Business verandert sneller dan menig CIO doorheeft

Business verandert sneller dan menig CIO doorheeft
Cloudcomputing en mobility zijn nieuw in de IT. Hun impact is immens, zegt Christian Verstraete, CIO van HP. ‘Het leidt tot een fundamentele verschuiving in de IT. We gaan van infrastructuur naar services. Wat die verschuiving voor het businessmodel van bedrijven betekent, dringt helaas slechts langzaam door in de directiekamers.’
Wijnand Westerveld
Alle CIO’s hebben de onderwerpen ‘cloud’ en ‘mobility’ op hun agenda staan. Maar hoe belangrijk de ontwikkelingen op dit terrein ook zijn, onder druk van de dagelijkse business neigen diezelfde CIO’s nogal eens naar een afwachtende houding ten aanzien van nieuwe concepten; eerst maar eens zien of het met cloud en mobility wel zo’n vaart loopt.
Die afwachtende houding is een ernstige misvatting, stelt Christian Verstraete, chief technology officer bij HP. ‘De “consumerization” en “proliferation” van IT gaan veel sneller dan velen zich realiseren. Wie daar niet op inspeelt, wordt aan alle kanten door gebruikers, klanten en concurrenten ingehaald.’
IT’ers leven volgens Verstraete steeds meer in de ‘omgekeerde wereld’. ‘Ooit werd IT gezien als “magic”. Wie verstand had van computers en software was boven zijn omgeving verheven. IT’ers konden dingen waar niemand iets van snapte. Nu is dat andersom. Niet de IT’ers, maar gebruikers en klanten zetten de toon. Ze beschikken over de nieuwste tablets en smartphones. Dagelijks komen nieuwe apps beschikbaar, sommige héél geavanceerd. Iedereen gebruikt ze, en van de magie uit het verleden is niets meer over.’ Verstraete onderstreept dat dit een onomkeerbaar proces is. ‘De vraag is niet of het met cloud zo’n vaart zal lopen, de vraag is of we voldoende onderkennen hoe snel de IT-wereld aan het veranderen is.’ Hij tekent daarbij aan dat het niet alleen de ontwikkelingen op het terrein van cloudcomputing zijn die de IT-wereld op z’n kop zetten. ‘Het gaat om de combinatie van cloud, mobility, big data en social media. Die vier creëren een totaal nieuw speelveld voor de business. Organisaties die dat onderkennen en er op inspelen gaan heel interessante tijden tegemoet.’
Sensor based
De drie belangrijkste kenmerken van dat nieuwe speelveld zijn voor Verstraete dat de wereld steeds digitaler wordt, dat IT meer en meer ‘sensor based’ wordt en dat het primaire aandachtsgebied van bedrijven en organisaties verschuift naar de buitenwereld. ‘Nu al is het zo dat van al het geld dat wereldwijd in omloop is maar drie procent echt uit munten en bankbiljetten bestaat. De overige 97 procent is als nullen en enen in IT-systemen opgeslagen. Dat geldt straks voor veel meer zaken. Reserveonderdelen liggen niet meer op voorraad in een magazijn, maar bestaan uit een digitaal bestand. Pas als het nodig is krijgt het via 3D-printing zijn fysieke vorm. Dat IT steeds meer sensorbased wordt, zie je aan de smartphone, die voortdurend datauitwisselt met allerlei systemen wereldwijd. En het blijft niet bij de smartphone. Allerlei apparaten worden met sensoren uitgerust en ze communiceren allemaal met elkaar, zonder menselijke tussenkomst. Dat “internet of things” is nu aan het ontstaan. Concepten als de “smart city” zijn voor een belangrijk deel gebaseerd op devices die autonoom gegevens uitwisselen en op basis daarvan verkeersstromen reguleren. Of nog een stapje verder, er zijn sensoren zo klein dat je ze op je huid kunt dragen zonder dat je er iets van merkt. Die sensoren verzamelen allerlei data over het functioneren van het lichaam en communiceren dat continu aan een centrale medische post. Daarmee wordt het in theorie mogelijk dat je op straat loopt, een ambulance hoort aankomen die naast jou stopt, en dat het ambulancepersoneel je vervolgens vraagt of je alsjeblieft wilt instappen, omdat je naar alle waarschijnlijkheid over een kwartier een hartfalen krijgt. Dit voorbeeld maakt duidelijk dat de ‘buitenwereld’ steeds belangrijker wordt. Een patiënt hoeft niet naar het ziekenhuis te komen voor een onderzoek. Hij wordt permanent op afstand gemonitord. Banken sluiten steeds meer kantoren omdat klanten mobiel bankieren. In de muziekindustrie en de boekenbranche hebben we hetzelfde zien gebeuren. Die ontwikkeling zet zich in vele sectoren door.’
