Cloud sourcing model



Vergelijkbare documenten
Sourcing model op basis van cloud computing

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Dé cloud bestaat niet. maakt cloud concreet

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Wat is de cloud? Cloud computing Cloud

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6.

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Factsheet CLOUD DESIGN Managed Services

Drie sleutelvragen over de Cloud Services Broker

Cloud Computing: Het concept ontrafeld

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Zwaarbewolkt met kans op neerslag

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

IAM en Cloud Computing

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Visie op Cloud & ICT Outsourcing

Cloud Computing. Definitie. Cloud Computing

Microsoft; applicaties; ontwikkelaar; developer; apps; cloud; app; azure; cloud computing; DevOps; microsoft azure

Whitepaper. Cloudarchitectuur Meer grip op cloud computing door inzet referentiearchitectuur. Auteur: Klaas Heek, Solutions Architect

Resultaten 2 e Cloud Computing onderzoek in Nederland. Alfred de Jong Principal Consultant Manager Architectuur & Innovatie Practice

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst?

Whitepaper. In vijf stappen naar de cloud

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

Partneren met een Cloud broker

Hoe belangrijk is het verschil tussen public en private cloud in de praktijk?

Position Paper. Doelarchitectuur Rijks Application Store (RAS) Status: Definitief, vastgesteld in ICCIO, 27 juni 2013 versie 1.0

Workshop transitie naar de cloud SaMBO-ICT & KZA. 21 November 2013 Utrecht

ONTSOURCING Ontzorgen en cloud Sourcing in Onderwijs en Onderzoek. Het Rijk in de Wolken 3 november 2016 Harold Teunissen en Michel Wets

Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten. Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

Visie op co-sourcing

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

Welkom. De gang naar hemel of luchtkasteel? Ervaringen in stappen naar de Cloud

MKB Cloudpartner Informatie TPM & ISAE

ITIL en/of eigen verantwoordelijkheid

Application Services. Alles onder één dak: functioneel applicatiebeheer, applicatieontwikkeling en testdiensten

Factsheet SECURITY CONSULTANCY Managed Services

Dragon1 EA Tool. Business case webbased EA tool. Een webbased EA tool geschikt voor elke architectuurmethode!

Meerdere clouds samensmeden tot één grote, hybride omgeving

CLOUD COMPUTING OVER SLIMMER WERKEN IN DE WOLKEN

7x Managers in de cloud

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Hybrid cloud Het beste van twee werelden

Het gevaar van te grote afhankelijkheid bij Cloud Outsourcing

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

18 REDENEN OM TE KIEZEN VOOR CENTRIC PROJECTPORTAAL BOUW

hoogwaardige IaaS Cloudoplossingen

ING stapt over naar de cloud. Rolf Zaal

Outsourcing in een ziekenhuis Klantcase uitbesteden TAB Hix. Las Vegas, 7 maart 2018 Ed de Myttenaere BEng CISA CRISC MBA RI

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

We helpen u security-incidenten te voorkomen

THE SKY S THE LIMIT. De cloud wat is het, en waarom is het de toekomst.

Factsheet BEHEER CONSULTANCY Managed Services

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.

BEVEILIGINGSARCHITECTUUR

Heeft u al applicaties in de cloud (zoals AWS, Azure, Google) draaien?

Van 6 weken naar 6 minuten. met. OpenSource. Jan-Taeke Schuilenga Infrastructuur Architect Jantaeke.schuilenga@duo.nl

Position Paper. Doelarchitectuur Rijks Application Store (RAS) juni 2013 versie 1.0

FS E. FORUM STANDAARDISATIE 13 december Advies. Agendapunt: 3E Betreft: Intake-advies voor Grip op SSD Aan:

Factsheet CLOUD MANAGEMENT Managed Services

PUBLIEKE, PRIVATE OF HYBRIDE CLOUD?

OpenX Hosting. Opties en Alternatieven

ImtechCloud, het platform voor een Hybride cloud

28 september 2017 PON Outsourcing Kenniscongres

Shared Services in ontwikkeling binnen de Rijksoverheid

Vergroening Kennisnet Cloud

Cloud services: aantrekkelijk, maar implementeer zorgvuldig

Technologieverkenning

Portfoliomanagement software van Thinking Portfolio

(Door)ontwikkeling van de applicatie en functionaliteiten

Heeft u al applicaties in de cloud (zoals AWS, Azure, Google) draaien?

Wat hebben Cloud en Digitale Transformatie met elkaar te maken?

IaaS als basis voor maatwerkoplossingen

Whitepaper Hybride Cloud Met z n allen naar de cloud.

Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online dienstverlening (cloud services) Achtergrond normenkader

Vertrouwen in ketens. Jean-Paul Bakkers

Factsheet E COMMERCE BEHEER Managed Services

Sourcing. Analyse Sourcing Management

Factsheet Backup on demand

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014

Voorbeelden generieke inrichting Digikoppeling

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE

Hoe migreer je naar de Cloud. Wilbert van Beek Directeur

Generieke gemeentelijke Infrastructuur modellen. Naar de Cloud

BeheerVisie ondersteunt StUF-ZKN 3.10

VAN DUIZEND BLOEMEN NAAR EEN HORTUS BOTANICUS Het Portaal 21 januari 2010 sambo~ict Coen Free Faraday van der Linden Maarten van den Dungen

SLIM SAMENWERKEN AAN ICT Cloud computing en shared service centra

De as a Service dienstverlening in het Nederlandse ICT landschap in kaart gebracht.

Efficiënt en veilig werken met cliëntgegevens. Zorg & ICT beurs 15 maart 2017

De Next Practice. Wilbert Teunissen Management Consultant Informatiemanagement

Privacy Compliance in een Cloud Omgeving

INTRANET SUITE: SOCIAL INTRANET IN ÉÉN DAG

Factsheet CLOUD MIGRATIE Managed Services

Data en Applicatie Migratie naar de Cloud

Transcriptie:

Cloud sourcing model Steeds meer organisaties overwegen om hun ICT onder te brengen (te sourcen) bij externe leveranciers van ICT-diensten in de cloud. Dit leidt er toe dat vele IT-afdelingen zichzelf aan het bezinnen zijn over hun eigen bestaansrecht. Binnen de huidige IT-afdelingen zal een ontvlechting moeten plaatsvinden van de vraag naar ICT-diensten en het aanbod van ICT-diensten. Het matchen van de vraag met het aanbod wordt wel de regiefunctie genoemd. Dit white paper beschrijft een model dat de regiefunctie kan gebruiken bij het maken van de juiste match tussen vraag en aanbod. Hiernaast geeft dit model de eisen aan waaraan de uit te besteden dienstverlening moet voldoen vanuit het oogpunt van het beheersen van risico s. Vincent Jentjens Is directeur van icomply en werkzaam in het vakgebied informatiebeveiliging, compliancy en cloud computing. vincent.jentjens@icomply.nl Ben Elsinga Is als principal consultant bij Capgemini werkzaam in het vakgebied van identity en access management, architectuur en cloud computing. ben.elsinga@capgemini.com De auteurs hebben dit artikel op persoonlijke titel geschreven. Het artikel betreft dus de mening van de auteurs en niet die van de directe werkgever. Wij danken Pieter Hörchner voor illustraties van de 8 Cloud secnario's. Deze versie van het artikel is een speciale update voor CloudCon, geschreven door Vincent Jentjens op persoonlijke titel. Inleiding Steeds meer organisaties overwegen om hun ICT onder te brengen (te sourcen) bij externe leveranciers van ICTdiensten. Deze ICT-dienstverlening wordt steeds meer via Internet toegankelijk en kan op basis van betalen naar gebruik worden afgenomen. Door ICT-diensten via Internet af te nemen kan de leverende partij, gegeven de mondialisering, veel meer schaalvoordeel bereiken dan een IT-afdeling binnen een willekeurige organisatie. Dit leidt er toe dat vele IT-afdelingen zichzelf aan het bezinnen zijn over hun eigen bestaansrecht. Diverse CxO s hebben derhalve besloten dat het bestaansrecht van hun ITafdelingen niet meer ligt in het zelf leveren van de ICT, maar dat de IT-afdeling regie zal moeten voeren over diensten van anderen en moeten borgen dat deze verscheidenheid aan diensten ook nog integreert en bijdraagt aan de duurzaamheid van de informatie van de eigen organisatie. Dit betekent dat binnen de huidige IT-afdelingen een ontvlechting zal moeten plaatsvinden van de vraag naar ICTdiensten en het aanbod van ICT-diensten. Het matchen van de vraag met het aanbod wordt wel de regiefunctie genoemd. Cloud computing verandert de wijze waarop organisaties naar de ICT organisatie kijken. Cloud computing is nu een hype, maar zeker niet nieuw. Voorbeelden zijn Google apps, Amazon, Youtube, Twitter. Cloud computing vergemakkelijkt de keuze om de ICT onder te brengen bij een externe partij, doordat door de schaalgrootte, de diensten goedkoop, schaalbaar en op afroep afgenomen kunnen worden. Aan de andere kant introduceert het fenomeen Cloud computing ook weer een aantal zaken waarbij extra stilgestaan moet worden. Denk hierbij aan zaken als beveiliging, voldoen aan wet- & regelgeving en regie naar de dienstverlener toe. Er zijn inmiddels een bijna ontelbaar aantal artikelen geschreven over cloud computing. Het overgrote deel van deze artikelen zijn technisch van aard en/of aanbod gericht. We missen hierin de handvatten die organisaties helpen bij het verantwoord en beargumenteerd keuzes te maken voor een bepaalde cloud oplossing waarbij ook aan de cloud dienstverlener eisen gesteld worden. 1

Doel van dit white paper Dit white paper beschrijft een model dat de organisatie kan gebruiken bij het maken van de juiste match tussen vraag en aanbod. Hiernaast geeft dit model de eisen aan waaraan de uit te besteden dienstverlening moet voldoen vanuit het oogpunt van het beheersen van risico s op strategisch niveau, bij de transformatie naar de Cloud en bij de uiteindelijke implementatie. Een van de weinige artikelen, beschikbaar via Internet, dat uitgaat van een vraagoriëntatie is het white paper 1 Cloud Computing Use Cases dat is geschreven door de Cloud Use Cases Discussion Group. Kennis uit dat whitepaper wordt in dit white paper hergebruikt en voor de regiefunctie van een IT-afdeling concreet toepasbaar gemaakt. Ons doel van dit white paper is om dit model te beschouwen als open kennis door gebruik te maken van de Creative Commons licentie. Discussie over dit model kan derhalve worden gevoerd binnen www.ibpedia.nl2. Een kennisdelingssite voor professionals op het gebied van risico management. criteria een sourcingsmodel moet voldoen alvorens het toepasbaar is door een regiefunctie van een IT-afdeling. Tot slot wordt het model zelf beschreven. Eigenschappen van Cloud computing Er zijn diverse definities van Cloud computing in de loop der tijd beschreven. In dit white paper hanteren wij de volgende definitie: Cloud computing is het servicegericht afnemen van state of the art ICT-diensten van derden via een netwerkinfrastructuur (bv. Internet). Cloud-diensten zijn zeer schaalbaar en on demand beschikbaar met minimale voorinvesteringen. Ten tijde van het schrijven van dit whitepaper is een rapport in de maak door ENISA3 genaamd: Security & Resilience in Governmental Clouds. Het loont de moeite om ook dit rapport te gebruiken indien overheidsorganisaties een bewust besluit willen nemen welke applicaties in welke type cloud horen. Beide modellen kunnen wat ons betreft in combinatie met elkaar worden gebruikt. Na een architectuurkeuze op basis van dit model volgt er een risico afweging om eventuele restrisico s weg te namen. Samengevat kan dit model prima worden gebruikt in een RFI-fase, het model van ENISA komt goed tot zijn recht in een RFP-fase. Voor wie is dit white paper bedoeld? Dit white paper is bedoeld voor iedereen die vanuit vraagperspectief betrokken is bij het adviseren en realiseren van cloud oplossingen voor concrete business-toepassingen. Te denken valt aan business consultants, regie managers en informatie architecten. Ook voor informatiebeveiligers en compliance officers kan dit white paper interessant zijn en dan met name om globale architectuureisen die volgen uit dit model, naar meer concrete eisen door te vertalen voor de eigen specifieke situatie. Leeswijzer In dit white paper komen een aantal zaken aan de orde. Eerst wordt er stil gestaan bij de specifieke eigenschappen van cloud computing. Hierna wordt beschreven aan welke 1 http://opencloudmanifesto.org/cloud_computing_use_cases _Whitepaper-4_0.pdf 2 3 http://www.ibpedia.nl/index.php? title=sourcing_model_op_basis_van_cloud_computing http://tweakimg.net/files/upload/security%20-%20resilience %20in%20Governmental%20Clouds_ENISA%20(1).pdf 2 De bovenstaande figuur van de NIST vat de relevante elementen kort en krachtig samen. De bovenlaag bestaat uit de manier waarop de cloud-dienst kan worden aangeboden (deployment models). We hebben hierbij de volgende keuzes: Publiek: De cloud-dienst is wereldwijd beschikbaar via het Internet. Meerdere organisaties en personen maken gebruik van deze publieke dienst. Voorbeelden hiervan zijn: Hosting services voor websites, Google Apps, Gmail en Yammer; Privaat: De cloud-dienst is specifiek voor één organisatie opgezet. Deze organisatie heeft de volledige controle over de cloud-dienst en is in principe alleen via diens infrastructuur benaderbaar; Hybride: Hierbij worden verschillende vormen van clouddiensten met eigen dienstverlenging geïntegreerd; Community: Een aantal organisaties die samen werken kunnen besluiten een besloten cloud op te richten voor bijvoorbeeld alleen de Rijksdienst in Nederland of alleen de Nederlandse overheid. Voorbeelden hiervan zijn te vinden

in de USA, de UK en Japan. Iedere cloud-dienst kan worden onderscheiden in het niveau van de service (service models) die wordt verleend. Dit niveau van de service ligt op het niveau van de software (SaaS), het platform (PaaS) of op het niveau van de infrastructuur (IaaS). Software as a Service (Saas): Bij Software as a Service (SaaS) wordt een applicatievedienst afgenomen, waarbij de applicatie volledig onder controle van de dienstverlener staat. Kenmerkend hierbij is dat de aangeboden diensten sterk gestandaardiseerd zijn en hierdoor is de schaalbaarheid en betrouwbaarheid hoog. Een voorbeeld van SaaS is Google mail. Platform as a Serivice (Paas): In dit type dienstverlening wordt een platform geboden waarop de gebruiker zijn eigen applicaties kan ontwikkelen, hosten en beheren. Voorbeelden: PayPal, Google App Engine, Amazon S3, Rackspace Cloud Sites. Infrastructure as a Service (Iaas): Bij IaaS wordt de infrastructuur als een dienst aangeboden. Te denken valt aan reken-, opslag- en netwerkcapaciteit. Een voorbeeld van IaaS is een organisatie die het wereldwijde netwerk als dienst afneemt. Kansen van cloud computing Kansen voor een organisatie m.b.t. cloud computing zijn o.a.: Het afnemen van reeds beschikbare en schaalbare Internet diensten is een manier om de wendbaarheid van de organisatie te vergroten; Sociale netwerken (Web 2.0) gebaseerd op cloud computing dragen bij aan de coördinatie van de organisatie richting haar omgeving; Schaalvoordelen en meer concurrentie tussen vergelijkbare ICT-dienstverlening leiden tot lagere kosten voor de verwerking en opslag van informatie; Cloud computing voegt een component toe aan de sourcing-strategie, waardoor een organisatie optimaal haar ICT kan sourcen; Goed instrumentarium voor vernieuwing en innovatie. Risico s van cloud computing Risico s voor een organisatie m.b.t. cloud computing zijn o.a.: Het kunnen voldoen aan wet- en regelgeving, bijvoorbeeld ten aanzien van de locatie van privacy gevoelige en vertrouwelijke gegevens. Er zijn geen mechanismen binnen de meeste organisaties aanwezig om verschillende clouddiensten met elkaar te integreren tot één logisch geheel; Door het ontbreken van standaarden is het momenteel lastig om te migreren van de ene naar de ander cloud-aanbieder (vendor-lockin); De afhankelijkheid v.d. netwerkinfrastructuur. Mogelijk een probleem in landen met een beperkte telecommunicatie voorziening; Informatie die niet meer wordt gearchiveerd en versnipperd aanwezig is binnen verschillende clouds. Cloud Sourcing Model Bij het ontwerp van dit cloud sourcing model zijn de volgende criteria opgesteld waaraan het model dient te voldoen: Het model is snel en relatief eenvoudig te gebruiken De vragen die moeten worden beantwoord zijn zuiver functioneel en niet technisch van aard. De uitbestedende partij staat centraal De vrager bepaalt. Door toepassing van dit model kan een tegenwicht worden geboden aan grote en dominante aanbiedende partijen. Het is organisatie- en marktsector onafhankelijk Dit sourcing model kan in alle marktsectoren worden toegepast. Gegeven de creative commons licentie kunnen afgeleide modellen worden ontwikkeld voor specifieke sectoren (indien nodig). Toepasbaar voor een breed scala aan diensten Het model is met name gericht op (SaaS) maar kan in principe ook hoger en lager in de (delivery model) stack (Paas, Iaas) worden toegepast. Het bouwt voort op kennis die reeds op Internet aanwezig is. Dit white paper is gepubliceerd met en Creative Commons licentie en maakt actief gebruik van publicaties4 geschreven onder een Creative Commons licentie. Het model ondersteunt bij het maken van een keuze uit de diverse cloud-diensten die aangeboden worden en helpt de uitbestedende partij om de volgende zaken inzichtelijk te maken: Keuze voor de soort dienstverlening Na de beantwoording van een aantal functionele vragen moet helder zijn welke type informatie wordt verwerkt, wie gebruik maakt van de dienst, en welke dienstverlening past bij de gevraagde functionaliteit. 4 Kwaliteitseisen die aan de dienstverlening moeten worden gesteld Na de beantwoording van een aantal functionele vragen moeten dan ook (globaal) de eisen en consequenties in beeld zijn gebracht op het gebied van compliany (voldoen aan vigerende wet- en regelgeving), de te stellen beveiliging- en privacy Het white paper Cloud Computing Use Cases dat is geschreven door de Cloud Use Cases Discussion Group. 3

eisen, eisen t.a.v. de exit strategie (voorkomen van vendor locking) en de eisen t.a.v. de kwaliteit van de gevraagde dienstverlening (service level management). Wolk 2: De organisatie in de wolken (externe focus) Positionering van de organisatie in haar ecosysteem De uitkomst van dit model geeft richting ten aanzien van de afspraken die een organisatie moet maken met zijn ketenpartners over waar de verantwoordelijkheden t.a.v. van de geleverde dienstverlening zijn belegd (wie heeft controle over de dienstverlening). Het model bestaat uit 10 selectievragen waarmee een 8-tal mogelijke typen cloud-diensten geselecteerd kunnen worden. Hieronder wordt een nadere toelichting gegeven op de acht mogelijke cloud-scenario's en de tien selectievragen. Hierna wordt beschreven hoe de beantwoording van de tien selectievragen leidt tot een aantal concrete resultaten met dit model. De acht type cloud-scenario's In onderstaande tabel worden de acht cloud-scenario's beschreven5. Wolk 1: De medewerker in de wolken Bij dit type dienstverlening wordt er een generieke/ standaard dienst vanuit publieke of hybride cloud-diensten aangeboden. Echter, de organisatie heeft nu een contract afgesloten met de dienstverlener waardoor er specifieke eisen aan de dienstverlening gesteld kunnen worden. Denk hierbij aan het logisch scheiden van data, het borgen van het intellectueel eigendomsrecht op de organisatiegegevens en het afdwingen van een minimaal gegarandeerde beschikbaarheid. Voorbeelden van generieke diensten waar dit mogelijk is zijn bijvoorbeeld Google Apps of Yammer. Wolk 3: Onze klanten in de wolken (externe focus) Bij dit type dienstverlening wordt er een generieke/ standaard dienst vanuit publieke cloud-diensten aangeboden. Denk hierbij aan Twitter, LinkedIn, Facebook, etc. Medewerkers van de organisatie kunnen gebruik van deze dienst maken, maar de organisatie zelf heeft geen invloed op de dienst en het gebruik hiervan. Via deze diensten staan de eigen medewerkers in contact met anderen. 5 In dit scenario gebruikt de organisatie publieke of hybride cloud-diensten en stelt deze beschikbaar aan de (potentiële) klanten van de organisatie. De organisatie heeft dus direct invloed en zeggenschap over de aangeboden dienstverlening. Voorbeelden hiervan zijn organisaties die een e-commerce of een e-government dienstverlening aanbieden. Als consistentie-check zijn alle acht cloud-scenario s gepositioneerd binnen de SaaS-laag van de Cloud-Cube. Voor meer informatie over de Cloud-cude, zie: http://web.me.com/pieterhorchner/business/artikelen/ Artikelen/2010/12/21_De_Nederlandse_overheid_in_d e_wolken_files/de-nederlandse-overheid-in-dewolken-xr-magazine.pdf 4

