Cloud computing: opmars of ondergang van bedrijven

Toch is er ondanks die bedrijfskundige noodzaak een belangrijk knelpunt. Het IT-vakgebied dat de nieuwe cloudgebaseerde IT- en businessmodellen mogelijk moet maken, is ooit begonnen als een efficiencyhulpmiddel. Binnen het tijdsbestek van een gemiddelde loopbaan heeft het zich razendsnel ontwikkeld tot een elementair bedrijfsmiddel. De ontwikkeling van de hierbij behorende professionele expertise heeft hier begrijpelijkerwijs geen gelijke tred mee gehouden. Dit verklaart meteen waarom zoveel IT-projecten falen. Een van de grootste risico’s voor ceo’s is de veiligheid en betrouwbaarheid van de technologie. Van alle uitdagingen die een IT-project heeft, is de security een van de belangrijkste aandachtpunten en als je iets niet kunt ‘outsourcen’, dan is het risk. Hoe een organisatie de cloud adopteert en de security inregelt – een lek, het ontvreemden van gegevens of schenden van privacy – zal aan het eind van de dag altijd een negatieve invloed hebben op het bedrijf zelf. Ook hackers en criminele organisaties zoeken hun weg op de cloud en maken gebruik van nieuwe technieken, waardoor een proactieve security benadering onontkoombaar is.

Dat ceo’s, ministers en directieleden zich dagelijks publiekelijk moeten verantwoorden voor hun uitgaven en resultaten is bekend. Veelal worstelen zij met lagere budgetten en de druk om juist meer resultaat te boeken. Technologie en cloudgebaseerde services kunnen weleens de enig mogelijke oplossing blijken te zijn voor deze uitdaging. Echter, diezelfde ceo staat nu steeds vaker in de spotlight om zich te verantwoorden voor mogelijke risico’s waaraan klanten, burgers of bedrijven hebben blootgestaan. Vaak betreft het projecten en diensten die gebruikmaken van de mogelijkheden van internet.

EXTERNE BRONNEN
Waarom gaat dit mis? tot voor kort waren de meeste computersystemen ingericht om binnen de grenzen van de eigen onderneming te functioneren. Slechts voor bepaalde bijzondere toepassingen werd er aangesloten op externe bronnen. Het securitybeleid dat zich in die tijd gevormd heeft zou men het beste kunnen karakteriseren als ‘defend the castle’. Alle inspanningen waren erop gericht de buitenwereld te confronteren met zoveel mogelijk hinderpalen om op die manier de systeemintegriteit te waarborgen. In een wereld waarin technologie evolueert naar publieke, cloudgebaseerde computing is dit concept onhoudbaar. Lag vroeger de focus op het eigen computersysteem, eventueel aangevuld met een stukje buitenwereld, in de wereld van cloud computing is het precies andersom. Daar ligt de focus op de buitenwereld, het eigen systeem is hierop slechts een aanvulling. En dat die buitenwereld niet iedereen even gunstig gezind is, behoeft nauwelijks toelichting. Het groeiend aantal meldingen van cybercrime en voorbeelden van bedrijven en overheden die voortdurend onder druk staan van hackers en internetcriminelen, zegt genoeg.

Cloud computing is zo snel populair geworden omdat het concept van betalen naar gebruik zonder al teveel gedoe goed aansluit bij de zakelijke grondbeginselen van organisaties. En daar ligt tevens de nieuwe uitdaging voor de securityprofessional. Enerzijds is zijn huidige autoriteit binnen de onderneming onvoldoende om de drang naar het inkopen van externe services tegen te houden. Anderzijds, als hij kans ziet zich te herpositioneren van een kan-niet/mag-niet-zegger naar een business enabler, dan zal hierdoor zijn status in de organisatie aanzienlijk toenemen. Maar andersom geldt dit ook. Een organisatie die zich ondersteund weet door een zakelijk georiënteerd securitybeleid, zal in staat blijken veel meer te profiteren van de aantrekkelijke kanten van cloud computing.