Christian Verstraete, CIO van HP

Voor bedrijven betekent dit dat ze steeds meer opschuiven in de richting van het verlenen van diensten aan hun afnemers, en dat geldt zelfs voor partijen die nu vooral een productiebedrijf zijn. Ongeacht om welk soort product het gaat, het draait in de nabije toekomst niet meer alleen om dat product. Minstens zo belangrijk is de data die rond het product gegeneerd worden, want met die data bedien je toeleveranciers, de logistieke keten, distributeurs, het verkoopkanaal, de marketing en eindgebruikers. Door al die partijen services te bieden, bind je ze aan je organisatie.
Mindshift nodig
Dit stelt bedrijven voor ingrijpende keuzes, weet Verstraete. In essentie gaat het om het aanpassen van het businessmodel – en dat is geen kwestie van even een knop omzetten. Wel is het zaak dat bedrijven zich erop voorbereiden. Bijvoorbeeld door een scenario op te stellen dat zegt hoe een organisatie geleidelijk kan opschuiven naar een aanbieder van diensten. Maar op dat punt is Verstraete niet helemaal gerust. ‘Voor zo’n verandering is een mindshift nodig. Die zie ik in de praktijk nog te weinig. Op veel plaatsen denken ze nog steeds dat het om technische verschuivingen gaat en kijken ze naar de infrastructuur en naar de applicaties. Maar al die verticale silo’s voor Microsoft, Oracle, SAP, Unix , het netwerk, en nog en serie applicaties zijn allemaal primair gericht op de interne bedrijfsprocessen, niet op de klant.’
Dat brengt Verstraete terug bij het begin van zijn betoog: de enorme inpact van cloudcomputing op het IT-landschap van de afgelopen jaren. ‘Cloudcomputing is een van de enablers van de nieuwe businessmodellen. Het is een zeer bruikbare manier om nieuwe businesstoepassingen IT-technisch te ondersteunen, zonder dat daarvoor de “on premise IT” op de schop moet. Want de veranderingen die ik voorzie zijn niet zomaar realiseerbaar, en intussen moeten bedrijven gewoon blijven draaien. Dat betekent dat de huidige IT operationeel moet blijven en dat bedrijven de IT-systemen moeten blijven onderhouden. En ondertussen moet nieuwe business ontwikkeld worden waarvoor ook IT-ondersteuning nodig is. Cloudcomputing maakt dat mogelijk. Daarmee kun je een eigen IT-omgeving combineren met nieuwe externe IT-toepassingen. Zo ontstaan hybride IT-omgevingen. Daarbij zijn allerlei varianten denkbaar, maar het belangrijkste van deze ontwikkeling is dat IT niet meer de bottleneck is voor het invoeren van nieuwe lines of business , maar dat IT dat invoeren juist mogelijk maakt.’
Hoe zo’n nieuwe cloudomgeving met de bestaande IT geïntegreerd wordt, hangt volgens Verstraete af van het transitiemodel dat een bedrijf kiest. ‘Je hebt eerst de transitie naar een businessservicemodel, daaruit volgt de applicatietransitie – zeg maar: de vraag welke diensten je wilt leveren – doe bepaalt welk deliverymodel je nodig hebt. Pas daarna kun je IT-keuzes maken en komt de IT-transitie aan de orde (zie kadertekst). IT-technisch is dat laatste stuk wellicht het meest interessant, maar er moet een herdefiniëren van de business aan voorafgaan.’ Dat herdefiniëren vergt leiderschap, stelt Verstraete. ‘Je hebt er niet zozeer een manager voor nodig, maar een bevlogen leider. Iemand die mensen enthousiasmeert en meetrekt. Zet binnen een organisatie een groep enthousiaste mensen bij elkaar. Medewerkers die “hongerig” zijn naar verandering en het lef hebben om nieuwe wegen in te slaan. En vooral mensen die in staat zijn over hun plannen te communiceren. Stop innovatie niet weg in een apart kamertje, maar houd de rest van de organisatie op de hoogte.’
Road to the cloud
Na zijn uiteenzetting over het ontstaan van nieuwe businessmodellen komt Verstraete op het technische deel van zijn betoog: cloudcomputing. Hoe combineer je als organisatie je huidige IT met nieuwe toepassingen ‘uit de cloud’? ‘Voor de IT-ondersteuning van lopende bedrijfsprocessen hoeft strikt genomen niets te veranderen. Bedrijven hebben de keuze om die systemen buiten de deur te zetten, bijvoorbeeld in een privatecloudconstructie, maar dat hoeft niet. IT ondersteuning voor nieuwe toepassingen zullen bedrijven snel meer binnenshuis optuigen. Dat zal in toenemende mate als een clouddienst worden afgenomen, bijvoorbeeld in een SaaS-constructie. Afhankelijk van de vraag hoe specifiek een bepaalde toepassing is, zullen bedrijven kiezen voor een dedicated cloudservice die in een private cloud wordt ondergebracht, of voor diensten uit een publieke cloudomgeving. Hoe dan ook, er ontstaat er een situatie waarin bedrijven hun eigen IT combineren met toepassingen die ze uit “de cloud” betrekken. Zo ontstaat een hybride cloudomgeving waarin on premise -IT gecombineerd wordt met zowel private als publieke cloud.’
Bij deze mogelijkheden is Verstraete terughoudend over publieke cloudtoepassingen. Want met de eerder door hem genoemde ‘consumerization’ en ‘proliferation’ van IT dienen zich volgens hem twee stevige vraagstukken aan. Hoe beveilig je die nieuwe onbegrensde omgeving? En hoe staat het met de uitwisselbaarheid van data? ‘Organisaties die toestaan dat medewerkers hun eigen devices gebruiken, moeten zich realiseren dat daarmee IT je bedrijf binnenkomt waar je geen vat op hebt en ook dat er data je onderneming uit gaan waar je geen controle meer op hebt. Als medewerkers hun data, ook bedrijfsinformatie, opslaan in ’Dropbox’ of equivalenten daarvan, weet strikt genomen niemand waar die informatie is opgeslagen, of hij daar echt veilig is en wie er meekijkt. Daarnaast worden allerlei bestandsformaten gebruikt. Mensen hanteren eigen definities en over de vraag in hoeverre data nog uitwisselbaar zijn, denkt niemand na.’ Daarmee dreigen we volgens Verstraete terug te vallen in het Excel-tijdperk van eind jaren tachtig, toen elke afdelingsmanager de financiële administratie op een Exel-bestand bijhield en vond dat zijn spreadsheet de enige universele waarheid weergaf.
Adobe
Op het punt van veiligheid zijn de vraagstukken minstens zo omvangrijk. Uit recent onderzoek blijkt dat het bij veel bedrijven 200 tot 300 dagen duurt voor men beseft dat er met data geknoeid is, of dat informatie mogelijk gestolen is. ‘Een partij als Adobe bijvoorbeeld, een onderneming waarvan je mag aannemen dat die meer dan gemiddeld thuis is in IT, ontdekte pas dat er onbevoegden in hun systemen rond geneusd hadden nadat medewerkers op een hackersite een deel van de eigen broncode herkenden. Zo’n verhaal bewijst dat veel bedrijven zich nog veel te weinig bewust zijn van de implicaties van de recente IT-ontwikkelingen.’ Een ander belangrijk vraagstuk rond cloudcomputing is volgens Verstraete de exitstrategie. ‘Hoe krijg je data terug als je weg wilt bij een provider? Daar zijn contractuele bepalingen voor, maar als je die leest snap je meteen dat het praktisch onmogelijk is om bijvoorbeeld twee petabyte aan data weer even zelf in beheer te nemen. Wie dus voor een aanbieder van publieke clouddiensten heeft gekozen, krijgt al snel met een “vendor lock in” te maken. Je kunt dat soort vraagstukken ondervangen door de data los te koppelen van de services die men levert. De data zijn daarbij core business, de services op basis van die data kunnen overal vandaan gehaald worden.