Wolk 4: Met zijn allen in de wolken (externe focus) In dit scenario worden diensten aangeboden waar diverse organisaties en individuele personen gebruik van maken. De eigen organisatie voert samen met de ketenpartners regie over de dienstverlening richting een leverancier van publieke of hybride cloud-diensten. Voorbeelden hiervan zijn digitale loketten voor publieke diensten van de Nederlandse overheid. In dit geval zijn de klanten Nederlandse burgers en de ketenpartners samenwerkende overheidsinstanties. Wolk 5: In de gemeenschappelijke wolk (community focus) Wolk 6: Dienstverlening vanuit een eigen wolk (externe focus) In dit geval biedt de organisatie zelf een cloud-dienst aan en stelt deze beschikbaar aan klanten, de eigen medewerkers en vertrouwde ketenpartners. De organisatie heeft dus direct invloed en zeggenschap over de aangeboden dienstverlening. Voorbeeld hiervan zijn te vinden in de auto-industrie waar de toeleveranciers direct toegang hebben tot een centrale database van een autofabrikant. Een ander voorbeeld zijn de basisregistraties binnen de Nederlandse overheid. Wolk 7: Open data (externe focus) In dit scenario wordt door een derde partij diensten aangeboden die voor vertrouwde ketenpartners beschikbaar zijn. De eigen organisatie voert samen met de ketenpartners regie over de dienstverlening richting een leverancier van publieke of hybride cloud-diensten. Het doel van dit scenario is om met de ketenpartners een community gerichte samenwerking op te bouwen. Bijvoorbeeld een aantal verschillende organisaties die samen aan een gemeenschappelijk product werken. Een ander voorbeeld zijn alle departementen van de Nederlandse overheid die in het kader van de bedrijfsvoering rijksbreed samenwerken. In dit scenario stelt de eigen organisatie publieke gegevens actief beschikbaar aan anderen zodat deze partijen of individuen hier aanvullende dienstverlening op kunnen baseren. De eigen organisatie is in dit geval DE bron voor de gegevens die ter beschikking worden gesteld. Voorbeelden zijn kranten die nieuws via Internet openbaar maken over overheden die publieke gegevens via Internet ter beschikking stellen zoals weergegevens, geografische informatie, enz. 5

Wolk 8: Optimale bedrijfsvoering (interne focus) de dienst noodzakelijk? Uitgangspunt is dat de gebruiker van de dienst een minimale beschikbaarheid van de dienstverlening wenst. Deze vraag is zeer relevant omdat (in theorie) via het Internet gaan minimale beschikbaarheid kan worden geboden. 6. Is de informatie die door de dienst wordt verwerkt organisatie vertrouwelijk6? Er wordt gekeken naar wat voor informatie in de cloud verwerkt wordt qua gevoeligheid. Het criterium is dat het uitlekken van deze informatie de organisatie in kwestie ernstige schade kan toebrengen. Voor de bedrijfsvoering maakt de eigen organisatie gebruik van eigen IT-dienstverlening in combinatie van clouddiensten van anderen. Diensten die de eigen IT-organisatie niet efficiënt of doelmatig kan leveren worden via flexibele cq. elastische cloud-diensten afgenomen. Voorbeelden zijn het tijdelijk opschakelen van verwerkingscapaciteit of de cloud-diensten voor het ondersteunen van een testmanagement proces. De 10 selectievragen In onderstaande tabel worden de selectievragen beschreven. De uitkomsten van deze vragen sturen de uitkomsten van het model in dit white paper. 1. Maken de medewerkers van de organisatie gebruik van de dienst, maar zonder invloed van de eigen organisatie? Uitgangspunt is dat medewerkers van een organisatie gebruik maken van diverse diensten op het internet voor hun werkzaamheden die niet onder de controle van de organisatie staan. 2. Is de organisatie is een directe afnemer van de dienst? Uitgangspunt is dat aan de medewerkers van een organisatie een cloud-dienst door de organisatie zelf wordt afgenomen. De organisatie heeft controle over het gebruik en de toegang tot de dienst. 7. Is de informatie die door de dienst wordt verwerkt privacy gevoelig? Er wordt gekeken naar wat voor informatie in de cloud verwerkt wordt qua privacy gevoeligheid (WBP-klasse II of III 7). Deze vraag is van belang in het kader van het voldoen van wet- en regelgeving. 8. Is de informatieverwerking is fraude gevoelig? Er wordt gekeken naar de mate waarin integriteit van de gegevens. Te denken valt aan gegevens die financieel van aard zijn. 9. Is de dienstverlening hoofdzakelijk gericht op het ter beschikking stellen van publieke informatie aan anderen? Er wordt gekeken naar de mate het publiceren van openbare informatie aan derde partijen. Beschikbaarheid en integriteit van de gegevens zijn belangrijk, de vertrouwelijkheid juist niet vanwege het openbare karakter van deze gegevens. 10. Is de dienstverlening hoofdzakelijk gericht op het optimaliseren van de eigen bedrijfsvoering? Er wordt gekeken naar de mate waarin de ondersteunende processen van de eigen organisatie efficiënter en doelmatiger kunnen worden ondersteund. 3. Is de dienst is een public of private dienst waar klanten gebruik van kunnen maken? Uitgangspunt is dat iedereen (op uitnodiging) gebruik van de dienst kan maken. Dit gaat dus verder dan enkel de medewerkers van de eigen organisatie. 4. Maken andere organisaties gebruik van de dienst? Uitgangspunt is dat ook andere organisaties afnemer van de dienst kunnen zijn. Bijvoorbeeld, de aangesloten organisaties leveren een samenhangende dienst voor één of meerdere klantengroepen. 6 5. Is er een gegarandeerde minimale beschikbaarheid van 7 Binnen de Nederlandse overheid wordt hiervoor ook wel de term Departementaal Vertrouwelijk gehanteerd Zie www.cbp.nl 6

7 Analysetabel met de voorkeurscenario(s) Eisen te stellen aan de cloud-dienst De bovenstaande analysetabel8 wordt gebruikt om een voorkeurscenario voor een type wolk te selecteren. Beantwoord hiervoor de selectievragen en maak bij ieder positief antwoord de " "-jes in dezelfde rij grijs. Selecteer vervolgens de kolom(men) met de meeste grijze " "-jes als zijnde het / de voorkeurscenario('s). In de praktijk kan deze invuloefening kolommen met dezelfde score opleveren. Op zich geen probleem want dan is er nog ruimte voor een nadere keuze. Over het algemeen is een publieke cloud meer kosteneffectief dan een community of een privé cloud9. M.a.w. een stelregel kan zijn dat er bij een gelijke score de meest linkse kolom wordt geselecteerd. Zodra de hierboven genoemde invuloefening is uitgevoerd hebben we al een hele belangrijke architectonische afweging gemaakt, n.l. de keuze tussen een publieke, community of privé cloud-dienst en we hebben bepaald hoe andere ketenpartners met deze cloud-dienst zullen interacteren. 8 9 Op basis van de vorige analysetabel hebben we na consultatie met alle belanghebbenden uit de acht scenario s het voorkeursscenario uitgekozen. Op basis van dit voorkeursscenario kunnen nu de eisen aan de cloud-dienst worden geformuleerd op strategisch niveau, bij de transformatie naar de Cloud en gedurende de implementatie. Per scenario zijn door Cloudcon security, compliancy en regie-eisen vastgesteld waar op ieder niveau (strategie, transformatie en implementatie) rekening mee gehouden moet worden; de analysetabel. Denk hierbij aan eisen die voorwaarden stellen aan de beschikbaarheid van de dienstverlening, de mate waarin informatie vertrouwelijk wordt opgeslagen in de Cloud, Wet- & regelgeving en contractuele eisen die geborgd moeten worden. De bovenstaande analysetabel is ook in de vorm van een spreadsheet beschikbaar via de auteurs van deze white paper Zie de whitepaper http://blogs.technet.com/b/microsoft_on_the_issues/archive/ 2010/11/11/the-economic-impact-of-the-cloud.aspx

De gehele werkwijze samengevat Bovenstaande figuur vat de gehele werkwijze samen (deze excelsheet is verkrijgbaar bij de auteus). 1. Beantwoord de selectievragen en maak bij ieder positief antwoord, de " "-jes in dezelfde rij grijs in de analysetabel met de voorkeurscenario(s); 2. Selecteer de kolom(men) met de meeste grijze " "-jes als zijnde het / de voorkeurscenario('s); 3. Maak samen met alle belanghebbenden een keuze voor het meest optimale scenario op basis van het "reuse by design"- en privacy by design -principes en 4. 5. 6. 7. 8. 9. uitgangspunten uit de business case10 zoals kosten en compliance overwegingen; Maak aan de hand van de Cloudcon analysetabel primaire eisen aan de cloud-dienst een eerste overzicht van globale eisen voor de cloud-dienst conform het voorkeursscenario; Maak de lijst met globale eisen compleet om een keuze te kunnen maken voor de juiste aanbieder van de cloud-dienst; Selecteer een dienstverlener op basis van het voorkeurscenario, functionele behoeften, aanvullende eisen, globaal dan wel specifiek. Laat desnoods door de cloud-leverancier aangeven hoe globale eisen door de cloud leverancier specifiek worden gemaakt; Voer een risicoanalyse uit voor het formuleren van compenserende maatregelen en het expliciteren van restrisico's voor het management (opdrachtgever en informatie-eigenaren); Verwerf de dienst11 en richt deze in bij een positief besluit van het management; Begeleiding van de invoering en de integratie met de rest van de informatievoorziening gebeurd bij voorkeur onder architectuur 12 ; 10 Aanname is hier wel at er voor de beoogde verandering een business case is gemaakt. Het model in dit white paper kan tevens tijdens de business case fase worden gebruikt om meer zicht te krijgen op de beoogde oplossing en de kosten hiervan. 11 Bijvoorbeeld via een RFP of aanbestedingsfase afhankelijk van de marktsector waarin de organisatie zich bevindt. 12 http://www.dya.info/images/niveaus%20in%20werken %20onder%20architectuur_tcm13-19175.pdf 8

Gebruikte licentievorm De expertbrief wordt gepubliceerd onder de volgende licentie: http://creativecommons.org/licenses/by/3.0/nl/ 9

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback