Cloud governance met tanden

  1. 18 sep 2019
  2. 0 reacties

Peter

In diverse onderzoeken waar ik de laatste maanden mee bezig ben geweest, zie ik dat heel veel Nederlandse organisaties op een keerpunt staan als het om cloud gaat. In de afgelopen jaren is het cloudgebruik sterk toegenomen, maar is het vaak nog niet doorgedrongen tot het hart van de IT-strategie. Dat is nu aan het veranderen. Nederlandse organisaties erkennen dat de cloud een essentieel onderdeel zal gaan worden van hun IT-omgeving en werken nu op grote schaal hun cloudstrategie uit. Een van de dingen die daarbij steeds belangrijker wordt, is cloud governance. Maar de aandacht daarvoor is meestal nog niet op het niveau waar deze moet zijn.

In de afgelopen jaren is veel met cloud geëxperimenteerd. Voor veel individuele teams is cloud inmiddels een normale praktijk en zien ze dat het gebruik van cloud de afgelopen jaren snel is toegenomen. Soms gaat dat om een toch ietwat leveranciers­gedreven verandering. Zeker op het gebied van werkplek­automatisering wordt de cloud al enige jaren als het nieuwe normaal gepresenteerd. De Nederlandse werkplek is inmiddels behoorlijk verSaaSt. Op het gebied van het datacenter en bedrijfsapplicaties speelt SaaS ook een groeiende rol, maar neemt het gebruik van IaaS - en nog meer van PaaS - sterk toe.
Zo sterk, dat veel organisaties een multicloudomgeving zijn binnengestruikeld. En als we het over cloudstrategie hebben, kiezen Nederlandse bedrijven toch vooral voor een cloud-first strategie in plaats van een cloud-only strategie. Het gevolg daarvan is dat de cloudomgeving al snel ook een hybride karakter krijgt.

Met het toenemende volume, de toenemende complexiteit, en het toenemende bedrijfskritieke karakter, is de tijd van vrijheid, blijheid definitief iets uit het bimodale verleden. Hoewel organisaties het experimentele van de cloud willen bewaren voor innovatiedoeleinden, worden er steeds meer nieuwe vragen gesteld rond het cloudgebruik. De meeste daarvan gaan over security. Er is veel vertrouwen in de meeste cloudleveranciers, maar daarmee is ‘de cloud’ nog niet veilig. Hoe richten we onze (hybride, multi-)cloud qua veiligheid in, zodat we aan de security-eisen voldoen die passen bij een organisatie die ook nog eens steeds afhankelijker wordt van technologie? Daar moet je als organisatie over nadenken en dat kan je niet zomaar aan individuele teams overlaten. Als bedrijven in cloud governance willen investeren, is dit vraagstuk meestal leidend.

Naast security merken veel organisaties dat de CFO steeds nerveuzer wordt over dat toenemende cloudgebruik. Dat de kosten minder voorspelbaar worden, is nog tot daaraan toe. Maar nu het kostenniveau een behoorlijke omgeving begint te krijgen, komen deze kosten onder een vergrootglas te liggen. Deels ligt dat aan de kant van de contracten: wordt het niet eens tijd dat we meer korting krijgen? En deels ligt dat aan de kant van de gebruiker: waarom gebruik jij deze clouddiensten? En weet je zeker dat je dat allemaal nodig hebt? Er zijn dus regels nodig voor de inkoop van clouddiensten en een betere verantwoording om ‘cloud sprawl’ te beperken. Ook deze vragen leiden tot een toenemende behoefte aan governance.

De vraag die ik nog te weinig zie terugkomen, is compliance met de IT-architectuur. Ik zie dat bedrijven die het verst gevorderd zijn hier inmiddels serieus over na beginnen te denken. Als cloud onderdeel wordt van mainstream IT, zul je moeten nadenken over de architectuureisen, daarop moeten gaan sturen en controleren. Het lijkt zo voor zich sprekend, maar de meeste organisaties schuiven dit vraagstuk nog voor zich uit, voor zover ze er al serieus over na hebben gedacht.

Het is begrijpelijk dat cloud governance gedreven wordt door individuele obstakels die organisaties tijdens hun cloudreis tegenkomen, zoals het inrichten van security of kosten­beheersing. Organisaties zouden dat vaker moeten aangrijpen om hun cloud governance als geheel, dus over het hele spectrum, op de rit te krijgen. Een ondersteunende, adviserende rol naar de teams van bijvoorbeeld een cloud competence center is daarbij onvoldoende. Organisaties zullen een cloud center of excellence moeten inrichten die stuurt en controleert. Eentje met tanden dus.

Peter Vermeulen is Directeur bij Pb7 Research