Cloud governance: in 5 stappen grip bij een cloudtransitie

Je wilt over op de cloud. Hoe houd je dan grip op je ict-omgeving? En hoe borg je de veiligheid van je data? Veel CIO’s en CISO’s maken zich zorgen over dit soort vragen. Met de juiste cloud governance zijn deze zorgen niet nodig. Sterker nog, via deze weg profiteer je veilig en ‘in control’ van de voordelen van een cloudtransitie, zoals meer data om op te sturen en een verbeterde concurrentiepositie.

Doembeelden en ‘donder-clouds’

Ik zie vaak dat organisaties huiverig zijn om de grip op hun ict-omgeving te verliezen bij een cloudtransitie. Vooral wanneer zij delen van hun ict-infrastructuur in public cloudomgevingen zetten. Het doembeeld dat zij ‘data ergens in Amerika neerzetten bij Google of Microsoft’, zonder écht te weten waar deze precies staat en wie erbij kan, geeft veel CIO's en CISO's een ongemakkelijk gevoel.

Het voelt dan toch veiliger om zo in de auto te stappen en langs het datacenter van de ict-leverancier te kunnen rijden. Daar zie je bij wijze van spreken de bits en bytes van de fysieke servers over de netwerkkabels stromen. Dat geeft een gevoel van grip. Maar hoe mooi dit beeld ook is, is het zinnig? En is het doembeeld van ongrijpbare data ver weg wel terecht?

 Kijktip: bekijk nu de on-demand webinar over de cloud

Naar controle en grip met cloud governance

Je kunt je data zeker veilig neerzetten binnen de public cloud. En deze overgang biedt je daarnaast veel voordelen. Wel is het noodzakelijk om hierbij actief zicht te houden op de data, de veiligheid ervan te borgen en processen goed op elkaar te laten aansluiten. Alleen zo houd je grip op je ict-omgeving, nadat je deze deels of geheel hebt verplaatst naar een public cloudomgeving.

De basis is het goed inrichten van je cloud governance. Maar hoe verandert je governance als je het ict-landschap (deels) naar de public cloud brengt? En wat levert dit je op? Je leest het in het stappenplan hieronder.

Een sterke cloud governance in 5 stappen

Hieronder lees je met welke stappen je cloud governance goed aanpakt bij een cloudtransitie.

Stap 1: Zorg voor een heldere businesscase
Stap 2: Houd rekening met de juiste eisen
Stap 3: Sluit je processen aan op de nieuwe techniek
Stap 4: Richt de cloud governance in
Stap 5: Zet een heldere cloudarchitectuur op

 Stap 1: Zorg voor een heldere businesscase

Bepaal eerst op boardniveau of een overstap op de cloud noodzakelijk is. Wat is precies het doel van de transitie?

Stel duidelijk vast wat je wilt bereiken: wat is de businesscase? Zo bepaal je of de overstap naar de cloud een goede keuze is. Stel de businesscase niet alleen kwantitatief op, maar ook kwalitatief. Wat zijn je gewenste ‘business benefits’? Leg de focus bijvoorbeeld op een snellere time-to-market, een verhoogde wendbaarheid (agility), hogere efficiëntie of het verbeteren van het innovatief vermogen.

Voorbeeld van een businesscase bij cloudtransitie

Stel dat je een Nederlandse supermarktketen runt. Om je heen zie je grote, cloud native partijen als Amazon oprukken. Daar rekenen klanten automatisch af via gezichtherkennende camera’s, die zijn gekoppeld aan de klantendata. Dat levert gemak op voor de klant. Daarnaast kan zo’n partij afgestemd op specifieke klanten realtime prijzen aanpassen, omdat ze op basis van data beter weten wat de klant wanneer zou willen kopen. Zo zitten zij vanuit de cloud dichter op de klant, waarmee ze hun concurrentievoordeel vergroten.

Wat staat je nu als traditionele supermarktketen te doen? Als je hierin mee wilt is het noodzakelijk om ook meer data te verzamelen en deze slim aan elkaar te kunnen koppelen. De techniek en rekenkracht die je hiervoor nodig hebt is bij uitstek iets wat je als public clouddienst afneemt. Daar kun je dit namelijk als pay-per-use-model afnemen, zonder eerst enorme investeringen te hoeven doen.

Zo bied je klanten een betere, op maat gemaakte winkelbeleving en zijn je processen effectiever. Hiermee ben je beter opgewassen tegen de groeiende concurrentie en haal je optimale waarde uit je bedrijf. Je businesscase is in dit geval gebaseerd op het behalen van hogere verkoopcijfers en grotere klanttevredenheid via inzet van moderne cloudtechnieken.

