Cloudregie en het VKA Cloud Governance Framework

Leeswijzer:

  1. Inleiding: groei van (public) cloud
  2. Noodzaak voor cloudregie
  3. De Nederlandse overheid en public cloud
  4. Succesvolle implementatie van en sturing op de cloud vraagt regie
  5. Het Cloud Maturity model
  6. Het Cloud Governance framework
  7. Cloud competenties, ofwel: hoe ga ik hier als organisatie mee om?
  8. Wat nu?

Download onderstaande whitepaper hier: link.

cloudregie-vka-cloud-governance

 

1: Inleiding: groei van (public) cloud

De cloud is al jaren een van de belangrijkste ontwikkelingen in IT-dienstverlening voor organisaties. Voor dit paper leggen wij de focus op de public cloud: het gebruik van gedeelde, online hardware en software. Inmiddels past 65% van de Nederlandse bedrijven public cloud computing toe in de bedrijfsvoering. Dit laat een forse stijging zien ten opzichte van de 53% in 2020[1]. De Amerikaanse techreuzen Microsoft Azure, Amazon Webservices (AWS) en het Google Cloud Platform staan centraal in de groei van de public cloud. Deze cloud leveranciers, ook wel hyperscalers genoemd, voorzien samen meer dan 60% van de cloudmarkt. Een markt die in het tweede kwartaal van 2022 werd vastgesteld op ruim 200 miljard euro[2]. De verwachting is dat de investeringen in deze, nu al gigantische, markt EU-breed de komende jaren met 30 tot 40 procent per jaar zullen toenemen[3].

Maar waarom dit sterk groeiende gebruik van de cloud? Cloudtoepassingen verhogen schaalbaarheid, flexibiliteit en daadkracht van de bedrijfsvoering. Hierdoor kan bijvoorbeeld de noodzaak van een eigen inhouse ICT-infrastructuur afnemen. De voordelen liegen er niet om: flexibiliteit van de bedrijfsvoering neemt toe door pay-per-use en een verschuiving naar operationele uitgaven. De diensten zijn snel op- en af te schalen, en daarnaast platformonafhankelijk (Apple, Windows, Linux etc.). Met een internetverbinding is de cloud altijd en overal te benaderen. Tegelijkertijd verdwijnen in het verleden vaak genoemde nadelen. Zo bieden cloudproviders inmiddels certificaten van alle gangbare normen (bv. ISO27001 en ISAE3402) om security en privacy zorgen verkleinen. Keuzemogelijkheden over de locatie van data en opties om zelf beheer en encryptie te regelen vergrootten de persoonlijke controle. Toenemend gebruik van (open) standaarden verkleint daarnaast het risico op vendor lock-in.

2: Noodzaak voor cloudregie

Het toepassen van cloud verschilt van organisatie tot organisatie. Wil je zoveel mogelijk  ICT-infrastructuur buiten de deur plaatsen? Of wil je vooral gebruik gaan maken van Software as a Service (SaaS) pakketten? Om organisaties te helpen in dit complexe landschap te navigeren en om strategie, implementatie en governance af te stemmen op de specifieke cloudbehoeftes van een organisatie, zet VKA het Cloud Governance Framework in. Dit door VKA ontwikkelde framework vormt de paraplu voor het vormgeven en implementeren van cloudregie binnen een organisatie. Dit paper introduceert het framework en de aspecten en aandachtspunten die bij invoering komen kijken.

3: De Nederlandse overheid en public cloud

Ook de publieke sector ziet steeds meer de voordelen van public cloud diensten. Gemeenten, provincies en sinds kort ook de Rijksoverheid verdiepen zich steeds meer in de kansen die de cloud biedt. Dit blijkt onder meer uit het in de zomer van 2022 gepubliceerde Rijksbreed cloudbeleid. Op 29 augustus 2022 kondigt de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties aan dat overheidsdiensten onder voorwaarden gebruik mogen gaan maken van publieke clouddiensten[4]. Tot deze voorwaarden behoren met name afwegingen in het kader van gegevensbescherming en cyberveiligheid. Maar de voorwaarden betreffen ook risicoafwegingen, een toegespitste analyse en het opnemen van een exitstrategie in de overeenkomst. Dit is een ommezwaai in het tot dan toe geldende beleid uit 2011, waarin overheidsdiensten werden gestimuleerd om gebruik te maken van private clouddiensten[5], wat in de praktijk neerkwam op een indirect verbod op het gebruik van publieke clouddiensten en de realisatie van de gesloten Rijkscloud, oftewel: private hosting.

De meningen over dit nieuwe Rijksbeleid zijn verdeeld. Inhoudelijk wijzen de criticasters op juridische risico’s en risico’s op het vlak van security en privacy. Wat zijn de kansen dat Europese data het Europese ruim verlaat? Tot welke data krijgen Amerikaanse inlichtingendiensten potentieel toegang?[6] Welke gevaren zijn er ten aanzien van een vendor lock-in bij een van de hyperscalers?[7]

Deze kritiek staat tegenover de uiteenlopende voordelen van gebruik van cloud en het feit dat sommige risico’s juist door cloudgebruik gereduceerd kunnen worden. Cloudgebruik verhoogt, zoals hierboven toegelicht, schaalbaarheid, continuïteit en efficiëntie. De scheidslijn tussen kans en risico kan ook diffuus zijn. Informatiebeveiliging hoort bijvoorbeeld tot de grootste uitdagingen van cloud gebruik. Tegelijkertijd wordt informatiebeveiliging ook gerekend tot de top 10 grootste kansen die cloudgebruik biedt.

4: Succesvolle implementatie van en sturing op de cloud vraagt regie

Zoals het gaat met het adopteren van een nieuwe technologie vergt de adoptie van cloud een stevige regie. Overheidsorganisaties hebben in vele decennia tijd complexe IT-ketens opgebouwd, met uiteenlopende hardware, software en diensten van allerlei leveranciers. Kennis van cloud technologie en omgang met nieuwe (on)mogelijkheden zijn niet zomaar aanwezig binnen organisaties. Het integreren, of geheel adopteren van de public cloud vergt kennis, competenties en sturing, in te vullen met resources. Resources komen in de vorm van bijvoorbeeld expertise, tijd en geld.

Cloudregie bouwt op de fundamenten van klassieke regievoering (blauwe vakken in onderstaande figuur 1). Klassieke regievoering heeft tot doel vraag en aanbod op elkaar af te stemmen. Zo richt vraagsturing zich op het vertalen van de business-strategie naar informatiestrategie. Leveringssturing richt zich op de optimale levering van ICT door de best passende partij, met de afgesproken kwaliteit tegen marktconforme kosten. Tot slot heeft de pijler governance en kaderborging van klassieke regie tot doel het sturen op verantwoordelijkheden, controle en het verantwoorden. Daarbij dient voldaan te worden aan bijvoorbeeld wet- en regelgeving, informatiebeveiliging en risicomanagement.organisatie-cloudregie

Cloudregie heeft een aantal additionele elementen ten opzichte van klassieke regie. Cloudregie heeft naast een optimale afstemming van vraag en aanbod als tweede doel een succesvolle adoptie van de cloud. Dit raakt de gehele organisatie. Afhankelijk van de taken, rollen en functies van individuele medewerkers, verschilt de mate van cloudadoptie van persoon tot persoon en van afdeling tot afdeling. De extra effort ten behoeve van cloudadoptie is in de meeste situaties van tijdelijke aard. Wanneer de organisatie thuis is in het werken volgens cloud principes dan vermindert de noodzaak voor cloudregie als separaat governance aspect, en wordt het geïncorporeerd in de organisatieregievoering.

5: Het cloud maturity model

Het VKA cloud maturity model ontleedt de fases van cloudregie. Zie onderstaande figuur 2.  In de stap van Ad Hoc naar Managed pakt de organisatie cloudregie bij de teugels. Organisaties groeien door in hun volwassenheid door doorontwikkeling van cloudadoptie op basis van, onder andere, organisatiestandaarden en datagedreven werken. Wanneer de organisatie de stap continu verbeteren bereikt, is de volwassenheid dusdanig hoog dat deze opgaat in de organisatieregievoering. Dit leidt tot een verandering in het regiemodel die afhankelijk is van de door de organisatie gekozen insteek.vka-cloud-maturity-model

6: Het Cloud Governance Framework

Cloudtransitie en adoptie is een organisatiebrede aangelegenheid. Het bereiken van een hoger volwassenheidsniveau gaat gepaard met de ontwikkeling van competenties (hierover later meer) op verschillende focusgebieden. De competenties hebben enerzijds een focus op de business, zoals de alignment tussen cloud- en businessstrategie, en de focus op mens en organisatie waarbij bijvoorbeeld het ontwikkelen van kennis en leiderschap centraal staat.

Een transitie naar de cloud bestaat daarnaast uit een stevige technische component, waarvan het schaalbare cloud platform een essentieel onderdeel is. Beveiliging van het platform en de diensten is cruciaal. Tot slot moet de dienstverlening daaromheen fit for purpose zijn.

cloud-governance-framework

Cloud integratie en brokerage (welke partij managet mijn clouddiensten?) vallen daar tussenin. Welke architectuurrichtlijnen houdt de organisatie aan bij het integreren van clouddiensten? Wordt er bijvoorbeeld ingezet op single- of multicloud? Hoewel dit aspect vooral een technologiefocus heeft, onderscheidt het zich van de andere aspecten doordat het een overkoepelende blik werpt, waar de andere technologiefocus competenties een platformspeficieke blik hanteren.

7: Cloud competenties, ofwel: hoe ga ik hier als organisatie mee om?

Organisaties hebben uiteenlopende rollen taken en verantwoordelijkheden. Cloudadoptie begint doorgaans niet met een vooropgezet plan. Verschillende organisatieonderdelen zullen hier en daar al wat experimenteren, terwijl andere organisatieonderdelen de noodzaak er nog niet van inzien. Dat is logisch. Afhankelijk van de positie van een organisatie zijn bepaalde competenties meer of minder ontwikkeld gedurende de cloudtransitie. Ook speelt de omvang van een organisatie hierin in rol. Grote organisaties vergen meer afstemming en mogelijk ook een groter aantal competentiegebieden. Onder de 7 focusgroepen van het Cloud Governance Framework heeft VKA de volgende competenties geïdentificeerd:

cloud-compententie-model

Competenties stellen een organisatie in staat om met de ingerichte processen en resources de gewenste uitkomsten te realiseren. Afhankelijk van de use cases van het beoogde cloudgebruik, oftewel de primaire focus van de cloud voor de organisatie, moeten competenties in meer of mindere mate ontwikkeld zijn.

Neem als voorbeeld een organisatie die primair met Software as a service (SaaS) en Microsoft 365 aan de gang gaat. Een dergelijke organisatie zal zich vooral richten op de effecten in de business, voor de gebruikers en bijvoorbeeld de integratie tussen de verschillende SaaS-oplossingen.

Een andere use case is een organisatie die zelf ontwikkelde software via geautomatiseerde ontwikkelstraten deployet naar landingszones. Deze organisatie zal zich naast de hierboven genoemde competenties ook focussen op platform architectuur, de financiële beheersing en provisioning (het alloceren van de cloud resources aan klantzijde) en orkestratie (het automatiseren van taken die verbinding en workloads managen).

Het volwassenheidsmodel speelt hierin ook een rol. Waar sta ik in mijn cloudtransitie en -adoptie, en welke competenties zijn belangrijk om op dit moment mijn focus op te leggen? Ben ik bezig met eerste experimenten of is de helft van de applicaties al gemigreerd naar de public cloud, is deze verregaand omarmd en inmiddels gemeengoed geworden? Organisatiefocus en beschikbaarheid van resources spelen hierin een belangrijke rol.

De toepassing van competenties, en daarmee het model, zijn daarnaast afhankelijk van de verdeling van taken en rollen die een organisatie ambieert. Wat doe je zelf, wat doe je samen met de leverancier en wat besteed je in zijn geheel uit?

Wanneer dit vaststaat ontpoppen zich alweer de volgende vraagstukken: Hoe deel je de competenties toe aan personen, waar beleg je de rollen binnen de organisatie? Zijn er nieuwe rollen voor nodig? Kunnen we taken/rollen aan bestaande functies/rollen toebedelen? In dit vraagstuk spelen onder andere afwegingen over het dicht tegen beheerders aan organiseren en integratie met de reeds geïmplementeerde ‘klassieke’ regiefunctie, of kiest men voor andere afwegingen. Een cloud competence center, zoals de fysieke implementatie van het cloudregie orgaan vaker wordt genoemd, klinkt als een organisatie-eenheid, apart opgehangen in de organisatie, maar dit kan net zo goed (of vaak beter) een decentrale, virtuele inrichting zijn, verdeeld over meerdere afdelingen. De keuze hierin wordt ook bepaald door de bestaande inrichting van ICT en regie.

8: Wat nu?

Kortom, cloudtransitie en -adoptie vergen een doordachte aanpak. Ad hoc en decentraal begeven veel organisaties zich al in de cloud. Wil men echter een hoger volwassenheidsniveau bereiken, of een cloudtransitie in gang zetten waarbij men de cloud als strategisch middel inzet, dan vergt dit cloudregie. Ook als een organisatie zich wil ontwikkelen van een klassieke regieorganisatie naar een organisatie die voorbereid op de toekomst in de cloud, is nadenken en implementeren van cloudregie een noodzaak. Wat men daarin nodig heeft verschilt per organisatie.

VKA heeft ruime ervaring met het in de praktijk brengen van haar cloud governance framework en onderliggende competenties. Samen met de klant gaat VKA op zoek naar de inrichting van de juiste regiefunctie, passend bij de organisatie, het beoogde cloudgebruik en de status van de adoptie.

Wilt u meer weten? Neem contact op met Berend van der Hoeven.

[1] Kamerbrief Rijksbreed cloudbeleid 2022, d.d. 29 augustus 2022, https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2022Z15892&did=2022D33299.

[2] Kamerbrief Informatie- en communicatietechnologie (ICT), d.d. 20 april 2011, https://zoek.officielebekendmakingen.nl/kst-26643-179.pdf.

[3] https://www.agconnect.nl/artikel/waarom-toestaan-van-commerciele-clouds-bij-de-overheid-geen-goed-idee.

[4] https://www.agconnect.nl/artikel/hoogleraren-maken-gehakt-van-nieuwe-cloudkoers-kabinet.

[5]https://ec.europa.eu/eurostat/statistics-explained/index.php?title=Cloud_computing_-_statistics_on_the_use_by_enterprises.

[6]. https://www.statista.com/chart/18819/worldwide-market-share-of-leading-cloud-infrastructure-service-providers/.

[7] Marktstudie Clouddiensten, Autoriteit Consument en Markt, d.d. 5 september 2022, https://www.acm.nl/system/files/documents/marktstudie-clouddiensten.pdf.