Naar de cloud: minder risico s door structurele inzet van clouddiensten. Whitepaper

Transcriptie

1 Naar de cloud: minder risico s door structurele inzet van clouddiensten Whitepaper

2 Inhoudsopgave Het belang van regie op clouddiensten 3 Definitie 4 Drie vraagstukken én antwoorden 5 En nu in de praktijk 9 Het resultaat: de regie in handen 11 Clouddiensten van KPN 12 Management summary 13 2

3 Het belang van regie op clouddiensten Soms liggen ze voor het grijpen, de kansen voor een organisatie om het verschil te maken. Snel mee kunnen bewegen met de markt en nieuwe ontwikkelingen is daarbij essentieel. Clouddiensten bieden organisaties het gereedschap en het fundament om wendbaar, creatief en flexibel te zijn. De ICT-afdeling kán hierbij een cruciale rol spelen. Maar alleen als zij zorgen voor een fundament waarmee snel en eenvoudig de inzet van cloudinitiatieven gefaciliteerd kan worden. Nieuwe productietechnieken of distributiemogelijkheden, innovatieve technologieën of ontluikende markten ze ontstaan in een steeds hoger tempo. Willen bedrijven hier optimaal van profiteren, dan is wendbaarheid van de organisatie een randvoorwaarde. Snelheid van handelen en een korte time-to-market is bepalend voor het succes van de organisatie. De cloud biedt hiervoor een potentieel krachtig middel. Bedrijven gebruiken clouddiensten nu nog vaak ad-hoc en aarzelen over een bredere en structurele inzet. In deze whitepaper beschrijven we hoe clouddiensten organisaties kunnen versterken met een goed geregisseerde inzet vanuit ICT aan de hand van drie grote thema s compliance, veiligheid en continuïteit. 3

4 Definitie De cloud betekent kort en bondig dat: bedrijfsinformatie, infrastructuur, applicaties en/of systemen geoutsourced worden, feitelijk ondergebracht worden in een datacenter van een cloudleverancier een organisatie niet meer betaalt voor aanschaf van hard- en software, maar alleen voor daadwerkelijk gebruik Over de cloud bestaat nogal wat begripsverwarring. Om deze verwarring te voorkomen hanteren wij, net als veel andere instanties wereldwijd, de definitie van het Amerikaanse National Institute of Standards and Technology (NIST). Kort samengevat: Cloud Computing levert altijd beschikbare en makkelijke netwerktoegang tot een gedeelde ICT omgeving, die met minimale beheerinspanning snel geleverd of opgezegd kan worden. Het is een measured service, doorgaans geleverd op basis van gebruik of andere meetbare eenheid (per gebruiker per maand of per VM per minuut bijvoorbeeld). Het gaat dus niet alleen om het online beschikbaar stellen van gegevens, maar om een vorm van ICT dienstverlening. Daarbinnen zijn de oplossingen divers: van opslag van gegevens tot toegang ertoe of het delen ervan, van software en apps tot infrastructuur en platforms. Er is een public cloud en een private cloud en zelfs een hybride vorm. Dat er zoveel mogelijkheden zijn, laat al zien dat er niet één cloud is. En dat bedrijven op zoek kunnen gaan naar de cloudvorm(en) of oplossing(en) die het best bij hen passen. De werkvloer wil graag... Terwijl management en ICT-specialisten nog experimenteren met cloudpilots, zijn eindgebruikers er al massaal mee aan het werk. Privé zetten ze foto s op Instagram, bestanden op Dropbox, video s op Vimeo of Youtube. Van de ICT voorzieningen op het werk verwachten ze dezelfde eenvoud in gebruik. Deze verwachting wordt consumerization van zakelijke ICT genoemd. Eindgebruikers hebben daardoor de neiging om privétoepassingen zakelijk te gebruiken, denk aan het in Dropbox zetten van klantinformatie om thuis te werken. Met zakelijke clouddiensten kan de ICT afdeling eindgebruikers in staat stellen ICT voorzieningen te gebruiken zoals ze thuis gewend zijn, maar dan op een manier die voldoet aan de eisen van het bedrijf. Zo behoudt ICT de regie over de inzet van oplossingen....nu ICT en de top nog Het massale privé gebruik van clouddiensten maakt het des te opmerkelijker dat ICT afdelingen en organisaties niet meer op de cloud overstappen. Want de druk om dat wel te doen neemt snel toe intern en extern. Wat zijn nou de vraagstukken die ICT en management nog tegenhouden? 4

