Regie en control in de cloud, het kan wel degelijk

Het in de cloud zetten van de ict en daarnaast meer gaan drukken op de regie is een bekend management paradigma. Veelal ingegeven door powerpoints van gerenommeerde organisatieadviesbureaus.

De positieve verhalen over het corporate imago, lagere kosten, de flexibiliteit, het bijhouden van moderne kennis en de versimpeling van de IT trekken de aandacht. De wervende leuzen van leveranciers dat ze ‘cloudready’ en net als ‘stroom uit het stopcontact’ leveren, geven in combinatie met de noodzaak om het kostenplaatje de bestaande situatie te verkleinen (met reductie van FTE’s) de doorslag. Het zittend management heeft affiniteit met de visie ‘kantelen van de organisatie’.  Dit houdt in dat na de initieel vooral inhoudelijk en functioneel georganiseerde insteek gekanteld wordt naar een blik op de klant en daarbij behorende processen.

De business neemt hierbij het voortouw en wil instappen in innovatie, een hogere risk-appetite, nieuwe businessmodellen,  nieuwe spannende technologieën die zich snel afwisselen (agility) met ineens een ander financieel speelveld (pay-per-use verlaagt de capex).  

Een cloudleverancier heeft in beginsel lagere (volume)kosten en is daarmee aantrekkelijk. Hiervoor ontwikkelt hij het ‘Software As A Service’ aanbod, waarbij de voorkeursinsteek resulteert in het loslaten van de operationele techniek (‘handjes’). De bedrijfsvoering gaat de regievoering op zich nemen. Maar wat is dan precies regie en hoe werkt dat in de praktijk?

Zolang het een standaard aanbod is, is het duidelijk.

Bij een afwijking hoort u al al snel: 'Hoe bedoelt u? Dat is niet gebruikelijk en we zouden dit onderdeel van de standaard service kunnen maken. Uiteraard heeft dit een effect op de pay-per-use. Alle andere cloudleveranciers  doen dit overigens ook. Dit kunt U echter niet onbeperkt blijven doen.' 

Verhoogde kosten van het gebruik is iets waar de business wel degelijk wat van vindt. Het supply-demand proces moet nu op een ander managementniveau georganiseerd worden.  Niet alle inhoudelijke overtolligen komen hiervoor in aanmerking, het gaat niet meer om het zelf doen maar vooral om het proces de juiste inhoudelijke kaders te geven.  Een zwak onderhandelingspunt hierbij blijft de legacy. Dat is moeilijker en daarom duurder, maar dit gaan we anders doen. De specialist op dat gebied is ook onderdeel van de businesscase en geeft geen bijkomend financieel nuancerend commentaar meer. Hiervoor in de plaats komt een (externe) deskundige want de eigen mensen hebben vanaf nu minder affiniteit met de inhoud. 

Zelf regie voeren houdt ook in: het opvragen van meerdere offertes (met zowel een  inhoudelijk als financieel vergelijk), contracten met heldere dienstverlening en beschikbaarheid met boeteclausules. Kortom net als de meeste producten: aandacht voor geld, tijd en een op productie gerichte kwaliteit (functionaliteit). Er is minder aandacht voor andere kwalitatieve componenten zoals de echte cloudreadiness, het matchen van het risicoprofiel van de opdrachtgever met die van de opdrachtnemer. Overigens is dit ook niet in het belang van de businesscase van de leverancier, ‘every magic comes with a price’ en dat zijn nu net deze aspecten. Uiteraard wordt dit omfloerst beschreven of dat moet nog nagevraagd worden.

Een context-aware en user centered design zijn de belangrijkste troefkaarten voor de cloudreadiness volgens de accountmanager. Alle gebruikersfunctionaliteiten kan hij online laten zien.

Een compleet cloud-integratie palet bestaat echter uit de volgende elemeneten

  • Single-Sign-On met behulp van een cloud idaas (WS-Federation 1.2, SAML 2.0, Open-id connect). Hoezo, U kunt toch gewoon bij ons inloggen? Dat geldt toch voor al die clouddiensten.
  • Een web beheerconsole, met exact dezelfde functionaliteit als de client-server versie.
  • Data- en procesintegratie met behulp van internet-facing webservices (Rest Json,  Soap XML) in plaats van de eeuwige opmerking  ‘oh dan leggen we wel een VPN aan.’

Dan is er natuurlijk ook nog de security?

De business zelf heeft meer aandacht voor compliance dan security. Security doet de leverancier wel. Na het tekenen van het contract geeft de specialist van de leverancier echter aan dat de opdrachtgever de specificaties moet verstrekken, wij doen best-practice. Een onderwerp dat onderbelicht is in de contractonderhandelingen en de FTE reductie sheets. De verandering van de privacy wetgeving en de opkomst van een bloeiende bedrijfstak van cybercrime as a service (volledig SAAS met een pay-per-use insteek) stelt in ieder geval dat U verantwoordelijk bent. De leverancier heeft zijn algemene inkoopvoorwaarden en zijn verzekering gaat niet de volledige € 810.000,- volgend uit de meldplicht datalekken maar limiteert dat tot € 200.000,- geheel conform de Nederlandse jurisprudentie, die vindt dat er altijd een gedeelde schuld is.

