd kan worden als een en ander in een cloud gezet wordt. Cloudleveranciers
werken immers met contracten die hen binden. Omdat zij winst moeten
maken, zullen zij geneigd zijn vooral en alleen te veranderen op de
manier die het contract voorschrijft. Tenzij, misschien, hun eigen kosten
er lager door worden, of er extra voor betaald wordt. En dat is inclusief
de inzet van nieuwe(re) technologie. Zeker als het om de allernieuwste
technologie gaat, want cloudleveranciers zijn vooral verantwoordelijk
voor de continuïteit van hun dienstverlening.
Onder cloud computing
wordt vooral het outsourcen van een IT-infrastructuur verstaan. Het
begrip wordt, zoals gezegd, op steeds meer manieren gebruikt: van betalen
voor werkelijk gebruik van een IT-infrastructuur tot het buiten de deur
zetten van van alles en nog wat in een IT-informatievoorziening op basis
van allerlei methoden voor verrekening van kosten. Die cloud-IT-infrastructuur
kan in Nederland staan, of in Ierland, de Verenigde Staten of Azië.
Of in een combinatie van locaties. In feite weet niemand meer waar de
IT staat die men gebruikt. Dus outsourcing, maar dan een stap intiemer.
Met alle voor- en nadelen.
Er wordt vaak gedaan
alsof een organisatie bij cloud computing geen aandacht en/of zorg meer
hoeft te hebben voor haar IT-infrastructuur. Die zorgen zijn dan immers
voor de cloudleverancier. Toch zullen de infrastructurele problemen
zoals we die nu kennen er gewoon blijven omdat IT nu eenmaal IT is,
en IT’ers nu eenmaal IT’ers zijn. Kunnen cloudleveranciers
de claim dan waarmaken dat er geen zorg meer is? Dat valt sterk te betwijfelen.
Ook de IT-infrastructuur van een cloudleverancier kan, om maar wat te
noemen, gehackt worden. Of er kunnen beheerfouten gemaakt worden, en
ga zo maar door.
Wat
kan naar een cloud?
Een andere vraag
is welke functionaliteit zich leent om via cloudtechnologie aangeboden
te worden. Cloudaanbieders beperken zich in hun voorbeelden vrijwel
altijd tot sexy officesoftwarefunctionaliteit. Daarbij spreekt men vaak
‘terloops’ over andere functionaliteit. Nu bestaan er geen
deus ex machina’s. Een IT-infrastructuur die moeilijk in elkaar
zit, en dat geldt voor bijna elk van de huidige (grotere) IT-infrastructuren,
kan niet ‘ineens’ optimaal in elkaar zitten als die overgezet
wordt naar cloud. Dit veranderen kan zelfs extreem veel tijd, geld en
een enorme inspanning kosten. Daarbij blijft de outsourcende organisatie
juist niet buiten schot, want die zal bijvoorbeeld moeten vertellen
wat ze nodig heeft.
Er zijn twee extremen:
rechttoe rechtaan en naar een optimale situatie overzetten. Rechttoe
rechtaan betekent dat alles wat een organisatie heeft letterlijk in
de cloud komt. Dat is in de praktijk niet of nauwelijks mogelijk omdat
bijvoorbeeld de toegang tot de overgenomen IT-infrastructuur als cloud
zal moeten gaan werken. Was het oude moeilijk aan te passen, dan zal
het nieuwe dat ook zijn; dat nieuwe is immers nog steeds het oude. Met
als bijkomend probleem dat de leverancier de overgenomen IT-infrastructuur
vaak niet echt goed kent en er dus, zeker in het begin, gemakkelijk
fouten gemaakt kunnen worden. Als het oude dan werkt onder extern beheer,
zal alsnog het nodige aangepast moeten worden om de beloften van cloud
waar te maken. En dat zal even gemakkelijk of lastig zijn als het was
voor de outsourcing. Naar een optimale situatie overzetten betekent
meestal opnieuw beginnen. Dus het begin van een reeks door de cloudleverancier
uit te voeren IT-projecten om de nieuwe, betere IT-infrastructuur in
te richten, waarbij de meeste druk bij de outsourcende organisatie komt
te liggen omdat die moet gaan vertellen wat ze wil. Hierbij geldt ook
weer: niet goed verteld betekent niet goed geprogrammeerd (of gekocht
en aangepast), met als resultaat een volgende suboptimale IT-infrastructuur,
zij het nu in een cloud.