5 Drie vraagstukken én antwoorden Dat clouddiensten de komende jaren steeds vaker zullen worden ingezet, daar twijfelt bijna niemand aan. Waar bij grote organisaties vorig jaar nog gemiddeld 27% van het ICT-budget naar clouddiensten ging, groeit dat naar verwachting komend jaar al naar 34%. Maar welke clouddiensten dan precies ingezet worden, daar kunnen organisaties minder goed antwoord op geven. Van weten regelgeving tot de continuïteit van levering er leven nog veel vragen en daardoor is er ook veel onzekerheid. De vragen over veiligheid overheersen, laat onderzoek van TNS NIPO zien. Van de organisaties die nog aarzelen over de inzet van clouddiensten geeft bijvoorbeeld 51% aan dat onzekerheid over privacybescherming en security de grootste belemmering vormt. De verkenning van de drie grote vraagstukken starten we daarom bij compliance en privacy. Daarna gaan we door naar security en de organisatie daarvan. Vervolgens staan we stil bij continuïteit en bedrijfszekerheid, om tenslotte te eindigen bij het operationele deel: hoe kunnen clouddiensten structureel ingezet worden. Wel of niet in de cloud? In principe kan het hele ICT-landschap over naar de cloud. Dat betekent echter nog niet dat alle maatwerkof ERP-systemen helemaal of meteen overgezet worden. Sommige systemen kunnen nu eenmaal niet op basis van gebruik afgenomen worden.dat betekent echter niet dat bedrijven niet kunnen profiteren van andere voordelen, zoals centrale toegang of tijd- en plaatsonafhankelijk delen. De informatie uit bestaande maatwerksystemen kan door cloudleveranciers met slimme koppelingen namelijk wel benaderbaar gemaakt worden. Direct naar de cloud: Salestools CRM-systemen Kantoorsoftware (officetoepassingen, messaging, ) Communicatiediensten Test- en ontwikkelsystemen Infrastructuurdiensten Niet direct naar de cloud*: ERP-systemen Maatwerksoftware en andere toepassingen die complex met andere systemen verbonden zijn * maar wel benaderbaar via clouddiensten 5

