In het nieuwe nummer van de AG-Connect prijkt een artikel van Durk Boersma en Walter van Holst. In het artikel beschrijven zij de wondere wereld van Cloudsourcing en nemen de lezer aan de hand van 5 navigatietips mee door dit doolhof. Er wordt beschreven dat Cloudsourcing wel degelijk grote voordelen kan bieden, maar dat er een aantal valkuilen zijn waarmee rekening gehouden dient te worden. Voor meer informatie over Cloudsourcing, IT-diensten en AVG-compliance kunt u contact opnemen met Durk Boersma. U leest het artikel hieronder, of door te klikken naar de website van AG-Connect.
Wie overweegt zijn IT op weloverwogen wijze via Clouddiensten af te nemen, waant zich vaak in een doolhof van complexe werkelijkheden en tegenstrijdige meningen. Aan de hand van vijf stellingen introduceren Durk Boersma en Walter van Holst een routekaart om de weg te vinden.
In de praktijk neemt bijna iedere organisatie Clouddiensten af, of dat nu beleid is of niet. En dan zijn er enerzijds veel kritische geluiden over beveiliging en privacy in de cloud, zeker sinds de Snowden-onthullingen. Anderzijds bezweren leveranciers, en al helemaal hun resellerkanalen, dat er niets aan de hand is en dat de cloud alle problemen als sneeuw voor de zon doet verdwijnen. In dit artikel een aantal aandachtspunten die kunnen helpen als routekaart in het doolhof van Clouddiensten.
1) Informatiebeveiliging in de Cloud vereist serieuze managementaandacht
Of we nu wel of niet voor Clouddiensten kiezen, vrijwel geen enkele organisatie heeft de beveiliging werkelijk op orde. Dat wil zeggen, bijna geen enkele organisatie heeft de informatiebeveiliging op een niveau dat wenselijk is. Iedere discussie over ‘meer’ of ‘minder’ is lastig. De onderliggende vraag ‘veilig voor wat?’ kent vaak verschillende antwoorden, maar wordt slechts zelden gesteld. Het dreigingsbeeld voor de salarisadministratie van een kaasgroothandel is nu eenmaal anders dan die van een nieuwsorganisatie die onderzoekjournalistiek naar corruptie in Oost-Europa bedrijft. Waarbij de externe salarisadministrateur van bovengenoemde nieuwsorganisatie misschien een veel sappiger doelwit is dan hij zich realiseert. De hamvragen blijven: doe ik het nu goed genoeg voor mijn organisatie en maak ik de situatie slechter of beter met een Cloudprovider? En wegen de kosten voor het intern verbeteren van de situatie op tegen de overstap naar een externe leverancier? Vergeet daarbij niet dat een externe leverancier ook aandacht en sturing nodig heeft. Bij een grote leverancier, die vaak goedkoper zijn diensten aanbiedt, leert de praktijk dat dit praktisch onhaalbaar is. Daarnaast moet de vraagkant uiteindelijk nog steeds kunnen blijven beoordelen of de geleverde kwaliteit, inclusief beveiliging, wel voldoende is. En om het nog ingewikkelder te maken, die hele grote, moeilijk aan te sturen leveranciers, zijn door hun schaalgrootte juist het beste in staat om de ernstigste bedreigingen het hoofd te bieden. Want over het algemeen is het met de informatiebeveiliging, zeker bij organisaties waar IT niet als een kernactiviteit wordt gezien, droevig gesteld. In die zin kan zelfs een overstap naar een publieke cloudomgeving al een wezenlijke verbetering opleveren.
2) Zonder vergaande transparantie van Cloudleveranciers geen AVG-compliance
Voor traditionele nutsvoorzieningen maakt het doorgaans weinig uit wie de leverancier van je leverancier is. Dus of onze elektriciteit nu uit een Deens windpark, Duitse bruinkoolcentrale of een Noorse waterkrachtcentrale komt, zolang maar de juiste spanning, frequentie en vermogen worden aangeboden. De belofte van clouddiensten is dat we met name infrastructuur als een nutsvoorziening kunnen gaan beschouwen. In de praktijk kan deze belofte echter nog lang niet worden waargemaakt. Waar het voor de stroom niet uitmaakt uit welk land deze komt, maakt het wel degelijk uit waar (persoons) gegevens verwerkt worden én dat de afnemer daarover geïnformeerd is. Zozeer zelfs dat dit in de Algemene Verordening Gegevensverwerking (AVG), die per 25 mei 2018 ingaat, tot een wettelijk vereiste is verheven. Ongeacht de locatie van de gegevens, moet de afnemer weten welke (onder) aannemers er betrokken zijn bij de gegevensverwerking. Verder moet de afnemer daar mee ingestemd hebben óf in staat zijn bezwaar te maken.
De gedachte is dat de verantwoordelijke voor de (persoons)gegevensverwerking blijvend in staat moet zijn om controle uit te oefenen, ook als de feitelijke verwerking door (cloud)dienstverleners plaatsvindt. En dat die in beginsel binnen de Europese Economische Ruimte plaats moet vinden, al zijn er uitzonderingssituaties. Het bovenstaande zou een open deur moeten zijn, maar is dat in de praktijk vaak niet. Zeker bij (mobiele) applicaties op basis van PaaS-platforms (bijvoorbeeld Heroku) komt het voor dat leveranciers zichzelf het recht voorbehouden om van bouwstenen te veranderen zonder de klant hiervan te verwittigen. Leveranciers zien dit soms zelfs als een deugd, want ontwikkelaars moeten vrij zijn de beste middelen te kiezen. Buiten technische aspecten, vragen zij zich zelden af of andere aspecten meespelen. Het cowboygedrag is niet verdwenen uit de IT, het is alleen verschoven naar andere toepassingsgebieden. De oplossing is even simpel als doeltreffend: vooraf vragen stellen over dit onderwerp, dit contractueel vastleggen én naleving handhaven.