Natuurlijk loopt
dit allemaal niet zo’n vaart als het alleen om officesoftware
gaat. Veel daarvan lijkt op elkaar, al leert de ervaring wel dat overgaan
naar een ander officepakket ook geen sinecure is: gewenning, conversie
enzovoort. Als het om (verder) in te richten of te bouwen software gaat,
komen we echter op een heel ander plaatje uit. Zo vertelde een IT-leverancier
recent dat het in een cloud brengen van de IT-infrastructuren van een
samenhangende groep grote organisaties ongeveer 7 miljard euro extra
moet gaan kosten. Daarbij hebben die organisaties dus hun IT-infrastructuren
ingeleverd, moeten ze ‘per tik’ gaan betalen voor wat daarna
ter beschikking zal staan en moeten ze ook nog bijbetalen. Zoals gezegd:
er zijn geen deus ex machina’s, vooral niet in de IT. Bedenk daarbij
dat veel IT-infrastructuren lijken op torens van Babel, inclusief de
uit dat verhaal bekende communicatieproblemen. De complexiteit is groot,
en die rafel je niet even snel uiteen om de spullenboel dan weer snel,
beter in elkaar te zetten. Bovendien zit er vaak een enorme hoeveelheid
‘lijken’ in deze complexe kasten, die echt niet in hun kast
zullen blijven als die ‘kasten’ aangepakt worden. De ervaring
leert dat dit extreem grote IT-projecten oplevert die ook nog eens gemakkelijk
volledig uit de hand kunnen lopen. Die 7 miljard kan dan wel eens een
heel lage inschatting zijn als al dat werk gedaan moet worden. Daarom
is het uiterst naïef om te denken dat het met cloud allemaal simpel
en eenvoudig zal worden.
Regie
Je hoort in de informatie- en IT-sector nog steeds te weinig over de
regie die een ‘IT gebruikende’ organisatie over haar eigen
informatievoorziening zal moeten hebben, en houden. Dat dit aspect onderbelicht
blijft is een écht probleem. De praktijk laat zien dat er van
alles en nog wat fout gaat in en rond IT. IT gebruikende organisaties
hebben daar vaak nauwelijks grip op, en je ziet dat steeds meer organisaties
er grote moeite mee hebben dat ze moeten blijven investeren in IT terwijl
ze nauwelijks rendement van die investeringen zien. Het is frustrerend
als je dan ook nog steeds meer dan 80 procent van je IT-budget moet
besteden aan de exploitatie van je bestaande IT-infrastructuur terwijl
je geen grip kunt krijgen op je IT-uitgaven, en op het verlagen daarvan.
En dat alles terwijl je ondersteuning minimaal blijft.
Organisaties voelen
vaak onmacht met betrekking tot hun IT-uitgaven, en het is zeer onwaarschijnlijk
dat cloud computing dit gaat oplossen. Natuurlijk kan een en ander in
de loop van de tijd verbeteren, maar dat kan (en zal) ook zonder cloud
gebeuren. De praktijk heeft inmiddels wel geleerd dat het echt verbeteren
van een IT-informatievoorziening alleen kan als organisaties er zelf
voor gaan staan en die verbetering zelf onder strakke, eigen regie regelen.
Zij zijn immers eigenaar en zullen met hun eigendom de eigen organisatie
op de gekozen weg moeten houden. Met een simpel gevolg: als een organisatie
niet zelf in staat is om aan te geven wat ze nodig heeft, betaalt ze
de hoofdprijs en zit ze al snel opgescheept met een weinig effectieve
informatievoorziening (een slechte ‘IT-business-alignment’).
IT-leveranciers zijn daarbij de aannemers in de IT-wereld. Regie gaat
vooral ook over wat zij voor hun ‘klantorganisaties’ doen.
En een IT-leverancier inhuren om zichzelf of andere IT-leveranciers
te regisseren werkt niet omdat de aan te houden scheiding van functies
daarmee hard in het gedrang komt. Met alle gevolgen van dien.
Risico
De vraag is hier hoeveel risico een organisatie met haar informatie
kan, durft, wil en/of mag lopen. Hoewel het antwoord cruciaal is, wordt
deze vraag nog niet of nauwelijks gesteld. IT-beveiliging bijvoorbeeld
is een directe afgeleide van het antwoord op deze vraag. Beveiligingsmaatregelen
zijn er immers om deze risico’s in te dammen tot een expliciet
uitgesproken acceptabel niveau. In feite kunnen we, hoewel we dat al
jaren doen, niet over IT-beveiliging spreken als de organisatie zich
niet eerst expliciet uitspreekt over het risico dat ze met haar informatie
kan lopen. En dat merken we haast dagelijks als er weer ergens een probleem
ontstaan is: een datastick die in een gehuurde auto achterblijft, Diginotar,
WikiLeaks, verlies van back-ups, hacking, identiteitsdiefstal en ga
zo maar door. De inschatting van het risico dat je met je informatie
kunt lopen, past bij de beschreven regie van een organisatie over haar
informatievoorziening. In principe moet je niet over cloud nadenken
als je deze risico’s niet voldoende kent.