Stap 2: Houd rekening met de juiste eisen

Verzamel vooraf de interne en externe eisen van controlerende instanties waar jouw onderneming zich aan moet houden bij de transitie. Denk aan:

• Wet- en regelgeving, bijvoorbeeld de AVG over het gebruik van persoonsgegevens;
  
  
• Regels en eisen vanuit toezichthouders zoals AFM en DNB; bijvoorbeeld over het plaatsen van financiële gegevens buiten Nederland en het toezicht daarop;
  
  
• Lopende afspraken en werkwijzen in je branche, bijvoorbeeld over het realtime aanpassen van prijzen of het inzetten van bepaalde leveranciers.

Je ziet het, in deze drie voorbeelden zijn er al talloze potentiële showstoppers voor de inzet van nieuwe technieken binnen de cloud. Dit zijn dus zaken die je vooraf goed uitgezocht wilt hebben voordat je de werkelijke stap maakt.

Stap 3: Sluit je processen aan op de nieuwe techniek

Tijdens de transitie ga je bestaande processen aanvullen en aansluiten op nieuwe technologie. Deze fase is heel belangrijk. Ten eerste voor het succes van de transitie en daarnaast voor het (latere) behoud van controle over je ict-omgeving.

Als vertrekpunt kies je de governance- en managementprocessen die je al had en deze pas je aan. Hiermee laat je ze goed aansluiten op de nieuwe technieken en mogelijkheden voor controle die je hebt in de cloud. Dit vraagt om een goede voorbereiding. En de impact van deze stap is natuurlijk afhankelijk van de initiële volwassenheid van je processen. Het verplaatsen van systemen naar een public cloud zorgt namelijk niet opeens voor het ontstaan van goede governance…

Begin dus met het in kaart brengen van je huidige stuurmechanisme. Het is belangrijk dat je dit voorafgaand aan de werkelijke transitie doet. Zo weet je later precies waar nog aanpassingen nodig zijn.

Een upgrade van je processen in de cloud

Public clouddiensten bieden handige en uitgebreide middelen om je processen effectiever te maken. We zien vaak dat nieuwe handige features als eerste beschikbaar komen voor de SaaS-variant van systemen. Dit geldt zeker voor leveranciers van systemen die zowel als SaaS- en als niet-SaaS-dienst beschikbaar zijn. In sommige gevallen komen de nieuwe features dan helemaal niet beschikbaar voor de on-premises-variant.

Andere manieren waarop de public cloud een upgrade betekent voor je processen:

• Binnen de public cloud koppel je verschillende SaaS-gebaseerde databronnen en systemen vaak makkelijk met elkaar, omdat deze vanaf het begin al via API’s zijn gemaakt om data uit te wisselen. 
  
  
• Er is in de cloud meer voor handen aan stuur- en controlemechanismen. In Azure gebruik je bijvoorbeeld speciale tools om handig sturingsinformatie uit het systeem te halen. Je moet alleen wel zorgen dat je ERP en de nieuwe tools in de cloud goed met elkaar zijn gekoppeld. Daarom is deze stap in het proces zo belangrijk.

Wil je weten hoe je een optimaal databeleid inricht in de cloud? Je lees het in deze blogpost over data governance.

Stap 4: Richt de cloud governance in

Tijdens en na de transitie is het belangrijk om de cloudomgeving te reguleren met beleid en richtlijnen: de cloud governance. Hiermee bepaal je hoe jouw organisatie de omgeving gebruikt en beheert. Zo zorg je in de eerste plaats voor kostenbeheer en een sterke beveiliging van je data. Daarnaast bereik je met een duidelijk beleid je businesscase het meest effectief! En het maakt dat je overtuigend naar toezichthouders rapporteert hoe je grip houdt op je omgeving.

Het goed inrichting van cloud governance komt neer op het inrichten van een passend besturingsmodel. Vanuit dit besturingsmodel houd je op boardniveau de volgende vragen doorlopend in de gaten:

• Bereiken we de gestelde organisatiedoelstellingen met de cloudomgeving?
  • Doen we het juiste?
    • Wat proberen we te bereiken?
    • Waarmee moeten we rekening houden?
      
      
• Waar moeten we bijsturen om verder te verbeteren?
  • Doen we het op een juiste manier?
    • Bereiken we onze doelen?
    • Waar moeten we bijsturen om te kunnen verbeteren of versnellen?

Wordt je governanceproces daarmee heel anders dan het was vóór de cloudtransitie? Nee, het principe blijft hetzelfde. Maar op elk van de drie aspecten van de drie-eenheid ‘people, process, technology’ - waarop een verandering impact kan hebben - vinden er aanpassingen plaats:

• De processen blijven bij een cloudtransitie grotendeels hetzelfde, maar worden aangepast waar nodig (geüpgraded).
  