Deze aanpak vergt volgens Verstraete (die nu toch even zijn HP-pet opzet) een gecontroleerde cloudomgeving, zoals het door HP geïnitieerde ‘managed cloud’-concept. Daarin kan on premise-IT worden gecombineerd met cloudtoepassingen, zowel private als publieke, weet de gebruiker waar zijn data staan, wie er de eigenaar van is en wat ermee gebeurt. Dat laatste is voor Verstraete van belang. ‘De aard van cloudcomputing is nu eenmaal dat het zich niet tot één fysieke locatie beperkt, vaak over landsgrenzen heen. Wat daarvan de consequenties zijn, heeft niet iedereen even helder op z’n netvlies.’
 
Checklist cloudcomputing
Een checklist die bij de besluitvorming rond cloudcomputing van dienst kan zijn, wordt door Christian Verstraete aangeduid als ‘my litte cloud cheat sheet’. ‘Volgens mij zijn dat de relevante vragen waar je in elk geval even bij stil moet staan. De bedoeling daarvan is niet om mensen bang te maken, maar wie voor dienstverlening vanuit de cloud kiest moet goed weten waar hij aan begint. Het draait allemaal om het managen van risico’s. Stel jezelf de volgende vragen en weeg af welke risico’s je bereid bent te nemen.’
• Van waar wordt een service geleverd? Dit is in een cloudomgeving van belang, want hoe groter de afstand tot de fysieke server, hoe meer vertraging er op treedt. Met name bij interactieve applicaties waar veelvuldig een schermupdate plaatsvindt, wordt een vertraging van 200 ms al snel vervelend.
• Wie is bij het leveren van de dienst betrokken? De aanbieder natuurlijk, maar met name bij SaaS-contructies zijn vaak meer partijen betrokken. Een SaaS-aanbieder kan het hardwareplatform van een derde aanbieder gebruiken of kan zijn back-up bij nog een andere partij hebben ondergebracht. Hetzelfde geldt voor disaster recovery , administratie, et cetera. Achter één naam gaat doorgaans een keten van aanbieders schuil, en de kwaliteit van een dienst is zo goed als de zwakte schakel. Toen Amazon in april 2013 zijn dienstverlening tijdelijk staakte, was een groot aantal partijen verrast dat dat hen ook raakte.
• Waar worden de data fysiek opgeslagen en verwerkt? De locatie van data hangt samen met de compliancy-eisen die eraan gesteld worden. Sommige landen eisen dat financiële gegevens altijd binnen de eigen grenzen blijven. De EU stelt dat persoonlijke gegevens van mensen niet buiten de EU opgeslagen of verwerkt mogen worden. De regels voor medische informatie zijn soms nog strikter. En let wel: dat geldt voor zowel de operationele data als voor de bestanden die voor disaster recovery bedoeld zijn.
• Hoe krijg ik mijn data terug als een dienstverlener ermee stopt of als ik zelf van service wil veranderen? De crux is dat de data naar de nieuwe applicatie worden overgezet. Dat is niet anders dan in een traditionele IT-omgeving. Maar er zijn twee belangrijke kwesties. Ten eerste is niet duidelijk in welk format je de data van je dienstverlener krijgt aangeboden, want het dataformat was zijn zaak. Ten tweede is de vraag hoe je de data terug kunt krijgen. Moet je ze uploaden? Als het om terabytes gaat, wordt dat een dure grap. Er zijn aanbieders die je bijvoorbeeld 48 uur de tijd geven om je data bij beëindigen van de dienst terug te halen. Zie maar eens een paar terabyte aan data in twee etmalen onder je beheer te krijgen.