AANDACHTSGEBIEDEN
Wat zijn nu precies de belangrijkste nieuwe aandachtsgebieden van modern security beleid? Allereerst is dat het ontwikkelen van modellen waarbij de diverse alternatieven, zoals de public cloud, uitgedrukt worden in een risicoprofiel waarin ook de financiële risico’s en de relatie met de ondernemingsstrategie worden meegenomen. Vervolgens dient er deskundigheid ontwikkeld te worden om de servicecontracten met de leveranciers te kunnen evalueren, met aandacht voor details op het gebied van beveiliging, wet- en regelgeving, beschikbaarheid en continuïteit. Dat betekent dat het voor de ontwikkeling van een nieuw marktsegement nodig kan zijn ‘publieke clouds’ te gebruiken ter ondersteuning. Als dat leidt tot risico’s die deze ontwikkeling overstijgen, is de keuze voor een hybride model – IT deels in eigen huis, deels in de cloud – verstandiger. Uiteindelijk kan men via deze securitybenadering proactief komen tot een geraffineerde set van maatregelen die het mogelijk maakt tekortkomingen van een bepaald leveringsmodel te compenseren. Dit concept, waarbij de gegevens uit applicaties nog steeds aan de applicaties zijn gelinkt, vormt de opmaat naar een volgende fase waarin we data gaan loskoppelen van de applicatie zelf. Uiteraard gelden hier ook weer aandachtspunten en risico’s.

Op de tweede plaats dient een dergelijk gemoderniseerd IT-securitybeleid uiteraard ondersteund te  worden door een aantal corresponderende technische maatregelen. Hier geldt als eerste stap dat men zorg moet dragen voor een trusted infrastructure. Dit is een IT-infrastructuur waarbinnen alle componenten – hardware, software, (externe) services en data – gevalideerd zijn op een wijze die het mogelijk maakt daarover verantwoording en rekenschap af te leggen. Daarnaast dient er een proactief security managementsysteem actief te zijn. Proactief wil in dit verband zeggen dat het systeem erop voorbereid is dat er op elk moment een vijandige aanval kan plaatsvinden en waarbij de te nemen maatregelen geautomatiseerd uitgevoerd worden op basis van voorgeprogrammeerde materiedeskundigheid. Verder dient er een integraal identity managementsysteem actief te zijn om toegangsrechten te harmoniseren.

Als derde punt is het centraal stellen van een geïntegreerde aanpak van belang. De grootste en meest gemaakte fout is dat bedrijven al dan niet onbewust onbekwaam kiezen voor losse producten en deze silo’s vervolgens aan elkaar knopen. Ontbreekt de integrale aanpak, dan is elke moderne ‘cloud’- of ‘hybrid’-infrastructuur, en daarmee het project dat er op draait, gedoemd te mislukken. Daarbij gaan veranderingen verder dan de infrastructuur alleen. Denk aan organisatie- en cultuurverandering, de rol  van IT binnen de organisatie als geheel, de juiste governancemodellen en uiteraard een geïntegreerd management rapportagesysteem. Oftewel, het wordt tijd om IT als bedrijfsmiddel te benaderen, zoals dat ook met verkoop of finance gaat.

OPMARS OF ONDERGANG
Samenvattend: cloud computing is in de IT een paradigmashift waarvan de gevolgen groter zullen zijn dan we tot nu toe meemaakten. Dit komt omdat dit keer de nieuwe IT-vraagstukken op het bedrijfskundige vlak liggen, en niet langer op dat van de techniek. Het IT-vakgebied is hiervoor nog niet klaar, zodat de komende jaren voor een aantal expertisegebieden een nieuwe, veel zakelijkere, invulling ontwikkeld dient te worden. Een van die expertisegebieden is het securitybeleid, waarbij het managen van bewust genomen risico’s veel belangrijker wordt dan het dichttimmeren van systemen. De ceo die in staat is hier het juiste bedrijfskundige en securityprofiel aan te geven, kan samen met de IT’er die zijn bedrijfskundige kennis en knowhow op het gebied van security ontwikkelt, richting geven aan een moderne, succesvolle en leidende organisatie. De scheidslijn tussen opmars en ondergang is zoals altijd flinterdun. Het goede nieuws is dat de manager die cloud en security met open vizier, de juiste gesprekken én het juiste overzicht tegemoet treedt, zijn succes of falen zelf in de hand heeft.

Dick van Gaalen is Business Technology Consultant bij HP Nederland.

Lees ook:
> Cloud computing staat in kinderschoenen
> Interview HP-directeur Bart Hogendoorn
> Consumerization of IT