Wat is dan eigenlijk de security die geregeld is?

De compliance is geregeld, een mooi certificaat op de website geeft aan dat jaarlijks het proces wordt gecontroleerd. Het proces! Uw beveiliging is niet afdoende en dat is geheel in lijn met wat U procesmatig rapporteert, hier is uw certificaat. Over de inhoud kan vanwege meerdere klanten uiteraard geen inzage worden gegeven. U kunt wel een beschrijving van risico’s  waarvoor mitigerende maatregelen zijn getroffen en de preventieve maatregelen krijgen. Dit zijn de af te vangen risico’s die we hebben afgesproken en als u meer wilt dan gaat dat meer kosten of je moet naar een ander soort leverancier (agility). Het kan natuurlijk goedkoper als we uw data voor reclamedoeleinden mogen gebruiken. In de SLA heeft de business tijden m.b.t. availability afgesproken. De vraag hierbij is of dit intern gemeten wordt of bij de afnemer. Wie draagt hierbij de verantwoordelijkheid bij een Ddos-aanval? Bij een aantal cloudleveranciers verhoogt dit dan eventueel de pay-per-use. U zelf moet dan natuurlijk wel duidelijk hebben hoe lang dit systeem niet beschikbaar mag zijn.  

Een van de uitbestede diensten is de detectie van misbruik. De resultaten zijn alleen voor intern gebruik en worden getoetst aan de ingekochte ‘threat intel’.  De leverancier is hiermee capabel om een door hem samengestelde subset van opponenten, die zijn eigen bestaan bedreigen, te mitigeren. Dit kan een relatie hebben met uw risicoanalyse/appetite maar dat hoeft niet. Elke cloudleverancier maakt hierbij een zijn eigen afweging (schaalgrootte first), terwijl U verantwoordelijk blijft voor het cyber risk assessment  in het bijzonder cascading over meerdere cloudleveranciers en evt. uw eigen rekencentrum.

Regievoering houdt plots in dat U zich moet bekwamen in de volgende zaken

  • Het justifiëren van investeringen in cybersecurity, ons eigen IDS/IPS kan nu toch uit? Kassa!
  • Evalueren van spraakmakende hacks (volgende maand beschikbaar in de Kali Linux distro)
  • Coördinatie van SOC over cloudleveranciers heen
  • Netwerk security voor zover dit niet in het domein van de leverancier is
  • Toetsing op basis van inhoudelijke cyber security standaarden (nog zwak dus de leverancier vraagt aan U de specificaties)
  • Toetsingskader waarmee de leverancier zijn pentesten van (systeem) software tegen kan houden
  • Het herkennen van sjoemelsoftware
  • Screening van personeel (wat zijn eigenlijk de normen in India en Oost-europa?) Is het beheer volledig met 4-ogen principe ingericht?
  • Toetsing of de data bij een fail-over of backup daadwerkelijk niet Europa verlaat, en zo ja wat zijn de juridische consequenties.

Maar wacht eens even, we hadden bedacht dat we de uitvoering gingen uitbesteden. Het besluit over de plaatsing van dit type toezicht resulteert al gauw in een opdracht naar een grote audit-partij. Uw nieuwe organisatie is vooral kundig op het gebeid van regie. Voor deze nieuwe onderwerpen hebben ze ook andere  externe specialisten nodig, die uw branche kunnen doorgronden.  Ah, hij heeft hier 12 jaar ervaring mee, waar? Oh bij ons! Dat is prima want ik ben zelf een externe procesmanager a.i. en heb hier geen ervaring mee. Prettig dat deze senior consultant op communicatietraining is geweest,  een stropdas draagt en een self-starter is met ondernemende capaciteiten. Cybersecurity is namelijk van een niche IT ding naar boardroom verhuisd. 

Is dit allemaal nodig?

Ja, voortkabbelen met de oude dingen staat niet in verhouding tot de bundeling van noodzakelijke specialisaties die door marketingkracht en dagelijkse information-load aan de man worden gebracht. Elke organisatie heeft sterke en zwakke capabilities, als het goed is dan zijn deze bewust gecreëerd. Aspecten waarvan de kwaliteit te hoog zijn maken een te duur product  of een te dure dienst.  Door de cloudbeweging  kiest of (her)ontdekt de onderneming een aantal in haar ogen noodzakelijke capabilities en verbetert de concurrentiepositie. Hierbij moet niet het bestaande eigen aanbod leidend zijn. Stir it up, it’s not the strongest that survives, but the most adaptable. Simpeler gaat het echt niet worden, leuker wel.