Regie op de cloud: Zorg voor een goede Cloud Governance

De afgelopen 10 jaar zijn organisaties de cloud voor steeds meer diensten en functionaliteiten gaan gebruiken. In het jaarlijkse onderzoek dat Eraneos in samenwerking met Whitelane Research uitvoert, gaven in 2022 ruim 125 van de in totaal 200 respondenten (van middelgrote en grote organisaties) aan dat zo’n 30 procent van hun applicaties inmiddels in de cloud draaide. Gebruik van de cloud zorgt voor een grotere tevredenheid dan de traditionele vormen van outsourcing, zo laat hetzelfde onderzoek zien. Steeds meer organisaties voeren een cloud-tenzij beleid. Het is dan ook te verwachten dat in 2030 het merendeel van IT in de cloud draait. Om erachter te komen of jouw organisatie ‘cloud-ready’ is en klaar is om ook deze beweging te maken, is het goed om allereerst aandacht te hebben voor de inrichting van een goede cloud governance.

Waarom is Cloud Governance belangrijk?

Om optimaal gebruik te kunnen maken van de voordelen van de cloud, is het zaak om een goed beeld te hebben van wat de cloud aan mogelijkheden te bieden heeft. Denk hierbij aan het flexibel kunnen op- en afschalen van functionaliteiten, het betalen op basis van daadwerkelijk verbruik en de mogelijkheden om je innovatiesnelheid en manier van agile werken te versnellen. Maar misschien nog wel belangrijker is het om vast te stellen hoe je als organisatie op een goede manier het gebruik van de cloud bestuurt. In andere woorden: hoe je inzicht, toezicht en overzicht krijgt op het cloudgebruik in je organisatie zodat je maximaal profiteert van de voordelen die de cloud te bieden heeft en risico’s beperkt. Dit wordt meestal cloud governance of regie op de cloud genoemd.
 
Het doel van cloud governance is om de IT-dienstverlening die van cloudtechnologie gebruik maakt op de juiste manier in te richten. Dus met de juiste functionaliteiten, die tijdig beschikbaar zijn, veilig en compliant zijn en in overeenstemming met bestaande afspraken en tegen een te rechtvaardigen kostprijs. In die zin verschilt de regievoering voor een organisatie die de cloud voor haar dienstverlening inzet niet van ‘reguliere’ regievoering. De doelen en manieren om daar te komen zijn ook hetzelfde. De focus van cloud governance ligt ook op de dienstverlening, mensen met elkaar laten samenwerken op basis van heldere werkafspraken, het kennen van het aanbod van de leveranciers en zowel de aanbod- als de vraagkant goed beheersen.
 
Toch heeft de cloud een aantal specifieke kenmerken die het nodig maken om de regievoering in de praktijk anders in te richten. Denk hierbij aan de mogelijkheden om flexibel op-en-af te schalen en te betalen voor het gebruik, continu toegang tot nieuwe functionaliteiten uit de cloud te hebben, het ‘as-a-Service’ leveringsmodel en gebruik te maken van ‘security by design’. Waar organisaties in het verleden veelal de IT bij één partij onderbrachten, wordt er nu vaker gekozen voor meer leveranciers, die ook nog verschillende soorten dienstenmodellen leveren (IaaS, PaaS en SaaS).  Zo zorgt de inzet van cloud niet alleen voor technische integratievraagstukken, maar maakt het de regie ook complexer om verschillende leveranciers aan te sturen.

Wat zijn de risico’s als je Cloud Governance niet goed op orde is?

Het werken met de cloud zorgt niet alleen voor nieuwe technologische mogelijkheden, maar vergt van gebruikers ook andere kennis en vaardigheden. Wanneer een organisatie hier niet goed op is voorbereid, brengt dit verschillende risico’s met zich mee. We zetten hieronder een aantal voorbeelden op een rij:
 
Overzetten infrastructuur zonder duidelijke strategie
Het komt geregeld voor dat organisaties delen van of zelfs hun gehele IT-infrastructuur overzetten naar de cloud, zonder van tevoren goed na te denken over welke specifieke functionaliteiten van de cloud echt nodig zijn om de organisatie vooruit te helpen. Het nabouwen van de ‘oude wereld’ in de nieuwe cloudwereld resulteert niet alleen in hogere kosten, maar de toegevoegde waarde van de cloud is op deze manier ook nog eens minimaal. Beter is het om kritisch naar het huidige applicatielandschap te kijken en over de as van applicatiemodernisering en -rationalisatie een target cloud-architectuur te ontwerpen. Hierbij moet de functionaliteit van de applicaties en de data centraal staan met optimale ondersteuning van de landingzones in de cloud op het gebied beschikbaarheid, veiligheid, schaalbaarheid en performance. Door het gebruik van landingzones worden standaarden afgedwongen over het gebruik van applicaties en data in de cloud. 
 
Wildgroei aan applicaties en cloudgebruik door gebrek aan controle
Wanneer je vanuit de regievoering geen goede controle hebt op de manier waarop cloudfunctionaliteiten in je organisatie, bijvoorbeeld door de business zelf worden uitgerold, kan er wildgroei ontstaan. Denk aan een marketingafdeling die een Salesforce-applicatie aankoopt, zonder dat de IT-afdeling hiervan op de hoogte is. Dit heeft niet alleen mogelijke implicaties voor het functioneren van de gehele IT-infrastructuur, maar ook op de kosten en de compliance en security van het bedrijf. Om deze wildgroei te voorkomen is het vanuit regieperspectief belangrijk om de business een catalogus van diensten aan te bieden met ‘business ready’ cloudapplicaties, cloudplatformdiensten en in uitzondering infrastructuur bouwblokken. Deze laatste categorie moet namelijk allen worden gebruikt voor die unieke applicaties die niet op de eerste twee categorieën kunnen landen.  
 