Een simpele, algemene
vaststelling in dit kader is dat IT gewoon nooit voldoende dan wel afdoende
te beveiligen is. Met ook nog een simpele reden: er is altijd een kans
dat een beveiliging doorbroken wordt, ongeacht hoeveel maatregelen je
neemt. Voorbeelden te over. Beveiliging vertraagt hoogstens, het maakt
niets zeker. Daarom is het een fictie om te denken dat een cloud zo
te beveiligen is dat er geen risico meer gelopen wordt. Zeker als, zoals
bij een public cloud, informatie in een IT-infrastructuur buiten de
deur terechtkomt. Is thuiswerken dan nog wel mogelijk? Durft een organisatie
bijvoorbeeld haar klantinformatie wel via een public cloud ‘intern’
te delen? En dan spreken we alleen nog over bedoeld gebruik en niet
over de mogelijke ‘achterdeuren’ die altijd in IT-infrastructuren
zitten. Een vaak gehoorde discussie is die over Google: kijkt Google
mee naar de informatie van de organisaties die bij hen een cloudoplossing
hebben? Erger nog, Amerikaanse bedrijven dienen aan de Amerikaanse wet
te voldoen, ook als ze buiten de VS zaken doen. De in 2003 ingevoerde
Patriot Act stelt dat alle informatie die zich binnen een IT-infrastructuur
van een Amerikaans bedrijf bevindt, beschikbaar moet zijn voor de Amerikaanse
overheid. Dan is het niet alleen Google maar ook nog eens de Amerikaanse
overheid die mee kan kijken in de bestanden van Nederlandse bedrijven
die hun informatievoorziening via een cloud-IT-infrastructuur van zo’n
Amerikaans bedrijf hebben gerealiseerd, ook als die data zich buiten
de VS bevinden. Kan een organisatie zoiets toestaan? En wat gebeurt
er met netwerkverbindingen (internet?) die informatie via Amerikaans
grondgebied sturen? Zoals gezegd, organisaties zelf, niet alleen hun
IT-afdeling, moeten nog eens goed nadenken over de risico’s die
zij met hun informatie lopen voordat ze over cloud gaan nadenken.
Nog iets anders:
stel dat een organisatie surseance van betaling moet aanvragen. Wat
doet een cloudleverancier dan met de informatievoorziening van die organisatie
als ook hij niet meer betaald wordt? Mag die informatievoorziening dan
gestopt of zelfs ‘gegijzeld’ worden? Mag de leverancier
de informatie van die klant op een moment verkopen om de eigen rekeningen
voldaan te krijgen? En wat doet een eventuele curator met zoiets als
blijkt dat die informatie waarde heeft die in de afwikkeling van een
faillissement gebruikt zou kunnen worden? Zo wordt cloud ineens een
bedrijfsrisico, waarbij de cloudleverancier macht krijgt om een organisatie
al of niet failliet te laten gaan. Of nog anders: denk aan een curator
die informatie van een faillerende organisatie gaat verkopen waar die
organisatie alleen houder van is. Is dit allemaal acceptabel?
Vragen
In het voorgaande zijn stevige vragen aan de orde gesteld over de inzet
van cloud. Met die vragen in het achterhoofd zie je dat cloud in werkelijkheid
meestal alleen beperkt kan worden ingezet, waarbij vooral officefunctionaliteit
(mits documenten geen vertrouwelijke informatie bevatten) in aanmerking
kan komen. Maar naast deze vragen is er nog een reeks veel hardere punten
die, naast vele andere zaken, ook bepalend zijn voor of je wel of niet
iets met cloud kunt doen.
De belangrijkste
daarvan is de constatering dat organisaties over het algemeen nog niet
of nauwelijks weten wat hun informatie is. Zeker, er wordt van alles
en nog wat vastgehouden in hun informatie-infrastructuur (dit is de
combinatie van ondersteunende IT- en andere oplossingen). In de praktijk
blijkt veel daarvan niet relevant te zijn voor die organisatie. Een
gemiddelde Nederlandse organisatie hoeft bijvoorbeeld niet bij te houden
wat de afstand tot de maan is, wie een Oscar heeft gewonnen en wat de
gemiddelde Koreaan voor lunch eet. Toch staan veel van dit soort feiten
in hun informatie-infrastructuur. Daarnaast: waarom zou een grotere
Nederlandse gemeente op tientallen of zelfs honderden verschillende
plaatsen zelfstandig informatie over haar burgers moeten vasthouden
en bijhouden? En wie is nu eigenlijk de eigenaar van bepaalde informatie
van een organisatie? En hebben die eigenaren het risico vastgesteld
dat ze met ‘hun’ informatie mogen lopen? Zijn ze daarop
aanspreekbaar? Dit zijn vragen die toch echt beantwoord moeten zijn
voordat je naar een écht goed beheerste, effectieve en betaalbare
informatie-infrastructuur (inclusief IT) kunt doorgroeien.