• Wat gebeurt er met de operationele data, snapshots, disaster recovery en back-upkopieën als een dienstverlener ermee stopt of ik zelf van service wil veranderen? Je wilt uiteraard dat alle data gerelateerd aan een service vernietigd worden. Maar data deleten die op internet staan, is buitengewoon complex. Op dit moment is er geen systematiek om data te deleten die ergens in een cloudomgeving zijn opgeslagen. De EU dringt weliswaar aan op het ‘right to be forgotten’, maar vooralsnog geldt: het is heel makkelijk om data op het web te zetten, maar vrijwel onmogelijk om ze eraf te krijgen.
Wie is eigenaar van de data die voor een service worden gebruikt? Dit lijkt een ondergeschikt onderwerp totdat bijvoorbeeld het ministerie van Justitie je gegevens wil hebben. Wie besluit dan over het beschikbaar stellen: de dienstverlener op wiens systemen de data staan of jij als eigenaar van de data? Eén ding staat vast: de dienstverlener wil geen gedoe en zal als het even kan de overheid terwille zijn. En het is lang niet zeker dat hij dat aan jou als eigenaar meldt. Dus stel de vraag over het eigendom van de data vóórdat je met een partij in zee gaat. Check ook met de plaatselijke wetgever of de afspraken zoals ze gemaakt zijn rechtsgeldig zijn.
Welke securitymaatregelen zijn er genomen? Vaak wordt gesteld dat de public cloud veiliger is dan je privéomgeving. Maar als je de grote providers vraagt hoe het met de beveiliging staat, dan luidt hun antwoord: ‘Dat is te complex om uit te leggen, vertrouw ons maar gewoon.’ Elke transparantie is dus zoek. Daarnaast zijn publieke cloudomgevingen een walhalla voor hackers en cybercriminelen. Daarom is het van belang duidelijkheid te hebben over de securityprocedures van een dienstverlener. Vraag ze op, check ze, laat een audit uitvoeren. Stemt een dienstverlener daar niet in toe, vraag je dan af of je zijn diensten wel wilt gebruiken.
Waar liggen de verantwoordelijkheden van de dienstverlener? De terms and conditions die elke dienstverlener hanteert, sluiten doorgaans veel aansprakelijkheid uit. In de praktijk komt het erop neer dat de aanbieder van clouddiensten alleen verantwoordelijkheid neemt voor de infrastructuur. Alles wat van die infrastructuur gebruik maakt, is de verantwoordelijkheid van anderen. Dat is vooral van belang bij compliancy. Als zich daar problemen mee voordoen, is de kans dat de dienstverlener daar verantwoordelijkheid voor neemt minimaal.
Hoe word je op de hoogte gehouden van mogelijke problemen? Jouw dienst valt ineens uit. Hoe wordt dat aan jou gemeld? Ga je akkoord met een Twitterbericht? Of wil je toch wat gedetailleerder op de hoogte worden gebracht? In de praktijk tot nu toe duurt het doorgaans vrij lang voor een dienstverlener ziet dat er een probleem is met zijn services. Het is daarom van belang dat duidelijk is wie er bij storingen benaderd moet worden en wat dan de procedures zijn.
• Welke privacypolitiek hanteert de cloudprovider en hoe gaan zij om met gebruikersinformatie? Gezien de manier waarop grote aanbieders als Google en Facebook omgaan met gegevens van hun klanten is het zaak het privacystatement van aanbieders goed door te nemen. Want als jouw medewerkers data op het web delen (ook bedrijfsgegevens en zelfs persoonlijke informatie) is het zaak te weten wat de aanbieder met die gegevens kan en wil doen.
Wat gebeurt er als jouw dienstverlener failliet gaat? Ooit waren er de escrow-overeenkomsten voor het veilig stellen van broncode. Dat soort constructies bestaat niet in de cloudwereld. Het is daarom van belang precies te weten hoe je je data terug kunt krijgen als een leverancier in geval van faillissement door een curator bestuurd wordt, of in geval van een overname een andere eigenaar krijgt.
 
Wijnand Westerveld is hoofdredacteur van Informatie. E-mail: w.westerveld@bimmedia.nl

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag