Businesscase en risico s CLOUD COMPUTING FINANCE CONTROL & Informatiemanagement Permanente Cloud computing is in. Maar wat is het precies? Wat is de businesscase ervan? En wat zijn de risico s? De auteur brengt u op de hoogte van de actuele stand van zaken bij aanbieders en grote afnemers van computing. Aanbieders zien het als een ander deliverymodel van computerdiensten, computing op abonnementsbasis. Het is de volgende fase in de evolutie van de ondersteuning van hun werkprocessen door ICT. Vragers waarderen voorstellen voor computing op kosten en risico. Qua sturing en organisatie van -computingdiensten blijkt dat de ondersteuning van computing op abonnementsbasis bij public computing vaak nog in de kinderschoenen staat. DOOR THEO THIADENS The NIST definition framework Deployment models Service models Essential characteristics Common characteristics Cloud computing is hot. De markt voor computerdiensten op abonnementsbasis is volwassen aan het worden en vragers kunnen shoppen. Maar wat is die markt nu precies? Hoe denken lokale en globale aanbieders van computing over hun diensten? Wat is de visie van vragers van deze diensten? Wat is de businesscase en wat zijn de risico s? En welk inzicht in de levering van diensten verschaffen de aanbieders aan hun klanten? En: hoe organiseren grote klanten zich als zij van computing gebruikmaken? Drie vragen staan centraal in dit artikel: 1. Wat verstaan vragers en aanbieders anno 2011 onder computing? Private Software as a Service (SaaS) Hybrid s Community Platform as a Service (PaaS) Public Infrastructure as a Service (IaaS) On demand self-service Broad network access Rapid elasticity Resource pooling Measured service Massive scale Homogeneity Virtualization Low cost software Resilient computing Geographic distribution Service orientation Advanced security Figuur 1 De definitie van het National Institute of Standards and Technology (NIST, 2009) 2. Wat is de businesscase voor computing nu en in de toekomst en wat zijn de risico s? 3. Hoe kunt u computing invoeren? Welke opties levert een aanbieder aan zijn klanten om zijn dienstverlening te volgen? En hoe is een en ander georganiseerd bij de klant? Uitgaande van een theoretisch model over computing worden steeds de opinies van de vragers en aanbieders van computing naast elkaar gezet. De aanbieders zijn bedrijven die een variëteit aan diensten leveren. Dit zijn Google, IBM, Microsoft, AFAS, Accenturen en SARA. Er zijn global players die alleen standaarddiensten leveren, zoals Google, of die elke -computingdienst van het NIST-model (zie figuur 1) leveren, zoals IBM. Daarnaast zijn er local players die hun ERP-software online leveren, zoals AFAS, en leveranciers van speciale computerdiensten, zoals SARA. Aan de vraagkant heb ik ervoor gekozen om de opinies van grote organisaties te onderzoeken. Kleinere organisaties maken vaak al gebruik van diensten en bij hen spelen problemen als plaats van de, vigerende wetgeving, businesscase, implementatie naast bestaande computing en meekijken bij het leveren van diensten door een leverancier minder. Zij hebben vaak geen keus. Bij de vragers is ervoor gekozen om grote organisaties in de onderwijs-, overheids- en industriële sector te interviewen: de Hogeschool InHolland, de Open Universiteit, de Universiteit van Amsterdam, de politie Gelderland-Midden, NXP Semiconductors en DAF Trucks. Alle vragers hebben meer dan 2000 personeelsleden, behalve de Open Universiteit, die heeft er 700. In dit artikel komen eerst de definities van s en diensten uitgaande van de NIST-definitie en de mening van vragers en aanbieders daarover aan bod. Vervolgens wordt ingegaan op de businesscase voor computing en 10 AUGUSTUS 2011
Permanente de risico s ervan, waarna ten slotte de inrichting van de sturing en organisatie bij computing bij zowel vragers als aanbieders worden toegelicht. Definitie computing, s en diensten Het National Institute of Standards and Technology (NIST) (Mell en Grance, 2009), een agentschap van het Amerikaanse ministerie van handel, definieert computing als volgt: Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This model promotes availability and is composed of five essential characteristics, three service models, and four deployment models. Figuur 1 geeft aan dat er volgens de NIST sprake is van drie Figuur 2 Meningen van de ondervraagde organisaties over s en diensten AUGUSTUS 2011 11 WWW.FINANCE-CONTROL.NL
FINANCE CONTROL & Aanbieders: Microsoft Google IBM Accenture AFAS SARA Onderwerp: Start levering computing: Toekomst: Risico s: Op de consumentenmarkt is men in 1995 begonnen met hotmail en MSN. Op de zakelijke markt in 2003 met Livemeeting. Sinds 2,5 jaar met SaaS, PaaS en IaaS. Omvang markt educatie 50 miljoen, zakelijke markt 40 miljoen en online consumentenmarkt 6,8 miljoen in Nederland Private : klanten vinden gebruik public een te grote stap of zijn gehouden aan weten regelgeving Geen vertrouwen in de leverancier. Maar je wilt eigenlijk niet én een eigen rekencentrum én gebruik van diensten op termijn. Niet alles kan op de In de Google-wereld wordt niet gewerkt met releases. Elke dag worden de functies van de aangepast en uitgebreid. Google biedt aan: Google search, Google adds en Google apps Grotere flexibiliteit door schaalbare capaciteit Ja In 2008 begonnen met het leveren van zijn diensten. Cloud computing is een nieuwe fase in de levering van ICT Over 15 jaar staan alle gegevens en applicaties in de. IBM staat voor open standaarden Verschillend per klant. Elke klant heeft eigen eisen. Als ICT kern is in een organisatie, dan is het gaan naar een public moeilijk. Vertrouwen in de leverancier Vragers: InHolland Open Universiteit (OU) Universiteit van Amsterdam (UvA) Start gebruik computing: Overwegingen: Risico s: Live@edu start per februari 2011. Er zijn afspraken gemaakt samen met andere onderwijsinstellingen 1. Minimaal dezelfde functionaliteit 2. Kosten nu en straks 3. Authenticatie van de aanbieder werkt 4. En daarna doorgroei naar meer mogelijkheden 1. Ondersteuning van mobiele media Drie jaar geleden begonnen. Gebruik Gmail sinds mei 2008. Wel enige tijd gebruikt voor implementatie en test Financiële aspect was het belangrijkste. Hierdoor wordt overwogen ook andere diensten in de public te zetten 1. De definitie van het beschikbaar zijn van Google (nl. 10 minuten of meer dan 5% user error rate) 2. Disaster recovery 2. Geen afspraken over restore mailboxen 3. Functionaliteit voor en de gegevens van het onderwijspersoneel zijn kritisch 4. Afhankelijkheid leverancier 3. Op algemene cockpit wijzigingen te zien Figuur 3 De businesscase voor computing en de risico s ervan Nu is men vrij ver in het traject om studentenmail over te zetten. In mei/ juni begint men met gebruik Alles wat standaard is en buiten de deur kan gebeuren, kan geoutsourcet worden 1. Functionele eisen als graceperiode, gegevensformaten voor aftap bij rapportages 2. De standaardbeschikbaarheid van Google 3. De algemene voorwaarden van Google Accenture is bezig met een dienst gebaseerd op Oracleproducten. Het wordt een HRM-oplossing gebaseerd op SaaS. Advies van Accenture: zoveel mogelijk opnieuw beginnen met de applicatie en geen bestaande overplaatsen naar de Steeds meer applicaties verhuizen naar de Politie Gelderland- Midden Op weg naar drie rekencentra. In de toekomst ook gebruik van mash-ups als Google maps, Twitter, enz. Effectiviteit en effciency bij minimaal risico en compliance aan wetgeving 1. Standaardisering gaat veelal gepaard met inlevering vrijheden 2. Juiste implementatiestrategie Per 1/1/2009 is AFAS begonnen met AFAS online. Nu kan het ERPpakket van AFAS als dienst worden afgenomen Er is een verschuiving zichtbaar. 50% van de klanten kiest momenteel voor de oplossing AFAS online DAF Trucks De hosting van het mainframe bij ATOS. Dit gebeurt al meer dan tien jaar DAF kijkt altijd of er sprake is van een positieve ROI en acceptabele risico s De risico s worden inzichtelijk gemaakt met holistische risk assessments High-performancedienstverlening sinds het begin van de jaren tachtig. Clouddienst in pilot gestart medio 2009. De meest gebruikte platforms zijn gebaseerd op: IBM AIX, Red Hat Linux, SUSE, Debian en Ubuntu Meer data-intensieve computingtoepassingen. Applicaties as a service. Community s Niet van toepassing NXP Beginnen met HRM en langzamerhand bottomup doorgevoerd Er is een checklist ontwikkeld, waarmee nagegaan kan worden of een dienst een bepaald niveau heeft. Overwegingen vooral kosten en functionaliteit Risico s worden afgedekt met contracten typen diensten: Software as a Service (SaaS), Platform as a Service (PaaS) en Infrastructure as a Service (IaaS). Deze diensten kunnen worden afgenomen vanuit een private, een community, een public of een hybrid. Essentiële eigenschappen van deze diensten zijn: toegang tot de dienst via een breedbandnetwerk, snelle schaalbaarheid van een dienst, meetbaarheid van de dienst, on demand self service en het delen van de faciliteiten van de. De plaats van de, een rekencentrum met opslag- en verwerkingsfaciliteiten, is van belang omdat de wetgeving van het land waar de staat de geldende wetgeving bepaalt voor toegang tot, verwerking en opslag van gegevens. Hierbij moet 12 AUGUSTUS 2011
Permanente wel worden opgemerkt dat de Patriot Act bedrijven met een vestiging in de VS dwingt de door de Amerikaanse overheid gevraagde data te leveren. Dit ongeacht de plaats ter wereld waar deze gegevens zijn opgeslagen. Figuur 2 geeft de ideeën weer van de vragers en de aanbieders van diensten over de definitie van s en diensten. De figuur leert dat elk van de twaalf onderzochte organisaties een eigen interpretatie van de definitie van en diensten geeft. Er is wel een verschil tussen vragers en aanbieders in waar de nadruk op ligt in de definities. De aanbieders leggen vooral het accent op diensten, vervanging van de huidige ICT, een nieuw deliverymodel enzovoort. Bij de aanbieders ligt de nadruk op het leveren van een ICT-dienst op abonnementsbasis. Global players als IBM en Microsoft bieden deze diensten vanuit meerdere rekencentra ter wereld aan, waardoor zij het hun klanten gemakkelijker maken om aan vigerende wetgeving te kunnen voldoen. Grote vragers van computing kijken anders naar computing. Zij zien computing meer als een evolutie in computing. Na consolidatie en virtualisatie van eigen ICT-faciliteiten komt het gebruikmaken van een private. In feite maakt de organisatie dan een shared-servicecentrum of gaat zij nog een stap verder door het outsourcen van het eigen rekencentrum. Pas daarna volgt voor hen het volledig overgaan op het ondersteunen van de eigen organisatie met standaard-it-diensten, geleverd op abonnementsbasis en doorberekend deels naar afname. Sommige organisaties zijn voorlopig nog niet aan deze fase toe, andere zetten de eerste schreden op dit pad of gebruiken naast eigen faciliteiten en private diensten ook public diensten. Uit figuur 2 blijkt dat de aanbieders over het algemeen verder zijn dan de vragers wat betreft hun ervaring met computing. Zij bieden concrete producten en diensten aan voor de zakelijke markt, vaak sinds de tweede helft van het eerste decennium van deze eeuw (zie figuur 3). Businesscase en risico s Vertrouwen in de leverancier is volgens de aanbieders van generieke public diensten de reden om voor een bepaalde oplossing te kiezen. De aanbieders stellen dat het financiële aspect alleen zelden de doorslag geeft. Een aanbieder als Accenture onderkent voorts dat steeds meer applicaties verschuiven naar de. AFAS merkt op dat 50 procent van Aanbieders: Microsoft Google IBM Accenture AFAS SARA Onderwerp: Stadia: - ontwikkelen interne - pilot met externe - maken road map Deze stadia worden doorlopen voor IaaS- en PaaS-diensten. Niet voor SaaS. De reden hiervoor is dat PaaS- en IaaSdiensten relatief jong zijn. Men is hier vaak via partners bij betrokken Google biedt SaaSdiensten aan en deze zijn naadloos te integreren met andere publieke s als bijv. die van Salesforce. De consumenten- en de zakelijke s zijn dezelfde IBM stimuleert klanten drie stadia te doorlopen: - interne maken; - pilot externe ; - eigen road map maken. Daarna weet de klant wat hij wil en grote klanten doen dit Accenture kent de volgende fases: - onderzoek; - rangschikken applicaties naar de mate waarin men ervan afhankelijk is; - detailonderzoek applicaties; - kansen en plan; - road map; - businesscase en pilot Niet van toepassing bij gebruik van AFASpakketten - Rapid prototyping; - proof of concept i.s.m. eindgebruikers van de klant; - preproductie (verbeterd op basis van proof of concept en feedback); - productie en service Processen ingeregeld: - operationele - sturing interne - sturing externe leverancier - inzage audits Op alle services is er een tweedelijns service desk. Klanten doen in de eerste lijn de monitoring van Microsoft De tactische en strategische processen voor het afl everen en produceren van diensten Microsoft kent een partner en een klantenadviespanel. Elk halfjaar wordt de klanttevredenheid gemeten Er is een dashboard waar men kan zien welke wijzigingen zijn aangebracht Geen informatie over deze sturing naar buiten Eigen account administrator Naast het beheer van diensten door IBM doet de klant een aantal taken Geen informatie over gegeven De sturing hangt sterk af van de klant en van zijn eisen. IBM rapporteert online aan zijn klanten. Zij geeft ook inzicht in de door haar getroffen BIVmaatregelen De rapportages zijn via een dashboard 7x24 uur beschikbaar Niet bekend Nee Inzicht in externeauditrapportage Accenture kent een raamwerk van processen gebaseerd op ITIL Rapportages van de geïmplementeerde processen Via het Accenture-raamwerk zijn vele servicemanagement-en productiemanagementprocessen ingericht en wordt er gerapporteerd Niet van toepassing Vooral processen aan AFAS-zijde. AFAS rapporteert over incidenten, maar niet over beschikbaarheid Er zijn niet echt rapportages. Het gaat op basis van opvragen van gegevens Er zijn voor klanten inspraaksessies. Per klant is er voorts een accountmanager Er zijn SLA's. Er wordt begonnen met audits SARA monitort het gebruik van haar faciliteiten. Hiervoor beschikt zij over: a. Nagios: dit monitort netwerk en diensten; b. Ganglia: dit monitort de systeemprestatie SARA rapporteert aan haar klanten en aan het NWO. Voorts rapporteert zij via partnermeetings en door het geven van feedback aan klanten Figuur 4 Invloed op de levering van diensten en het daarop georganiseerd zijn AUGUSTUS 2011 13 WWW.FINANCE-CONTROL.NL
FINANCE CONTROL & Vragers: InHolland Open Universiteit (OU) Stadia: - ontwikkelen interne Aan het doorlopen In feite geen specifieke stadia onderkend Universiteit van Amsterdam (UvA) Geen specifieke stadia doorlopen. Het beleid is te beginnen met studenten-e-mail Politie Gelderland- Midden Politie staat aan het begin. Er is de wens om naar een politie te komen en op termijn van de overheids gebruik te maken en app s te gebruiken voor mobiele toepassingen. Deze app s komen uit de public. Bij de politie lopen hiervoor strategische programma s. Elke applicatie zal eerst getest worden. DAF Trucks Iedere business area binnen DAF staat het vrij richting te gaan, zolang het met medeweten en goedkeuring gebeurt van de centrale IT-organisatie NXP Eerst met HRM gestart en toen stap voor stap doorgegaan - pilot met externe - maken road map Situatie: Mee bezig 90% van alle diensten kunnen in de Aan het bekijken Grootste punt van zorg zijn de waarborgen op het terrein van privacy. Daarom wordt gekeken naar: - toeganscontrole; - recoverymodellen; - eenvoudige overgang en verplaatsing; - koppeling met eigen informatie - iteratief proces; - qua mail monitoring en beheer op orde; - realisatie van toegevoegde waarde aan rekencentra; - externe deskundigheid ingehuurd Elke oplossing kan een eigen koop/ maakbeslissing zijn op basis van ROI, risico s, capaciteit en competenties. Het implementeren gaat via een gestructureerde methode Vervolg figuur 4 haar klanten tegenwoordig kiest voor de oplossing AFAS online. In 2016 verwacht zij dan ook haar ERP-pakket alleen nog in de online versie aan te bieden. Kijkend naar de vragers weten we dat het gebruik van private s al jaren in zwang is (zie figuur 3). Bij het gebruik van public s is dat anders. Vragers van deze diensten gaan daar op hun eigen wijze mee om. Aan de ene kant zien we organisaties gebruikmaken van public diensten, zoals DAF en NXP. Zij hebben de keuze voor gebruik van IT-mogelijkheden gestructureerd, waaronder het gebruik van public s. Zij lopen bij elk proposal de mogelijkheden af met behulp van standaardchecklists met daarin vragen over ROI en risico. Hieronder valt het gebruik van diensten als Amazon S3 en Bij dit artikel hoort de online cursus Cloud computing Met deze cursus kunt u punten behalen in het kader van uw Permanente Educatie (PE). Ter kennismaking kunt u de cursus Best in Finance gratis volgen en uw eerste studiepunten behalen. Kijk voor meer informatie en een overzicht van alle cursussen op www.finance-control.nl. Permanente Salesforce. Daarnaast kennen we instanties als universiteiten en hogescholen, die voor hun studenten-e-mail gebruikmaken van Gmail of Live@edu. Zij starten het gebruik van public diensten op of zijn er net mee begonnen. Aan het andere uiterste van het spectrum zien we het gebruik van public diensten bij organisaties in de openbare orde en veiligheid. Hier is dit gebruik op grotere schaal nog niet echt aan de orde, al wordt gekeken naar diensten als Twitter, Google maps, enzovoort. Gevraagd naar de risico s van het gebruik van diensten, gaan organisaties soms specifiek in op de risico s die zij lopen bij het afnemen van een bepaalde dienst als Google. Andere organisaties, die al verder zijn, gaan hier generieker op in. Zij merken op dat zij deze risico s proberen af te dekken met contracten. Dat is eigenlijk alleen mogelijk bij het gebruik van private diensten. Dit wordt gedaan op een specifiek contract tussen vrager en aanbieder. De invloed die een organisatie hier heeft op het standaardcontract dat zij afsluit bij afname van public diensten moet niet overschat worden. NXP merkt op dat de wijziging in het standaardcontract met Salesforce alleen de prijs betrof. De Open Universiteit de eerste afnemer van studenten-e-mail van Google in ons land stelt dat zij door het 14 AUGUSTUS 2011
vooraf vragen van de studenten of zij gebruik willen maken van Gmail of van hun eigen e-mailadres, mogelijke problemen met het voldoen aan wetgeving heeft voorkomen. Invloed klant op levering diensten Wisselend zijn de adviezen die aanbieders hun klanten geven bij het gebruik van diensten (zie figuur 4). Sommige aanbieders maken een onderscheid tussen het soort dienst; andere geven helemaal geen advies. De conclusie kan echter zijn dat de fasering ontwikkelen interne, pilot met externe en het maken van een road map voor verdere overgang naar diensten vooral geldt bij afname van platform- en infrastructuurdiensten en niet bij afname van SaaS. Duidelijk is voorts dat een organisatie bij overgang naar een een verandering ervaart in de sturing en organisatie van ICT-exploitatie. Deze verandering is groter bij gebruik van public computing dan bij gebruik van private computing. Bij public computing laten sommige leveranciers alleen een generiek dashboard van hun dienstverlening zien; sommige rapporteren alleen over incidenten enzovoort. Bij private computing is dat anders. Hier is invloed op beleid en uitvoering bij de leverantie door de vragers van diensten in hun contract geregeld. Deze mogelijkheid om structureel invloed te hebben op beleid en uitvoering kent public computing niet. Bij public computing verschillen per leverancier de mogelijkheden om invloed te hebben op het beleid en de uitvoering. Sommigen leveranciers kennen een partner- en een klantenraad; andere kennen inspraaksessies en bij sommige leveranciers van public-diensten heeft de klant geen beïnvloedingsmogelijkheden. Hetzelfde geldt voor het recht van de klanten om inzage te krijgen in audits op de exploitatiediensten. Naast de wat magere mogelijkheden van de klant om invloed uit te oefenen op het proces van dienstverlening en inzage te krijgen in de audits erop, kan men ook constateren dat de klanten zelf zich nog niet optimaal hebben georganiseerd om met diensten te werken. De klanten moeten minimaal bepaalde monitoring van de dienstverlening, aanspreekpunten voor leveranciers en een eerstelijnsservicedesk hebben ingericht. Conclusies Drie onderwerpen stonden centraal in dit artikel. Dat waren het begrip computing, de businesscase voor computing en het omgaan met computing. Het is duidelijk dat vragers van -computingdiensten en hun aanbieders duidelijk verschillen van mening over wat computing nu eigenlijk is. De aanbieders vinden het leveren van publicdiensten het echte computing. Het is computing op abonnementsbasis. De afnemer krijgt een standaardcontract. De vragers daarentegen zien ook het gebruik van private s als computing. Permanente Vertrouwen is bij global players het sleutelwoord, als wij hen zouden vragen hoe zij kijken naar de besluitvorming van vragers ten aanzien van computing. Financiële redenen mogen dan in eerste instantie aanleiding zijn om te gaan denken over deze wijze van ICT-delivery, op een gegeven moment zijn ervaring met en de verwachting van een leverancier het belangrijkst. De risico s zijn vaak specifiek per dienst te benoemen en meer volwassen afnemers van public-computingdiensten maken risico s inzichtelijk met holistische risk assessments. Bij private-diensten zijn deze vervolgens af te dekken met een contract. Bij public-diensten als Salesforce en Amazon zijn de mogelijkheden om de standaardcontracten aan te passen vaak beperkt tot de prijs van de dienst. Ten aanzien van de inrichting van de sturing en organisatie van ICT kent sourcing een verschil. Dat verschil is ook weer te herleiden tot het verschil in afspraken bij private of bij public sourcing. Public souring gebeurt op standaardcontract. Bij private souring is er bij grote klanten sprake van een specifiek contract per klant. In dit contract zijn rapportages, bevoegdheden ten aanzien van controles, escalatieprocedures, account executives en dergelijke geregeld. Het onderzoek werd uitgevoerd in het najaar van 2010, in het kader van het onderzoek naar computing van het door Simac gesponsorde lectoraat ICT governance van Fontys Hogeschool ICT. Dit onderzoek is gedaan als voorbereiding op een congres dat is gehouden op 28 juni 2011 in Eindhoven. Aan de kenniskring computing van dit lectoraat nemen deel: Theo Thiadens (lector), Ronald Ham (Surf foundation), Harald Vranken (Open Universiteit), Michiel van Best (Simac), Jacqueline van de Broek (Fontys), Frank Haverkort (Fontys) en Casper Schellekens (Fontys). Het praktisch deel van het onderzoek werd uitgevoerd door studenten van Fontys hogeschool ICT: Paul Bongers, Davy Cardinaal, Bjärni Coenen, Koen Dielis, Rob Dumernit, Koen Eijkemans, Perry Haast, Christian de Koning, Ruben van Kuijk, Gio Leito, Sebastiaan Lindenau, Otto Lodewijk, Sander Maas, Jeremy Pereira, Hans Rozendaal, Jeroen Teurlings, Dirk Voets en Pascal Widdershoven. De auteurs danken de geïnterviewde organisaties: Microsoft, Google, IBM, AFAS, Accenture, SARA, InHolland, Open Universiteit, Universiteit van Amsterdam, NXP Semiconductors, DAF Trucks en politie Gelderland-Midden voor hun medewerking aan het onderzoek. Literatuur ~ Lute, E. (red.) (2009), Over computing, waarom een taxi kopen, als je alleen vervoer nodig hebt? Baarn: TIEM. ~ Mell, P. en T. Grance (2009), Effectively and Securely Using the Cloud Computing Paradigm, retrieved 12 December 2010, from http://csrc.nist.gov/groups/ SNS/-computing/-computing-v26.ppt. ~ Thiadens, T.J.G. e.a. (2011), Cloudsourcing: ontzorging van de klant? Fontys ICT governance serie, Eindhoven: Fontys hogeschool ICT. AUGUSTUS 2011 15 WWW.FINANCE-CONTROL.NL