6 1. Compliance en privacy Als we naar de cloud gaan, krijg ik dan niet allemaal schadeclaims van klanten vanwege mogelijke privacyschendingen? Kan de Amerikaanse overheid straks ongestoord mijn concurrentiegevoelige informatie inzien, en wat doen zij er dan mee? Wanneer wij klantgegevens in de cloud zetten, wie is er dan verantwoordelijk en aansprakelijk voor? Wij of de provider? Compliant zijn voldoen aan wet- en regelgeving is een belangrijk vraagstuk bij de inzet van clouddiensten. Organisaties vrezen dat clouddiensten onvoldoende veilig zijn om hun gevoelige informatie aan toe te vertrouwen. In de praktijk spelen naast de juridische ook de meer ethische kwesties een rol: situaties die juridisch gezien wellicht wel mogen, maar een ander risico met zich meebrengen, zoals reputatieschade voor de organisatie. Voor veel organisatie is het van belang om niet alleen te voldoen aan wet- en regelgeving, normen en branchestandaarden, maar ook aan maatschappelijke normen en waarden. Een 100% garantie op veiligheid is nooit te bieden. Volledige zekerheid geven kan niemand, ook bij traditionele ICT-systemen in uw eigen datacenter niet. Maar met de juiste aanpak kunnen organisaties wel aantonen dat ze er alles aan hebben gedaan om cloudgebruik zo veilig mogelijk te organiseren. Het wordt steeds duidelijker dat centraal aangestuurde inzet van de cloud net zo veilig en compliant georganiseerd kan worden als een traditioneel eigen ICT-systeem of -datacenter. Sterker nog: door de inzet van specialisten (hackersteams, bijvoorbeeld), de nieuwste apparatuur, techniek en screening en continue scholing van medewerkers voldoen de meeste clouddiensten zelfs beter dan de huidige omgeving van veel organisaties. zelf nog aansprakelijk. In sommige gevallen is een CIO zelfs hoofdelijk aansprakelijk mocht er iets mis gaan met de bedrijfsinformatie. Daarom is het van belang aan te kunnen tonen dat een organisatie er alles aan heeft gedaan om te kiezen voor een zo veilig mogelijke leverancier en bovenal: een zo veilig mogelijke oplossing. Dat begint al bij het selecteren van de cloudleverancier, waarbij de mogelijke aansprakelijkheid van de cloudleverancier in contracten vaak zeer beperkt is. Reputatie Door te laten zien dat er maatregelen getroffen zijn voor bescherming van gegevens, dat daarvoor een gestructureerde aanpak en monitoring gehanteerd wordt, én daar analyses op uitgevoerd worden, voorkomt een organisatie reputatieschade mocht het ondanks alle voorzorgsmaatregelen toch misgaan. Ook biedt monitoring de gelegenheid om bij eventuele schade snel de oorzaak te kunnen aanwijzen en zo adequaat te kunnen reageren. De organisatie kan zowel bij de wetgever als aan het publiek aantonen dat ze er alles aan gedaan hebben om de privacy van hun klanten, medewerkers, patiënten of bewoners te beschermen. Grootste zorg nu: privacy Door de grote maatschappelijke belangstelling voor privacythema s, is dat ook voor organisaties een belangrijk thema. Het belangrijkste compliance thema zelfs. De EU-richtlijn over privacybescherming heeft daar zeker mee te maken. Tot nu toe konden grote bedrijven eventuele boetes vooraf incalculeren als een verliespost, maar met de nieuwe EU-richtlijn is de boete straks 2% van de wereldwijde bruto jaaromzet. De kosten voor een risicoanalyse vallen daarbij in vergelijking voor de meeste grotere organisaties in het niet. Een dergelijke risico analyse moet gezien de nieuwe EU-richtlijn sowieso op elk ICT-systeem traditioneel of vanuit de cloud gebeuren. Dat zou dan ook het aangewezen moment zijn om in kaart te brengen welke clouddiensten gepast zijn binnen dit nieuwe kader. Aansprakelijkheid Belangrijk is dat het overbrengen van systemen en gegevens naar de cloud en het afnemen van clouddiensten een organisatie niet ontslaat van zijn verantwoordelijkheid. Organisaties blijven dus altijd 6

