Organisaties verhuizen steeds meer naar de cloud en de aanbieders van clouddiensten worden steeds volwassener. Deze prachtige technologie lost vele digitale vraagstukken op en biedt nieuwe kansen, maar het is wel belangrijk de cloud als middel te zien. Een middel waarvan de verantwoordelijkheid altijd bij de organisaties blijft die deze diensten afnemen.
Organisaties die de stap maken naar de cloud doorlopen drie fases. De gemene deler voor elke fase is de focus op efficiënt gebruik, security en compliance. Tegelijkertijd kent elke fase een aantal specifieke aandachtspunten.
Sluit de offerte van de leverancier wel aan op onze behoefte? Om wat voor type cloud gaat het? Hoe zorgen we ervoor dat we de controls nu al meenemen? In aanloop naar de cloud zijn dat voor organisaties belangrijke vragen om te beantwoorden. Met daarbij de aantekening dat cloudleveranciers en implementatiepartners zich over het algemeen puur richten op het functionele en operationele deel van cloudprocessen én op de verwerking in de cloud. Ze schenken doorgaans minder aandacht aan een voor hun klanten belangrijk thema: compliance.
De grote valkuil bij het inrichten van de cloud is het zogeheten ‘lift and shift’-gedrag, terwijl de inrichting vraagt om ten minste een gedeeltelijk herontwerp van het proces en de technologie die naar de cloud verhuizen. Anders benut je óf de (belofte van de) cloud niet, of je houdt dezelfde problemen óf je creëert zelfs grotere problemen dan eerst bestonden. Het is zaak een heldere analyse te maken en de business requirements vast te stellen; wat heb je nu en wat wil je bereiken? Volgende stap is een risk assessment, aan de hand van vragen als: mogen we dit vanuit wet- en regelgeving of intern beleid wel doen? Welk risico lopen we als we XYZ naar de cloud brengen? Welke maatregelen moeten we treffen om betrouwbaarheid, integriteit en vertrouwelijkheid risico’s te adresseren?
Eenmaal in de cloud liggen de prioriteiten bij het operationeel beheer en bij het behouden van overzicht. Het is niet alleen zaak de juiste controls te selecteren en aandacht te schenken aan security monitoring, maar ook om deze continu effectief te houden. Er moet altijd iemand ook operationeel verantwoordelijk zijn voor de uitvoer; hoe is dat geregeld? Werken in de cloud vraagt immers om andere capaciteiten dan ‘on premise’. De vraag voor organisaties die in de cloud werken, is nu ook: wat moeten we zelf allemaal nog organiseren en regelen? En: hoe houden we grip op alle draaiende processen? In dat kader is de toegang van gebruikers een belangrijk aandachtspunt. Een groot risico is bijvoorbeeld dat de overgang naar de cloud zonder de juiste maatregelen leidt tot een verhoogde toegang voor alle gebruikers binnen de omgeving. Er is specifieke expertise voor nodig om die toegang goed in te stellen en te beperken tot de werkelijk geautoriseerde personen.
Een onderschat thema bij cloud is compliance en verantwoording. In de praktijk wordt bij controles veel gewezen naar de cloudleverancier, maar organisaties blijven verantwoordelijk voor de controleerbaarheid van hun gegevens. Dit betekent ook dat ze aan toezichthouders kunnen aantonen – met assurance- en certificeringsverklaringen – hoe de processen zijn ingericht, waar data vandaan komen en hoe ze overal grip op houden.
Belangrijke kanttekening daarbij is dat de cloud niet dé oplossing is voor alle problemen met IT en in het applicatielandschap. Niet alles is meteen geregeld. Net als bij IT-voorzieningen op locatie zijn niet alle functionaliteiten standaard aanwezig. Het is belangrijk om de verschillende cloudoplossingen/-diensten te combineren in de afgenomen dienst of licentie. Tegelijkertijd is het voor organisaties oppassen dat ze zich niet alle beschikbare functionaliteiten laten aanpraten die ze in de praktijk niet nodig hebben. Vaak gaat het ook om dure licenties, voor meerdere jaren afgesloten, dus het loont de moeite om scherp te zijn op alle kleine lettertjes. Met als doel veilig en efficiënt gebruik van de cloud.
Het is de kunst om de voordelen van de cloud zo goed mogelijk te benutten en tegelijkertijd voldoende controle uit te voeren, met als doel risico’s te beheersen; vanaf de inrichting tot het gebruik en de verantwoording. Vanuit die gedachte vraagt werken in de cloud om een specifieke, pragmatische en integrale aanpak. Niet alleen voor een breder perspectief op de technologische mogelijkheden van de cloud maar - misschien wel juist - ook op de operationele, veranderkundige en financiële consequenties van de te nemen maatregelen.