3) Vendor lock-in is een levensgroot gevaar
Bij sourcing van clouddiensten is sprake van een meer ingrijpende relatie tussen afnemer en leverancier. Beheer en ondersteuning liggen veelal in handen van de leverancier, wat zorgt voor afhankelijkheid. Als de relatie om wat voor reden dan ook beëindigd moet worden ontstaat automatisch de vraag hoe men toegang tot de eigen data waarborgt. Hosting wordt immers per definitie door de leverancier uitgevoerd. Tweede belangrijke vraag, zeker bij meer complexe SaaS-oplossingen, hoe men de inrichtingskeuzes goed gedocumenteerd terugkrijgt. Vaak wordt onderschat hoezeer sommige SaaS-oplossingen nog blokkendozen zijn die flink wat aanvullende inrichting vergen. Of, wat ook veel voorkomt, dat een SaaS-oplossing voor de eindgebruiker wel een naadloos ogende oplossing is, maar onder de motorkap een aantal aan elkaar geknoopte eilandjes zijn. In dat geval zijn geëxporteerde datasets geen samenhangend geheel, maar losse datasets met al dan niet gedocumenteerde onderlinge relaties. Vendor lock-in is niet nieuw, maar de pijn die het veroorzaakt wordt veel meer acuut bij clouddiensten.
4) Flexibiliteit is niet gegarandeerd
Veelgehoorde argumenten voor clouddiensten zijn flexibiliteit en schaalbaarheid. Zeker bij Infrastructureas-a-Service en Platform-as-a-Service zijn dit ijzersterke verkoopargumenten, maar ook bij Software-as-a-Service is een betaal-naar-verbruik-argument zeker niet te versmaden. Al helemaal als de dienst wordt aangeboden op basis van een verrekenmodel dat correspondeert met dat van de eigen organisatie. In onderwijsland bijvoorbeeld zijn SaaS-oplossingen die afrekenen op leerlingaantallen behoorlijk populair, mede doordat zij zelf primair op basis van die aantallen gefinancierd worden. En de basisfunctionaliteit is vaak ook nog behoorlijk scherp geprijsd. Minder scherp geprijsd zijn de extra modules, want dan is de klant al binnen. Het feitelijke gebruik van clouddiensten is vaak veel constanter dan de voorgespiegelde flexibiliteit doet vermoeden. Hier schuilt een verborgen kostenpost. Of een extra winstmarge voor de leverancier, om de zonzijde voor die kant niet over het hoofd te zien. Een andere vorm van flexibiliteit is meer kwalitatief. Hoe makkelijk is het om de oplossing aan de (veranderende) organisatievereisten aan te passen, bijvoorbeeld voor nieuwe koppelingen?
De noodzaak hiervoor speelt vooral bij SaaS en daar is het beeld wisselend. Enerzijds zijn er de ‘legodoos’-achtige oplossingen, zoals SalesForce, waar relatief veel mogelijk is. Anderzijds zijn er SaaS-oplossingen waar weinig aan te configureren valt. Vooral bij deze laatste categorie worden koppelingen met legacy-systemen echt niet bijgehouden als de SaaS-oplossing een technologische vernieuwing ondergaat. En dan moet je wel overgaan op iets nieuws of de investering in de overgang naar de SaaS-oplossing vroegtijdig afschrijven en weer een (mogelijk pijnlijk) implementatietraject ingaan. Dit speelt overigens niet uitsluitend bij SaaS, al komt het daar relatief scherper tot uiting. Wie bijvoorbeeld naar een hogere graad van versleuteling over wil stappen bij IaaS, omdat het dreigingsbeeld is veranderd, zal niet zelden met meerkosten geconfronteerd worden. Of zelfs met een botte weigering van de leverancier, omdat die nu eenmaal baat heeft bij een homogeen dienstenaanbod, en dus niet van zijn concept wil afwijken. En dan moet men maar hopen dat de flexibiliteit zich ook geuit heeft in korte contractstermijnen. De praktijk leert dat dit nog niet zo gangbaar is.
5) Cloudsourcing biedt voordelen, maar…
Concluderend kan vooral gesteld worden dat clouddiensten enorme voordelen kunnen hebben. Ook op het gebied van beveiliging. Maar, de vendor lock-in kan ertoe leiden dat die voordelen niet volop benut worden. Daarnaast is de belangrijkste drijfveer voor veel cloudtrajecten, de hoop dat IT minder managementaandacht zal vergen, een verkeerde drijfveer. Wat de flexibiliteit betreft: breng vooral de basisbehoeften van de organisatie in kaart en vergelijk die met het deel dat fluctueert. Dan kan best eens blijken dat de behoefte aan flexibiliteit niet zo groot is als gedacht. En vraag vooral ook door naar de (technologische) groeipaden van de leverancier en maak daar zo nodig afspraken over, zodat dit op een beheersbare wijze plaats kan vinden.
Meer informatie
Wilt u weten wat de cloud of cloudsourcing voor uw organisatie kan betekenen? Of gewoon eens bijpraten over de nieuwe ontwikkelingen binnen de cloudmarkt? Of bent u al een stap verder en wilt u gaan specificeren en inkopen? Een afspraak voor een kop koffie is snel gemaakt!