  
• De factor ‘people’ blijft ook grotendeels hetzelfde, want medewerkers had je al. Je gaat echter wel kijken naar de competenties van die medewerkers; hebben ze genoeg kennis en vaardigheden om public cloud diensten te beheren?
  
  
• De factor ‘technology’ wordt uiteraard ook net iets anders, omdat je in de cloud andere tools hebt om aan managementinformatie te komen.

Mijn tip is om binnen je governance op deze brede manier te blijven kijken naar de veranderingen.

Het COBIT-framework voor IT governance

Ik raad aan je om eens naar het COBIT-framework te kijken. Dit sturingsmodel is heel geschikt als je cloud governance wilt inrichten. Het COBIT-framework maakt namelijk continue kwaliteitsverbetering en sturing mogelijk op een heldere en effectieve manier. Verder is dit model abstract genoeg om ook toepasbaar te zijn op een native of hybrid cloudomgeving.

Hieronder zie je een afbeelding uit het COBIT-framework, waarop de verschillende taken en verantwoordelijken van board en management zijn afgebeeld.

Het COBIT5 process reference-model

Het COBIT-framework maakt een duidelijke scheiding tussen de bestuurslaag (‘Governance’) en de managementlaag (‘Management’). De governance vindt plaats in de bestuurslaag: hier vertaalt de board bedrijfsdoelen naar opdrachten, die zij meegeven aan de managers (‘Direct’).

 Het management voert deze opdrachten uit (‘Plan’, ‘Build’, ‘Run’, ‘Monitor’). Daarnaast legt het management verantwoording af aan de governancelaag. Dit doet zij in de vorm van prestatie- en stuurinformatie. Op basis van deze feedback evalueert de bestuurslaag de processen en stuurt waar nodig bij. Vanuit daar volgt weer een nieuwe ‘governance cycle’.

Wat dit oplevert? Een proces waarin je structureel de keuzes en uitgangspunten uit stap 1, 2 en 3 monitort en bijstuurt. Zo weet je zeker dat de cloudtransitie ook echt de waarde oplevert die vooraf geprojecteerd was, en blijf je in control. 

Stap 5: Zet een heldere cloudarchitectuur op

Het opzetten van een cloudarchitectuur is onderdeel van het inrichten van de cloud governance. Deze architectuur vormt een soort grondplaat voor de nieuwe cloudomgeving. Hierbij maak je - gebaseerd op de uitkomsten uit de voorgaande stappen - keuzes op het gebied van:

• leveranciers;
• bouw en beheer;
• security en performance-vereisten;
• datalocatie;
• financiële- en juridische vereisten.

Met de uitwerking van deze keuzes vorm je zogenaamde ‘cloud landing zones’. Dit proces kun je zien als het inrichten van de eerste stukken ‘grond’ voor je ict-omgeving in de cloud. Het is bijna als het omploegen en geschikt maken van een akker, om daarop later je producten goed te kunnen zaaien (installeren), verzorgen (beheren) en tenslotte oogsten (het profiteren van de waarde van je data en ict).

Zo stel je een architectuur op van het toekomstige ict-landschap in de cloud. Hierin zijn de uitgangspunten en principes gedefinieerd waar de daadwerkelijke inrichting aan moet voldoen. Met deze cloudarchitectuur faciliteer je de eerste migratiestappen. Bijkomend voordeel is dat je een omgeving met een goede architectuur op een later moment makkelijker omzet van IaaS- naar PaaS- en SaaS-diensten. Zo kun je de eerste migratiestappen snel starten, en heb je vrij spel wanneer je klaar bent voor meer cloud-native oplossingen binnen je bedrijfsprocessen.

Wil je weten hoe PaaS-diensten je helpen richting de ideale werkplek? Lees dan deze blog.

En hier lees je wat ook alweer het verschil is tussen IaaS, PaaS en SaaS.

Profiteer van de winst van cloud governance!

Met cloud governance richt je de besturing van je cloudomgeving aan de businesskant sterk in. Bijvoorbeeld door inzichtelijk te maken waar je data precies staat en hoe je hiermee omgaat. Zo geeft cloud governance je in de eerste plaats grip en controle. Daarnaast helpt het toegenomen inzicht in je cloud based data om andere bedrijfsdoelen te halen, zoals verhoogde efficiëntie en kostenbesparingen.

Het hebben van de techniek die leidt tot meer grip en inzicht is bij een cloudtransitie een begin. Maar het processtuk daarachter is nog belangrijker. En dat richt je zelf - of samen met je ict-dienstverlener - in. Hiermee leid je de transitie, het gebruik en beheer van een cloudomgeving in goede banen. Zo profiteer je met cloud governance optimaal van de transitie!

Meer weten over cloud governance en het optimaliseren van je ict-landschap? Bekijk dan deze on-demand webinar.