Dit zijn geen vraagstukken
voor de IT-afdeling van een organisatie, maar vooral voor de organisatie
zelf. Zoals gezegd moeten deze vragen eigenlijk beantwoord zijn voordat
überhaupt over zaken als cloud nagedacht kan worden. Het belang
van weten is goed te zien als je de volgende logische, algemeen strategische
beleidsregel voor informatie in een organisatie invoert: ‘de organisatie
dient over al haar informatie te kunnen beschikken en dient geen gegevens
vast te houden’. Natuurlijk een streven dat een punt op de horizon
is, maar met deze regel kun je de informatievoorziening van een organisatie
echt richten en in de hand krijgen. Daarom is echt goed weten wat je
informatie is strategisch cruciaal voor vrijwel elke organisatie. Informatie
is daarmee de vierde productiefactor van vrijwel elke organisatie.
Een volgend punt
is dat organisaties zo snel mogelijk het IT-projectcentrische denken
en werken zullen moeten verlaten. Een simpele reden: als je goed weet
wat je informatie is, kun je ook heel precies aangeven in welke informatieoplossingen
je moet investeren. De kern ligt dus in de vraag naar informatie, en
niet in het aanbod van informatieoplossingen. Omdat je de kennis van
de informatie van een organisatie integraal ontwikkelt, wat overigens
niet eens zo veel werk is, kun je die kennis ook in je IT-projecten
gebruiken. Daarmee kun je, als vuistregel, de projectinspanning van
een organisatie gemiddeld tot minder dan de helft terugbrengen. Plus
dat je echt zelf regie over die projecten kunt voeren omdat je vooraf
echt goed weet wat ze moeten gaan opleveren.
Eerder is de noodzaak
om de respectievelijke functies rond informatie en informatieoplossing
hard te scheiden aan de orde geweest. Dit snijdt bijvoorbeeld direct
in op de vele bestaande preferred-supplierlijsten (shortlists), omdat
lang niet alle functies op die lijsten door de ‘aannemers’
in de IT uitgevoerd kunnen en mogen worden. Van die shortlists moet
uitgesloten worden waar een organisatie zelf verantwoordelijk voor moet
zijn, zoals regie, kennis van haar informatie (inclusief projectvoortrajecten,
businessanalyses enzovoort), testen, kwaliteitscontroles, audits en
risicomanagement. De harde reden hiervoor is dat al dit werk onafhankelijk
moet zijn en blijven van het werk dat aan het investeren in en exploiteren
van informatieoplossingen zelf besteed wordt.
Dan nog een recente
ontwikkeling rond cloud die nog een ander perspectief laat zien: de
cloudmarktplaatsen. Het gaat om partijen die als tussenpersoon clouddiensten
inkopen om die dan in eigen beheer en via een eigen herverdeling als
dienst door te verkopen aan hun klanten. Deze aanbieders voegen aan
dit geheel ook nog een veelheid aan eigen diensten toe en zij noemen
zich ‘makelaar’. Gezien het bovenstaande weet ik niet of
afnemers nu echt blij worden van deze manier van dienstverlening. Het
is immers cruciaal dat organisaties, om de vele genoemde redenen, zelf
eigenaar zijn van hun informatie en informatievoorziening. Het lijkt
erop dat deze ‘uitgebreide cloudmakelaars’ aanbieden om
veel van de verantwoordelijkheid van hun ‘klantorganisaties’
over te nemen. De logische regel blijft dan toch wel dat je je hersenen
(die van de organisatie, dus) niet kunt outsourcen. Daarom zou een pure,
onafhankelijke makelaar die partijen, bijvoorbeeld tegen commissie,
voor zaken bij elkaar brengt een beter idee zijn dan deze hybride vorm
van makelen. Anders blijft het voor de ‘klantorganisatie’
gemakkelijk onduidelijk (niet transparant) wie nu voor welke dienst
verantwoordelijk is: de ‘uitgebreide cloudmakelaar’ of de
door deze makelaars ingehuurde leveranciers. Verder kan dan snel onduidelijk
worden wie nu bepaalt welke leveranciers nu wat voor deze ‘klantorganisatie’
doen. Dit maakt het zelf voeren van regie over hun informatievoorziening
door deze afnemende ‘klantorganisatie’ vooral lastiger.
Zoals gezegd doet
cloud een aantal beloften die fantastisch zijn. Die beloften zijn alleen
niet voor alles en iedereen weggelegd, hoe graag men, individu en organisatie,
het ook zou willen en hoe goed het allemaal ook zou zijn. Ik verwacht
dat het bovenstaande een stevige aanzet is om daar nog eens goed over
na te denken.
Door Steven van ’t
Veld
Onafhankelijk principal
informatiekundige bij A/I/M bv in Rotterdam. E-mail:Steven.van.t.Veld@AIM.nl