7 2. Veiligheid en beveiliging aangescherpte privacyregelgeving voor veel bedrijven toch al vaak noodzakelijk is. De risicoanalyse die vanuit compliance overwegingen verstandig is, biedt ook een praktische handreiking en een mooie voedingsbodem voor een verdere ontwikkeling van een nieuw securitybeleid. Door verschillende bedrijfsonderdelen, -activiteiten en -gegevens te classificeren en te voorzien van een risiconiveau, kan daar een securityniveau aan gekoppeld worden. Kunnen hackers niet heel makkelijk in onze systemen inbreken wanneer ze eenmaal in de cloud staan? Houd ik nog wel de controle over onze security wanneer we over gaan op de cloud? Moet ik rekening houden met een andere organisatie van onze beveiliging als we vanuit de cloud gaat werken? Bij veel organisaties passen clouddiensten prima binnen de eisen van hun securitybeleid. Sterker nog, vaak voldoen clouddiensten beter aan securityeisen doordat grotere cloudleveranciers dankzij hun schaalgrootte meer kunnen investeren in security. Bij een toenemend gebruik van clouddiensten neemt ook het belang van aanvullende securitydiensten toe. Denk aan met single sign-on in één keer centraal kunnen inloggen op alle systemen of het op één centraal punt aanmaken en vooral: verwijderen van gebruikersaccounts. Een belangrijke voorwaarde als organisaties veilig clouddiensten willen inzetten en willen voorkomen dat oud-medewerkers nog toegang hebben tot bedrijfsinformatie, omdat ergens een systeem vergeten is. Drie veiligheidsaspecten Een goede cloudleverancier biedt duidelijkheid over de volgende veiligheidsaspecten: De fysieke beveiliging: een goede cloudleverancier heeft meerdere datacenters die op voldoende afstand van elkaar staan en dus altijd een uitwijk bieden, ook bij bijvoorbeeld overstromingen. De panden zelf zullen voldoen aan eisen waar een eigen datacenter van een bedrijf minder snel aan zal kunnen voldoen althans, niet zonder enorme investeringen te doen. De menselijke kant: wie heeft er toegang tot uw kritische systemen en gegevens? Goede cloud leveranciers bieden inzicht in wie er toegang hebben inclusief grondige backgroundscreenings van alle beheer medewerkers, gedocumenteerde processen en constante training. De virtuele bescherming: Cloudleveranciers gebruiken vaak voormalig hackers die continu de beveiliging testen om hun beveiliging te optimaliseren. Ook hier geldt dat continue investering in opleiding en kennisontwikkeling zorgt voor een betere bescherming dan een individuele organisatie zelf kan bieden. Waar is die cloud eigenlijk? Veiligheid gaat zowel over de virtuele beschermingsmuren als over de fysieke locatie. Want ook gegevens en systemen in de cloud staan ergens opgeslagen. Dat klinkt als een open deur, maar er zijn nog steeds veel organisaties die zich er niet bewust van zijn dat achter de meeste in Nederland gevestigde cloudleveranciers grote buitenlandse providers zitten. Een goede cloudleverancier moet kunnen aantonen wat de locatie is van hun clouddiensten geografisch én juridisch. En niet te vergeten: de locatie waar support en beheer plaatsvindt. De veiligheid en beveiliging van de gegevens en systemen in de cloud betekent wel dat een nieuwe inrichting van het ICT-securitybeleid nodig is. Dat vraagt om een investering, maar wel een investering die gezien de 7

8 3. Continuïteit en bedrijfszekerheid Waarop baseren organisaties de keuze voor een cloudleverancier? 1. Betrouwbaarheid 34% 2. Kwaliteit van het product 34% 3. Kwaliteit van de service 29% 4. Betrouwbaarheid product 28% 5. Flexibiliteit van het product 23 % Hoe kan ik erop vertrouwen dat mijn cloudleverancier er over 5 jaar nog is? Als mijn cloudleverancier failliet gaat, kan ik dan nog wel bij mijn data? Flexibiliteit product 34% Betrouwbaarheid Waarop ba organisati een cloudl 1. Betrouwb 2. Kwaliteit Is de cloud niet gewoon een hype die over 2 jaar is overgewaaid? En wat dan, hoe kan ik dan nog werken? De organisatie en inrichting van ICT is de laatste jaren ingrijpend veranderd. Het wordt voor individuele bedrijven steeds moeilijker om de voortrazende ontwikkelingen bij te houden. Zelf investeren in eigen hardware of software is ook niet meer van deze tijd. Het uitbesteden van (een deel van) de ICT-activiteiten wordt steeds normaler, de overgang naar integrale clouddiensten een voor de handliggende oplossing. De cloud is dus geen hype, maar een logische verschijningsvorm van een nieuw ICT-tijdperk. Het is belangrijk om de keuze voor de juiste cloudleverancier(s) serieus te nemen. De eerder geadviseerde risicoanalyse zie ook het onderdeel compliance helpt bij de selectie en de juiste keuze. Er zijn inmiddels zoveel cloudleveranciers op de markt, dat het ook mogelijk is om echt te kiezen. Clouddienstverlening is bovendien volwassen genoeg om breed en vol vertrouwen ingezet te worden. Niet vergeten: de exitstrategie Om een vendor lock-in te voorkomen is het belangrijk om een heldere exitstrategie te ontwikkelen. Maar vooral om deze tijdig met de geselecteerde cloudleverancier(s) te bespreken, nog voordat de contracten getekend zijn. Een goede exitstrategie moet er voor zorgen dat je als organisatie altijd direct bij je data kunt, alle rechten hebt en behoudt op die data en die data ook volledig moet kunnen terughalen. Betrouwbaarheid product Kwaliteit service Kwaliteit product (TNS NIPO, respondenten mochten meerdere opties aangeven.) Risico s van ad-hoc inzet clouddiensten Niet weten waar je data staat. Niet weten wie er toegang tot je data heeft. Betalen voor diensten die niet worden gebruikt. Data inconsistentie tussen systemen. Moeilijker samenwerken met afdelingen die andere keuzes hebben gemaakt. Niet weten waar je data staat. Geen inzicht in de totale kosten van ICT. Geen inzicht Niet weten in de risico s wie er toegang die je loopt. tot je data heeft. 3. Kwaliteit 4. Betrouwb 5. Flexibilite product (TNS NIPO, respondenten m Risico s van ad-hoc inzet clouddienst Betalen voor diensten die niet worden gebruikt. Data inconsistentie tussen systemen. Moeilijker samenwerken met afdelingen die andere keuzes h Geen inzicht in de totale kosten van ICT. Geen inzicht in de risico s die je loopt. 8

9 En nu in de praktijk Wat zet ik wel en wat niet over naar de cloud? Hoe werkt dat nou, overgaan naar de cloud? Kan ik mijn legacy dan nog wel gebruiken? Behoeftes en wensen van klanten veranderen, de markt verandert, wet- en regelgeving scherpt aan organisaties gaan mee in die dynamiek, de ICT-afdeling kan niet achterblijven. Wil de ICT-afdeling de eigen organisatie écht in staat stellen goed op al die veranderingen in te spelen, dan bieden clouddiensten hier de middelen voor. Traditionele ICT kan de snelheid van ontwikkelingen in de markt veelal niet bijbenen, fragmentarische en versnipperde inzet van de cloud geeft onvoldoende grip op beveiliging en bedrijfszekerheid. De juiste inzet van clouddiensten helpt organisaties hierbij. Maar daarvoor zal ICT wel eerst een regiepositie moeten innemen. Het alternatief is namelijk dat de regie bij een cloudleverancier komt te liggen. Hoewel je tegenwoordig steeds meer goed kunt uitbesteden, is de regie over de inzet van cloud iets dat bij ICT zelf thuishoort. Voor de ICT-medewerkers betekent dat een nieuwe manier van werken en een andere mind-set. Dichter op de huid van de organisatie en de interne klant, flexibeler en meer betrokken bij wensen van de organisatie, en tegelijk bewuster van de mogelijkheden die de cloud aan de medewerkers biedt. Met als doel dat de organisatie de ICT-afdeling ziet als de leverancier van praktische en passende clouddiensten. Uit een breed assortiment samengesteld door het management is er altijd wel een applicatie of toepassing die hij of zij kan gebruiken. 9

10 Stappenplan naar een centrale regierol 1. Regiearchitectuur Het innemen van de centrale regiepositie begint met het ontwikkelen van een regiearchitectuur. Zo n regiearchitectuur bestaat uit vier belangrijke elementen: Een Single Sign-on-systeem voor identiteits- en authenticatiemanagement: hiermee kunnen medewerkers één keer centraal inloggen, en hoeven ze daarna niet meer apart in te loggen op de verschillende diensten en toepassingen. Een provisioningsysteem voor het centraal toekennen en verwijderen van gebruikersaccounts en andere ICT capaciteit, zoals tijdelijke projectsites of -sharepoints. Een instrument voor data- en systeemintegratie, inclusief datamastermanagement. Daarmee bepaal je welk systeem de werkelijke bedrijfsinformatie bevat. Belangrijk is de fysieke infrastructuur: want grootschalige overgang van het ICT-landschap naar de cloud stelt flinke eisen aan het netwerk en de verbinding. Dubbel uitgevoerde verbindingen zijn voor een goede bereikbaarheid van de diensten bijvoorbeeld zeer relevant. Verder is het te overwegen om het risico op mogelijke uitval, door bijvoorbeeld graafwerkzaamheden, te spreiden en te kiezen voor de combinatie van een vaste lijn en een G-verbinding. 2. Nieuwe ICT-governance Ligt de instrumentele basis er, dan is het tijd voor de organisatorische basis. Het vastleggen en claimen van een regierol, kan alleen met stevig strategisch ICT-beleid. Inclusief een governancestructuur, die het werkelijkmogelijk maakt om dicht op de huid van de organisatie te zitten. Het ontwikkelen van het nieuwe ICT-beleid, inclusief ICTgovernancestructuur, verloopt doorgaans via een aantal stadia. Zo is er het vooronderzoek en een analysefase, waarin de eerdere risicoanalyse ook weer een centrale rol kan spelen. Hiermee kan ICT bijvoorbeeld beoordelen waar extra (security)beleid noodzakelijk is. Op basis van dit onderzoek en analyse volgt een changemanagementplan: hoe nemen we alle stakeholders, binnen en buiten ICT, mee in deze organisatieverandering? Tenslotte zijn er een aantal concrete doelstellingen waar ICT naar toe werkt. Denk aan een structurele relatie met de verschillende (operationele) onderdelen binnen de organisatie. En natuurlijk met de board. Maar ook aan portfoliobeleid, waarin actief de processen en het dienstenportfolio gemanaged wordt, en een sourcingsbeleid: welke activiteiten doet ICT zelf, welke kunnen worden uitbesteed? Ook de inrichting van ICT-support vraagt om nieuw beleid, met onder meer nieuwe selfservicepunten (virtueel en fysiek) en training van medewerkers. 3. Beleid en strategie afstemmen Inzet van de cloud heeft op veel meer activiteiten en onderdelen invloed. Belangrijk is dus het bewustzijn dat de integrale introductie van de cloud behalve met de business samen met de andere stafafdelingen moet gebeuren. Met Inkoop moet worden gekeken naar een nieuwe manier van omgaan met ICT-leveranciers en naar nieuwe leveringsmodellen. Ook met Financiën en Juridische zaken moet gekeken worden naar deze nieuwe contracten en financieringsmodellen. En natuurlijk naar de financiële en juridische beweegruimte. Het scheelt namelijk nogal of kosten geboekt moeten worden als afschrijvingen of als maandelijks terugkerende operationele kosten. Daar wil je collega s niet op het laatste moment mee verrassen. 4. Prioritering: wat wanneer naar de cloud? Een integrale overgang naar de cloud betekent niet dat ook alles in één keer over moet. Belangrijk is het zowel voor ICT zelf als voor de rest van de organisatie fasering aan te brengen. Door te beginnen met de eenvoudige systemen kan de organisatie wennen en kan ICT ondertussen doorwerken aan het overbrengen van de complexere systemen. Dat betekent diversificatie aanbrengen op basis van drie kenmerken: Hoe bedrijfskritisch is een applicatie? Hoeveel maatwerk bevat het? Hoeveel koppelingen met andere systemen heeft het? Op basis van deze kenmerken kan een prioritering en tijdspad aangebracht worden. De applicaties die het minst bedrijfskritisch zijn, het minste maatwerk bevatten en weinig koppelingen hebben, zijn het eerst aan de beurt. 5. Life-cycle management Wanneer het hele ICT-landschap in de cloud staat, of in elk geval via clouddiensten verbonden is, start het monitoren, beheer en onderhoud. Omdat organisaties steeds veranderen, en dus de cloudbehoeftes ook, is het van belang de ontwikkelingen en mogelijkheden op het gebied van clouddienstverlening goed bij te houden. Is er een geschikte nieuwe dienst, dan kan ICT daar de organisatie proactief over informeren en adviseren. Vervolgens kan deze bijvoorbeeld in een corporate appstore worden opgenomen, zodat alle medewerkers direct toegang hebben. Onderdeel van het lifecyclemanagement is bovendien het steeds aanpassen van het securitybeleid op de nieuwste ontwikkelingen. 10

11 Het resultaat: de regie in handen Na het beantwoorden van alle grote vragen en het doorlopen van het stappenplan, is het begin gemaakt: de ICT-afdeling is ingericht op gefaseerde overgang naar centraal geregisseerde clouddiensten. Maar hoe ziet die ICT-afdeling er dan uit, wanneer het de regie in handen heeft? Wat heeft de rest van de organisatie eraan? En het allerbelangrijkste: hoe nu verder? De nieuwe manier van werken De ICT-afdeling monitort de verschillende diensten continu, de ene intensiever dan de andere, afhankelijk van het risiconiveau. Gecontroleerd wordt of data goed beschermd zijn en of alle cloudleveranciers de afspraken nakomen. Dat doen de ICT-medewerkers op basis van rapportages, waarop ze zien welke data waar zijn en of er eventuele lekkages zijn geweest. Wijzigingen of lekkages worden tijdig gesignaleerd, direct verholpen en gedeeld met de collega s van Juridische zaken. Met het lifecyclemanagement zorgt ICT voor een steeds actueel applicatieportfolio, afgestemd op de wensen en eisen van de organisatie, inclusief alle noodzakelijke updates en migraties. In de board neemt ICT een logische plaats in, omdat ICT-management en -professionals proactief meedenken en op een flexibele en efficiënte manier oplossingen aandragen voor diverse werkprocessen en organisatievraagstukken. De hele organisatie profiteert De centraal geregisseerde inzet van de clouddiensten laat goed de toegevoegde waarde van ICT organisatiebreed zien door: verhoogde productiviteit, dankzij centrale toegang (via een corporate appstore, bijvoorbeeld) tot de nieuwste toepassingen en software; een keer inloggen op alle diensten en toepassingen volstaat voor alle medewerkers, wat enorm bijdraagt aan efficiënter werken; compliance- en reputatierisico s zijn geminimaliseerd, dankzij actieve monitoring van de grenzen ; aantrekkelijkheid als werkgever is sterk vergroot, door meest actuele clouddiensten en ICT-voorzieningen; medewerkerstevredenheid stijgt door het nieuwe ICT-supportbeleid en de klantgerichte oplossingen, zoals een corporate appstore; door het grote aanbod aan goedgekeurde clouddiensten, is ICT beter op de verschillende werkprocessen aan te passen dan met de vroegere grote maatwerkoplossingen en vooral: de ICT-oplossingen bewegen snel en soepel mee met de organisatiebehoeftes én er wordt alleen nog betaald voor wat werkelijk nodig is. 11

12 Clouddiensten van KPN Bedrijven en overheden vertrouwen ons al decennia hun connectiviteit, service, servers en dataverkeer toe. Sinds de cloud steeds populairder wordt, groeit de populariteit van onze clouddiensten hard. Zeker bij bedrijven en organisaties die veiligheid en betrouwbaarheid van groot belang vinden. Wij bieden 100% Nederlandse datacenters, met Nederlands beheer en servicedesk, plus een eigen KPN netwerk voor dataverkeer. Voor gevoelige sectoren beheren we zelfs aparte netwerken, zoals Gemnet voor gemeentes of Zorgconnect voor zorginstanties. Ook kan KPN u adviseren over welke voordelen u kunt behalen in de cloud en welke clouddiensten voor uw organisatie geschikt zijn. Onze contracten, voorwaarden en rapportages zijn helder en transparant, zodat onze klanten het maximale uit hun clouddiensten kunnen halen. We ondersteunen onze klanten graag bij de selectie van de best passende oplossingen en bij het innemen van een centrale regiepositie in hun organisatie. Ook als dat betekent dat er naast ons andere cloudleveranciers actief zijn. Dankzij onze schaalgrootte kunnen we de oplossingen en diensten bovendien tegen scherpe tarieven aanbieden. Wij hebben de ervaring en expertise om onze klanten vooruit te helpen. Denk aan de miljoenen mailboxen, duizenden virtuele servers en petabytes aan storage in onze KPN datacenters in Nederland. Voor een veilig en compliant cloud werken we ook samen met andere experts. Zoals Deloitte, met wie wij een cloudaudit en -assurance oplossing hebben ontwikkeld. Bij KPN profiteert u van een organisatie met decennialange ervaring en expertise in uiterst betrouwbare netwerken en kritische communicatietoepassingen. clouddiensten. Hoe dat vervolgens ingevuld wordt en welke specifieke voordelen er te behalen zijn is voor elke individuele organisatie anders. KPN gaat graag met u in gesprek hierover, we zullen daartoe ook het initiatief nemen. We nodigen u ook van harte uit contact te zoeken met uw accountmanager. Of kijk op en laat u inspireren op KPN Inspire ( Of neem direct contact op met: Menno Frantzen Productmanager CloudNL menno.frantzen@kpn.com Simon van den Doel Principal Technical Consultant simon.vandendoel@kpn.com Over KPN KPN biedt wereldwijd telecommunicatie- en ICT-diensten. Met 2,2 miljoen werkplekken in beheer zijn wij marktleider in werkplekbeheer in de Benelux. We bedienen meer dan 2,2 miljoen klanten met mobiele en vaste telefoonaansluitingen, internet en televisie. In de zakelijke markt ondersteunen we onze klanten met volledig beheerde telecommunicatie- en ICT-oplossingen. Uitnodiging tot gesprek In deze whitepaper schetsen wij in grote lijnen het belang van goed geregisseerde en structurele inzet van 12

13 Management summary Structurele inzet van de cloud vraagt om regie In deze whitepaper beschrijven we het belang van regie op clouddiensten binnen organisaties en de drie thema s die daarbij van belang zijn. Structurele inzet van clouddiensten vraagt om regie. Gebeurt dat goed, dan gééft de cloud ook regie. Veel ad-hoc inzet Driekwart van de grote organisaties in Nederland maakt al gebruik van clouddiensten, maar zet deze echter vooral ad-hoc en versnipperd in. Zonder centrale én integrale regie worden zo alleen de voordelen voor de individuele afdeling of het individuele project benut. Clouddiensten kunnen eenvoudig en zonder tussenkomst van ICT worden aangeschaft. Zo kan al snel een wildgroei aan clouddiensten ontstaan binnen een organisatie die onderling lastig te koppelen zijn. Bedrijfsinformatie verdwijnt uit het zicht, waardoor organisaties risico s lopen op het gebied van compliance en veiligheid. Door de individuele aanschaf verdwijnt ook het totaal overzicht op de ICT kosten. Zonder centrale regie kunnen dezelfde clouddiensten binnen een organisatie meerdere malen worden aangeschaft. Ook blijven mogelijke inkoopvoordelen onbenut. Drie grote thema s In deze whitepaper beschrijven we de drie vraagstukken die spelen bij organisaties als het gaat om structurele inzet van clouddiensten: 1. Compliance en privacy 2. Veiligheid en beveiliging. Continuïteit en bedrijfszekerheid We sluiten de whitepaper af met een praktisch deel waarin aangegeven wordt hoe in vijf stappen het fundament voor een structurele inzet van clouddiensten gelegd kan worden. Eigen onderzoek Bij het schrijven van deze whitepaper baseerden we ons op eigen en onafhankelijk onderzoek, zowel kwalitatief als kwantitatief. De klantvragen in deze whitepaper zijn gebaseerd op vragen uit onderstaande onderzoeken: Onderzoek TNS NIPO 201. EuroCloud 201 / PB7 Onderzoek. Cloudsurvey KPN Consulting 2012/201. Wilt u één van deze onderzoeken raadplegen? Stuur dan een mail naar titia.houwing@kpn.com, wij sturen u de rapportage zo snel mogelijk toe. 13

14