De inzet van cloud zonder een afweging van de financiële en kwalitatieve business case
Het is goed om te beseffen dat overstappen naar de cloud niet per definitie voor lagere kosten zorgt. Er zal altijd sprake moeten zijn van het afwegen van zowel de financiële als de kwalitatieve business case. Daarbij is het de kunst om nieuwe functionaliteiten die de cloud biedt tijdig te omarmen en door continue innovaties in lijn te blijven met de ontwikkelingen in de markt en de concurrentiepositie te verbeteren. Zo komen de cloudleveranciers continu met nieuwe functionaliteiten die je kunnen helpen om de kosten te optimaliseren of de concurrentiepositie te verbeteren. Denk bijvoorbeeld aan autoscaling: het automatisch afschalen wanneer de vraag afneemt of het combineren van reserved en ‘pay-per-use’ instances of nieuwe toepassingen op het gebied van Data Analytics en AI om het sales proces te analyseren en optimaliseren. Dit betekent dat regievoering op de hoogte moet zijn van de ontwikkeling van de clouddiensten om de cloudconsumptie kosten te kunnen besturen. Dit wordt vaak met FinOps aangeduid.
 
Niet optimaal faciliteren van agile werken door de ontwikkelteams
Wanneer je als organisatie zelf applicaties ontwikkelt met eigen ontwikkelteams en zij de stap willen maken naar Agile en DevOps werken, horen daar onderliggende platform- en infrastructuurdiensten bij, die deze manier van werken ondersteunen. Hiervoor is een stap naar de cloud gewenst, met alle tools en middelen om applicaties in een continu proces verder door te ontwikkelen en aan de klant beschikbaar te stellen. De regieorganisatie dient in gesprek te zijn met de DevOps-teams, de wensen en eisen ten aanzien van de functionaliteit om software te ontwikkelen en beheren te kennen en te zorgen voor een pallet aan gebruiksklare en direct beschikbare platformdiensten.  Omgekeerd moeten de teams de grenzen kennen waar zij bijvoorbeeld op het gebied van finance, compliance en security aan moeten voldoen.
 
Onvoldoende focus op de integratie met andere applicaties in de IT-architectuur
Door het vervangen van traditionele applicaties door SaaS-applicaties uit de cloud wordt integratie veelal minder overzichtelijk en complexer. Het is belangrijk om goed na te denken hoe je de integratie met andere applicaties en met name de datakoppelingen binnen je IT-architectuur gaat realiseren. Belangrijk hierbij is het dat je als regieorganisatie in staat moet zijn om zelf de koppelvlakken goed te kennen, zodat je weet waar de dienstverlening van één leverancier ophoudt en wat je vervolgens zelf nog moet organiseren om volledige end-to-end diensten aan je klanten te kunnen leveren. Om in control te blijven moet bovendien het regiedashboard veelal uitgebreid worden met ketenmonitoring en application performance monitoring (APM).
 
Niet aantoonbaar in control zijn op het gebied van veiligheid en compliance 
Door de inzet van cloud worden applicaties en data verplaatst naar een cloudomgeving van bijvoorbeeld een SaaS-leverancier. Waar in de oude situatie duidelijk was dat de data in het eigen datacenter stond en daar veilig was, is bij de inzet van cloud in sommige gevallen niet eens duidelijk waar de data staat, wie daar eigenaar van is en waar de applicaties draaien. Voor veel organisatie voelt dit in eerste instantie minder veilig en dat is ook zo wanneer daar geen bewuste keuzes aan ten grondslag liggen. Dit vraagstuk moet daarom prominent op de agenda van de (regie)organisatie staan. Om maximaal te profiteren van de enorme investeringen, die de cloudleveranciers doen op het gebied van cybersecurity, dient informatiebeveiliging een integraal onderdeel te zijn van de cloudstrategie en de beoogde targetarchitectuur. Het securitybeleid wordt bepaald door de regie en opgenomen in de security- en architectuurprincipes om tot een veilige en compliant cloudomgeving te komen.

Met de regie, grip op de cloud krijgen

Om de hierboven beschreven risico’s te beheersen en grip te krijgen op cloud, richten veel organisaties een Cloud Competence Center(CCC) of Cloud Center of Excellence(CCoE) in. Het idee hierachter is om alle kennis en vaardigheden te bundelen, die nodig zijn om als organisatie de stap naar de cloud te maken en daar optimaal gebruik te maken van de voordelen. Binnen een al bestaande regieorganisatie kan het CCoE ook bestaan uit een aantal specifieke rollen, processen en verantwoordelijkheden en hoeft dit niet een specifiek team of een heuse afdeling te zijn. Binnen het ‘center’ is men dan op de hoogte van de mogelijkheden van de cloud, relevante ontwikkelingen in de markt en in staat om behoeften vanuit de business te vertalen naar cloudoplossingen. De belangrijkste taken zijn het borgen van de cloudstrategie, stimuleren van cloudadoptie, bewaken van de IT-architectuur, beheerplatform(s) en geautomatiseerde beheeractiviteiten en toezicht houden op kosten, informatiebeveiliging en compliance.