kpn cloud - whitepaper
DESCRIPTION
Ziekenhuizen genereren veel data: klinische data, data over patiënten, data over apparatuur. Hoe zet u deze data om tot waarde voor uw bedrijfsvoering en zorgkwaliteit? Slim informatiegebruik is een keuze en geen toeval. Lees in deze whitepaper: • hoe data-analyse input geeft voor verbetering van uw patiëntlogistiek • hoe data kan worden gebruikt in medische besluitvormen (clinical intelligence) • welke storage en security uitdagingen u tegenkomt bij big dataTRANSCRIPT
Naar de cloud:minder risico’s door structurele inzet van clouddiensten
Whitepaper
2
Het belang van regie op clouddiensten 3
Definitie 4
Drie vraagstukken én antwoorden 5
En nu in de praktijk 9
Het resultaat: de regie in handen 11
Clouddiensten van KPN 12
Management summary 13
Inhoudsopgave
3
Nieuwe productietechnieken of distributiemogelijk
heden, innovatieve technologieën of ontluikende
markten – ze ontstaan in een steeds hoger tempo.
Willen bedrijven hier optimaal van profiteren, dan is
wendbaarheid van de organisatie een randvoorwaarde.
Snelheid van handelen en een korte timetomarket is
bepalend voor het succes van de organisatie. De cloud
biedt hiervoor een potentieel krachtig middel.
Bedrijven gebruiken clouddiensten nu nog vaak adhoc
en aarzelen over een bredere en structurele inzet. In deze
whitepaper beschrijven we hoe clouddiensten organisaties
kunnen versterken met een goed geregisseerde inzet
vanuit ICT aan de hand van drie grote thema’s compliance,
veiligheid en continuïteit.
Soms liggen ze voor het grijpen, de kansen voor een organisatie om het verschil te maken. Snel mee kunnen bewegen met de markt en nieuwe ontwikkelingen is daarbij essentieel. Clouddiensten bieden organisaties het gereedschap en het fundament om wendbaar, creatief en flexibel te zijn. De ICT-afdeling kán hierbij een cruciale rol spelen. Maar alleen als zij zorgen voor een fundament waarmee snel en eenvoudig de inzet van cloudinitiatieven gefaciliteerd kan worden.
Het belang van regieop clouddiensten
4
Over ‘de cloud’ bestaat nogal wat begripsverwarring.
Om deze verwarring te voorkomen hanteren wij, net
als veel andere instanties wereldwijd, de definitie van
het Amerikaanse National Institute of Standards and
Technology (NIST). Kort samengevat: ‘Cloud Computing
levert altijd beschikbare en makkelijke netwerktoegang
tot een gedeelde ICT omgeving, die met minimale
beheerinspanning snel geleverd of opgezegd kan worden.
Het is een measured service, doorgaans geleverd op basis
van gebruik of andere meetbare eenheid (per gebruiker
per maand of per VM per minuut bijvoorbeeld).
Het gaat dus niet alleen om het online beschikbaar
stellen van gegevens, maar om een vorm van ICT
dienstverlening. Daarbinnen zijn de oplossingen divers:
van opslag van gegevens tot toegang ertoe of het
delen ervan, van software en apps tot infrastructuur en
platforms. Er is een ‘public’ cloud en een private cloud
en zelfs een hybride vorm. Dat er zoveel mogelijkheden
zijn, laat al zien dat er niet één ‘cloud’ is. En dat bedrijven
op zoek kunnen gaan naar de cloudvorm(en) of
oplossing(en) die het best bij hen passen.
De werkvloer wil graag...Terwijl management en ICTspecialisten nog experimen
teren met cloudpilots, zijn eindgebruikers er al massaal
mee aan het werk. Privé zetten ze foto’s op Instagram,
bestanden op Dropbox, video’s op Vimeo of Youtube.
Van de ICT voorzieningen op het werk verwachten ze
dezelfde eenvoud in gebruik. Deze verwachting
wordt consumerization van zakelijke ICT genoemd.
Eindgebruikers hebben daardoor de neiging om privé
toepassingen zakelijk te gebruiken, denk aan het in
Dropbox zetten van klantinformatie om thuis te werken.
Met zakelijke clouddiensten kan de ICT afdeling eind
gebruikers in staat stellen ICT voorzieningen te gebruiken
zoals ze thuis gewend zijn, maar dan op een manier die
voldoet aan de eisen van het bedrijf. Zo behoudt ICT de
regie over de inzet van oplossingen.
...nu ICT en ‘de top’ nogHet massale privé gebruik van clouddiensten maakt het
des te opmerkelijker dat ICT afdelingen en organisaties
niet meer op de cloud overstappen. Want de druk
om dat wel te doen neemt snel toe – intern en extern.
Wat zijn nou de vraagstukken die ICT en management
nog tegenhouden?
‘De cloud’ betekent kort en bondig dat:• bedrijfsinformatie, infrastructuur, applicaties en/of systemen geoutsourced
worden, feitelijk ondergebracht worden in een datacenter van een cloudleverancier
• een organisatie niet meer betaalt voor aanschaf van hard- en software, maar alleen voor daadwerkelijk gebruik
Definitie
5
De vragen over veiligheid overheersen, laat onderzoek
van TNS NIPO zien. Van de organisaties die nog aarzelen
over de inzet van clouddiensten geeft bijvoorbeeld
51% aan dat onzekerheid over privacybescherming en
security de grootste belemmering vormt. De verkenning
van de drie grote vraagstukken starten we daarom bij
compliance en privacy. Daarna gaan we door naar
security en de organisatie daarvan. Vervolgens staan
we stil bij continuïteit en bedrijfszekerheid, om tenslotte
te eindigen bij het operationele deel: hoe kunnen
clouddiensten structureel ingezet worden.
Dat clouddiensten de komende jaren steeds vaker zullen worden ingezet, daar twijfelt bijna niemand aan. Waar bij grote organisaties vorig jaar nog gemiddeld 27% van het ICT-budget naar clouddiensten ging, groeit dat naar verwachting komend jaar al naar 34%. Maar welke clouddiensten dan precies ingezet worden, daar kunnen organisaties minder goed antwoord op geven. Van wet- en regelgeving tot de continuïteit van levering – er leven nog veel vragen en daardoor is er ook veel onzekerheid.
Drie vraagstukkenén antwoorden
Wel of niet in de cloud?
In principe kan het hele ICTlandschap over naar de
cloud. Dat betekent echter nog niet dat alle maatwerk
of ERPsystemen helemaal of meteen overgezet worden.
Sommige systemen kunnen nu eenmaal niet op basis van
gebruik afgenomen worden.Dat betekent echter niet dat
bedrijven niet kunnen profiteren van andere voordelen,
zoals centrale toegang of tijd en plaatsonafhankelijk
delen. De informatie uit bestaande maatwerksystemen
kan door cloudleveranciers met slimme koppelingen
namelijk wel benaderbaar gemaakt worden.
Direct naar de cloud:
• Salestools
• CRMsystemen
• Kantoorsoftware (officetoepassingen, messaging, email)
• Communicatiediensten
• Test en ontwikkelsystemen
• Infrastructuurdiensten
Niet direct naar de cloud*:
• ERPsystemen
• Maatwerksoftware
• en andere toepassingen die complex met andere
systemen verbonden zijn
* maar wel benaderbaar via clouddiensten
6
Compliant zijn – voldoen aan wet en regelgeving –
is een belangrijk vraagstuk bij de inzet van clouddiensten.
Organisaties vrezen dat clouddiensten onvoldoende
veilig zijn om hun gevoelige informatie aan toe te
vertrouwen. In de praktijk spelen naast de juridische ook
de meer ethische kwesties een rol: situaties die juridisch
gezien wellicht wel mogen, maar een ander risico
met zich meebrengen, zoals reputatieschade voor de
organisatie. Voor veel organisatie is het van belang om
niet alleen te voldoen aan wet en regelgeving, normen
en branchestandaarden, maar ook aan maatschappelijke
normen en waarden.
Een 100% garantie op veiligheid is nooit te bieden.
Volledige zekerheid geven kan niemand, ook bij
traditionele ICTsystemen in uw eigen datacenter niet.
Maar met de juiste aanpak kunnen organisaties wel
aantonen dat ze er alles aan hebben gedaan om cloud
gebruik zo veilig mogelijk te organiseren. Het wordt
steeds duidelijker dat centraal aangestuurde inzet
van de cloud net zo veilig en compliant georganiseerd
kan worden als een traditioneel eigen ICTsysteem of
datacenter. Sterker nog: door de inzet van specialisten
(hackersteams, bijvoorbeeld), de nieuwste apparatuur,
techniek en screening en continue scholing van
medewerkers voldoen de meeste clouddiensten zelfs
beter dan de huidige omgeving van veel organisaties.
AansprakelijkheidBelangrijk is dat het overbrengen van systemen en
gegevens naar de cloud en het afnemen van cloud
diensten een organisatie niet ontslaat van zijn
verantwoordelijkheid. Organisaties blijven dus altijd
‘Als we naar de cloud gaan, krijg ik dan niet allemaal
schadeclaims van klanten vanwege mogelijke privacy
schendingen?’
‘Kan de Amerikaanse overheid’ straks ongestoord mijn
concurrentiegevoelige informatie inzien, en wat doen
zij er dan mee?’
‘Wanneer wij klantgegevens in de cloud zetten, wie is
er dan verantwoordelijk en aansprakelijk voor?
Wij of de provider?’
1. Compliance en privacy
zelf nog aansprakelijk. In sommige gevallen is een CIO
zelfs hoofdelijk aansprakelijk mocht er iets mis gaan
met de bedrijfsinformatie. Daarom is het van belang
aan te kunnen tonen dat een organisatie er alles aan
heeft gedaan om te kiezen voor een zo veilig mogelijke
leverancier en bovenal: een zo veilig mogelijke oplossing.
Dat begint al bij het selecteren van de cloudleverancier,
waarbij de mogelijke aansprakelijkheid van de cloud
leverancier in contracten vaak zeer beperkt is.
ReputatieDoor te laten zien dat er maatregelen getroffen zijn
voor bescherming van gegevens, dat daarvoor een
gestructureerde aanpak en monitoring gehanteerd
wordt, én daar analyses op uitgevoerd worden, voorkomt
een organisatie reputatieschade – mocht het ondanks
alle voorzorgsmaatregelen toch misgaan. Ook biedt
monitoring de gelegenheid om bij eventuele schade
snel de oorzaak te kunnen aanwijzen en zo adequaat te
kunnen reageren. De organisatie kan zowel bij de
wetgever als aan het publiek aantonen dat ze er alles
aan gedaan hebben om de privacy van hun klanten,
medewerkers, patiënten of bewoners te beschermen.
Grootste zorg nu: privacyDoor de grote maatschappelijke belangstelling voor
privacythema’s, is dat ook voor organisaties een belang
rijk thema. Het belangrijkste compliance thema zelfs.
De EUrichtlijn over privacybescherming heeft daar
zeker mee te maken. Tot nu toe konden grote bedrijven
eventuele boetes vooraf incalculeren als een verliespost,
maar met de nieuwe EUrichtlijn is de boete straks %
van de wereldwijde bruto jaaromzet. De kosten voor
een risicoanalyse vallen daarbij in vergelijking voor de
meeste grotere organisaties in het niet. Een dergelijke
risico analyse moet gezien de nieuwe EUrichtlijn sowieso
op elk ICTsysteem – traditioneel of vanuit de cloud –
gebeuren. Dat zou dan ook het aangewezen moment
zijn om in kaart te brengen welke clouddiensten gepast
zijn binnen dit nieuwe kader.
7
Bij veel organisaties passen clouddiensten prima binnen
de eisen van hun securitybeleid. Sterker nog, vaak
voldoen clouddiensten beter aan securityeisen doordat
grotere cloudleveranciers dankzij hun schaalgrootte
meer kunnen investeren in security.
Bij een toenemend gebruik van clouddiensten neemt
ook het belang van aanvullende securitydiensten toe.
Denk aan met single signon in één keer centraal kunnen
inloggen op alle systemen of het op één centraal punt
aanmaken – en vooral: verwijderen – van gebruikers
accounts. Een belangrijke voorwaarde als organisaties
veilig clouddiensten willen inzetten en willen voorkomen
dat oudmedewerkers nog toegang hebben tot bedrijfs
informatie, omdat ergens een systeem vergeten is.
Waar is die cloud eigenlijk?
Veiligheid gaat zowel over de virtuele beschermings
muren als over de fysieke locatie. Want ook gegevens
en systemen in de cloud staan ergens opgeslagen.
Dat klinkt als een open deur, maar er zijn nog steeds veel
organisaties die zich er niet bewust van zijn dat achter
de meeste in Nederland gevestigde cloudleveranciers
grote buitenlandse providers zitten. Een goede cloud
leverancier moet kunnen aantonen wat de locatie is van
hun clouddiensten – geografisch én juridisch. En niet te
vergeten: de locatie waar support en beheer plaatsvindt.
De veiligheid en beveiliging van de gegevens en systemen
in de cloud betekent wel dat een nieuwe inrichting
van het ICTsecuritybeleid nodig is. Dat vraagt om een
investering, maar wel een investering die gezien de
‘Kunnen hackers niet heel makkelijk in onze systemen
inbreken wanneer ze eenmaal in de cloud staan?’
‘Houd ik nog wel de controle over onze security
wanneer we over gaan op de cloud?’
‘Moet ik rekening houden met een andere organisatie
van onze beveiliging als we vanuit de cloud gaat
werken?’
2.Veiligheid en beveiliging
aangescherpte privacyregelgeving voor veel bedrijven
toch al vaak noodzakelijk is. De risicoanalyse die vanuit
compliance overwegingen verstandig is, biedt ook een
praktische handreiking en een mooie voedingsbodem
voor een verdere ontwikkeling van een nieuw security
beleid. Door verschillende bedrijfsonderdelen, activiteiten
en gegevens te classificeren en te voorzien van een
risiconiveau, kan daar een securityniveau aan gekoppeld
worden.
Drie veiligheidsaspecten
Een goede cloudleverancier biedt duidelijkheid over
de volgende veiligheidsaspecten:
De fysieke beveiliging: een goede cloudleverancier
heeft meerdere datacenters die op voldoende afstand
van elkaar staan en dus altijd een uitwijk bieden, ook
bij bijvoorbeeld overstromingen. De panden zelf zullen
voldoen aan eisen waar een eigen datacenter van een
bedrijf minder snel aan zal kunnen voldoen – althans,
niet zonder enorme investeringen te doen.
De menselijke kant: wie heeft er toegang tot uw kritische
systemen en gegevens? Goede cloud leveranciers bieden
inzicht in wie er toegang hebben inclusief grondige
backgroundscreenings van alle beheer medewerkers,
gedocumenteerde processen en constante training.
De virtuele bescherming: Cloudleveranciers gebruiken
vaak voormalig hackers die continu de beveiliging testen
om hun beveiliging te optimaliseren. Ook hier geldt dat
continue investering in opleiding en kennisontwikkeling
zorgt voor een betere bescherming dan een individuele
organisatie zelf kan bieden.
8
De organisatie en inrichting van ICT is de laatste jaren
ingrijpend veranderd. Het wordt voor individuele
bedrijven steeds moeilijker om de voortrazende
ontwikkelingen bij te houden. Zelf investeren in eigen
hardware of software is ook niet meer van deze tijd.
Het uitbesteden van (een deel van) de ICTactiviteiten
wordt steeds normaler, de overgang naar integrale
clouddiensten een voor de handliggende oplossing.
‘De cloud’ is dus geen hype, maar een logische
verschijningsvorm van een nieuw ICTtijdperk.
Het is belangrijk om de keuze voor de juiste cloud
leverancier(s) serieus te nemen. De eerder geadviseerde
risicoanalyse – zie ook het onderdeel compliance – helpt
bij de selectie en de juiste keuze. Er zijn inmiddels zoveel
cloudleveranciers op de markt, dat het ook mogelijk is
om echt te kiezen. Clouddienstverlening is bovendien
volwassen genoeg om breed en vol vertrouwen ingezet
te worden.
Niet vergeten: de exitstrategieOm een vendor lockin te voorkomen is het belangrijk
om een heldere exitstrategie te ontwikkelen. Maar vooral
om deze tijdig met de geselecteerde cloudleverancier(s)
te bespreken, nog voordat de contracten getekend zijn.
Een goede exitstrategie moet er voor zorgen dat je als
organisatie altijd direct bij je data kunt, alle rechten hebt
en behoudt op die data en die data ook volledig moet
kunnen terughalen.
‘Hoe kan ik erop vertrouwen dat mijn cloudleverancier
er over 5 jaar nog is?’
‘Als mijn cloudleverancier failliet gaat, kan ik dan nog
wel bij mijn data?’
‘Is de cloud niet gewoon een hype die over 2 jaar is
overgewaaid? En wat dan, hoe kan ik dan nog werken?’
3. Continuïteit en bedrijfszekerheid
Risico’s van adhoc inzet clouddiensten
• Niet weten waar je data staat.
• Niet weten wie er toegang tot je data heeft.
• Betalen voor diensten die niet worden gebruikt.
• Data inconsistentie tussen systemen.
• Moeilijker samenwerken met afdelingen die andere
keuzes hebben gemaakt.
• Geen inzicht in de totale kosten van ICT.
• Geen inzicht in de risico’s die je loopt.
Waarop baseren organisaties de keuze
voor een cloudleverancier?
1. Betrouwbaarheid – 34%
. Kwaliteit van het product – 34%
3. Kwaliteit van de service – 9%
4. Betrouwbaarheid product – 8%
5. Flexibiliteit van het product – 3 %
(TNS NIPO, respondenten mochten meerdere opties aangeven.)
Waarop baseren organisaties de keuze voor een cloudleverancier?
1. Betrouwbaarheid – 34%
2. Kwaliteit van het product – 34%
3. Kwaliteit van de service – 29%
4. Betrouwbaarheid product – 28%
5. Flexibiliteit van het product – 23 %
(TNS NIPO, respondenten mochten meerdere opties aangeven.)
Flexibiliteit product
Betrouwbaarheid product
Kwaliteit service
Kwaliteit product
Betrouwbaarheid34%
Risico’s van ad-hoc inzet clouddiensten• Niet weten waar je data staat.
• Niet weten wie er toegang tot je data heeft.
• Betalen voor diensten die niet worden gebruikt.
• Data inconsistentie tussen systemen.
• Moeilijker samenwerken met afdelingen die andere keuzes hebben gemaakt.
• Geen inzicht in de totale kosten van ICT.
• Geen inzicht in de risico’s die je loopt.
11
9
Wat zet ik wel en wat niet over naar de cloud?’
‘Hoe werkt dat nou, overgaan naar de cloud?’
‘Kan ik mijn legacy dan nog wel gebruiken?’
Behoeftes en wensen van klanten veranderen, de markt
verandert, wet en regelgeving scherpt aan – organisaties
gaan mee in die dynamiek, de ICTafdeling kan niet
achterblijven. Wil de ICTafdeling de eigen organisatie
écht in staat stellen goed op al die veranderingen in te
spelen, dan bieden clouddiensten hier de middelen voor.
Traditionele ICT kan de snelheid van ontwikkelingen in
de markt veelal niet bijbenen, fragmentarische en
versnipperde inzet van de cloud geeft onvoldoende grip
op beveiliging en bedrijfszekerheid. De juiste inzet van
clouddiensten helpt organisaties hierbij.
En nu in de praktijk
Maar daarvoor zal ICT wel eerst een regiepositie moeten
innemen. Het alternatief is namelijk dat de regie bij een
cloudleverancier komt te liggen. Hoewel je tegenwoordig
steeds meer goed kunt uitbesteden, is de regie over de
inzet van cloud iets dat bij ICT zelf thuishoort. Voor de
ICTmedewerkers betekent dat een nieuwe manier van
werken en een andere mindset. Dichter op de huid van
de organisatie en de ‘interne klant’, flexibeler en meer
betrokken bij wensen van de organisatie, en tegelijk
bewuster van de mogelijkheden die de cloud aan de
medewerkers biedt. Met als doel dat de organisatie de
ICTafdeling ziet als de leverancier van praktische en
passende clouddiensten. Uit een breed assortiment –
samengesteld door het management – is er altijd wel
een applicatie of toepassing die hij of zij kan gebruiken.
10
1. RegiearchitectuurHet innemen van de centrale regiepositie begint met
het ontwikkelen van een regiearchitectuur. Zo’n regie
architectuur bestaat uit vier belangrijke elementen:
• Een Single Signonsysteem voor identiteits en
authenticatiemanagement: hiermee kunnen mede
werkers één keer centraal inloggen, en hoeven ze
daarna niet meer apart in te loggen op de verschillende
diensten en toepassingen.
• Een ‘provisioningsysteem’ voor het centraal toekennen
en verwijderen van gebruikersaccounts en andere
ICT capaciteit, zoals tijdelijke projectsites of sharepoints.
• Een instrument voor data en systeemintegratie,
inclusief datamastermanagement. Daarmee bepaal je
welk systeem de ‘werkelijke’ bedrijfsinformatie bevat.
• Belangrijk is de fysieke infrastructuur: want groot
schalige overgang van het ICTlandschap naar de cloud
stelt flinke eisen aan het netwerk en de verbinding.
Dubbel uitgevoerde verbindingen zijn voor een goede
bereikbaarheid van de diensten bijvoorbeeld zeer
relevant. Verder is het te overwegen om het risico op
mogelijke uitval, door bijvoorbeeld graafwerkzaam
heden, te spreiden en te kiezen voor de combinatie
van een vaste lijn en een 4Gverbinding.
2. Nieuwe ICT-governanceLigt de instrumentele basis er, dan is het tijd voor de
organisatorische basis. Het vastleggen en claimen van een
regierol, kan alleen met stevig strategisch ICTbeleid.
Inclusief een governancestructuur, die het werkelijkmoge
lijk maakt om dicht op de huid van de organisatie te zitten.
Het ontwikkelen van het nieuwe ICTbeleid, inclusief
ICTgovernancestructuur, verloopt doorgaans via een
aantal stadia. Zo is er het vooronderzoek en een analyse
fase, waarin de eerdere risicoanalyse ook weer een
centrale rol kan spelen. Hiermee kan ICT bijvoorbeeld
beoordelen waar extra (security)beleid noodzakelijk is.
Op basis van dit onderzoek en analyse volgt een change
managementplan: hoe nemen we alle stakeholders,
binnen en buiten ICT, mee in deze organisatieverandering?
Tenslotte zijn er een aantal concrete doelstellingen waar
ICT naar toe werkt. Denk aan een structurele relatie met
de verschillende (operationele) onderdelen binnen de
organisatie. En – natuurlijk – met de board. Maar ook
aan portfoliobeleid, waarin actief de processen en het
Stappenplan naar een centrale regierol
dienstenportfolio gemanaged wordt, en een sourcings
beleid: welke activiteiten doet ICT zelf, welke kunnen
worden uitbesteed? Ook de inrichting van ICTsupport
vraagt om nieuw beleid, met onder meer nieuwe
selfservicepunten (virtueel en fysiek) en training van
medewerkers.
3. Beleid en strategie afstemmenInzet van de cloud heeft op veel meer activiteiten en
onderdelen invloed. Belangrijk is dus het bewustzijn
dat de integrale introductie van de cloud behalve met
de business samen met de andere stafafdelingen moet
gebeuren. Met Inkoop moet worden gekeken naar een
nieuwe manier van omgaan met ICTleveranciers en naar
nieuwe leveringsmodellen. Ook met Financiën en
Juridische zaken moet gekeken worden naar deze nieuwe
contracten en financieringsmodellen. En natuurlijk naar
de financiële en juridische beweegruimte. Het scheelt
namelijk nogal of kosten geboekt moeten worden als
afschrijvingen of als maandelijks terugkerende operatio
nele kosten. Daar wil je collega’s niet op het laatste
moment mee verrassen.
4. Prioritering: wat wanneer naar de cloud?Een integrale overgang naar de cloud betekent niet dat
ook alles in één keer over moet. Belangrijk is het – zowel
voor ICT zelf als voor de rest van de organisatie – fasering
aan te brengen. Door te beginnen met de eenvoudige
systemen kan de organisatie wennen en kan ICT onder
tussen doorwerken aan het overbrengen van de complexere
systemen. Dat betekent diversificatie aanbrengen op
basis van drie kenmerken:
• Hoe bedrijfskritisch is een applicatie?
• Hoeveel maatwerk bevat het?
• Hoeveel koppelingen met andere systemen heeft het?
Op basis van deze kenmerken kan een prioritering en
tijdspad aangebracht worden. De applicaties die het
minst bedrijfskritisch zijn, het minste maatwerk bevatten
en weinig koppelingen hebben, zijn het eerst aan de beurt.
5. Life-cycle managementWanneer het hele ICTlandschap in de cloud staat, of
in elk geval via clouddiensten verbonden is, start het
monitoren, beheer en onderhoud. Omdat organisaties
steeds veranderen, en dus de cloudbehoeftes ook, is het
van belang de ontwikkelingen en mogelijkheden op het
gebied van clouddienstverlening goed bij te houden.
Is er een geschikte nieuwe dienst, dan kan ICT daar
de organisatie proactief over informeren en adviseren.
Vervolgens kan deze bijvoorbeeld in een corporate
appstore worden opgenomen, zodat alle medewerkers
direct toegang hebben. Onderdeel van het lifecycle
management is bovendien het steeds aanpassen van
het securitybeleid op de nieuwste ontwikkelingen.
11
De nieuwe manier van werken
De ICTafdeling monitort de verschillende diensten
continu, de ene intensiever dan de andere, afhankelijk
van het risiconiveau. Gecontroleerd wordt of data goed
beschermd zijn en of alle cloudleveranciers de afspraken
nakomen. Dat doen de ICTmedewerkers op basis van
rapportages, waarop ze zien welke data waar zijn en of er
eventuele lekkages zijn geweest. Wijzigingen of lekkages
worden tijdig gesignaleerd, direct verholpen en gedeeld
met de collega’s van Juridische zaken.
Met het lifecyclemanagement zorgt ICT voor een steeds
actueel applicatieportfolio, afgestemd op de wensen en
eisen van de organisatie, inclusief alle noodzakelijke
updates en migraties. In de board neemt ICT een logische
plaats in, omdat ICTmanagement en professionals
proactief meedenken en op een flexibele en efficiënte
manier oplossingen aandragen voor diverse werkprocessen
en organisatievraagstukken.
De hele organisatie profiteert
De centraal geregisseerde inzet van de clouddiensten laat
goed de toegevoegde waarde van ICT organisatiebreed
zien door:
• verhoogde productiviteit, dankzij centrale toegang
(via een corporate appstore, bijvoorbeeld) tot de
nieuwste toepassingen en software;
• een keer inloggen op alle diensten en toepassingen
volstaat voor alle medewerkers, wat enorm bijdraagt
aan efficiënter werken;
• compliance en reputatierisico’s zijn geminimaliseerd,
dankzij actieve monitoring van ‘de grenzen’;
• aantrekkelijkheid als werkgever is sterk vergroot, door
meest actuele clouddiensten en ICTvoorzieningen;
• medewerkerstevredenheid stijgt door het nieuwe
ICTsupportbeleid en de klantgerichte oplossingen,
zoals een corporate appstore;
• door het grote aanbod aan ‘goedgekeurde’ cloud
diensten, is ICT beter op de verschillende werkprocessen
aan te passen dan met de vroegere grote maatwerk
oplossingen en
• vooral: de ICToplossingen bewegen snel en soepel
mee met de organisatiebehoeftes én er wordt alleen
nog betaald voor wat werkelijk nodig is.
Na het beantwoorden van alle grote vragen en het doorlopen van het stappenplan, is het begin gemaakt: de ICT-afdeling is ingericht op gefaseerde overgang naar centraal geregisseerde clouddiensten. Maar hoe ziet die ICT-afdeling er dan uit, wanneer het de regie in handen heeft? Wat heeft de rest van de organisatie eraan? En het allerbelangrijkste: hoe nu verder?
Het resultaat:de regie in handen
12
Bedrijven en overheden vertrouwen ons al decennia hun
connectiviteit, service, servers en dataverkeer toe. Sinds
de cloud steeds populairder wordt, groeit de populariteit
van onze clouddiensten hard. Zeker bij bedrijven en
organisaties die veiligheid en betrouwbaarheid van groot
belang vinden. Wij bieden 100% Nederlandse datacenters,
met Nederlands beheer en servicedesk, plus een eigen
KPN netwerk voor dataverkeer. Voor gevoelige sectoren
beheren we zelfs aparte netwerken, zoals Gemnet voor
gemeentes of Zorgconnect voor zorginstanties. Ook kan
KPN u adviseren over welke voordelen u kunt behalen in
de cloud en welke clouddiensten voor uw organisatie
geschikt zijn.
Onze contracten, voorwaarden en rapportages zijn helder
en transparant, zodat onze klanten het maximale uit
hun clouddiensten kunnen halen. We ondersteunen
onze klanten graag bij de selectie van de best passende
oplossingen en bij het innemen van een centrale regie
positie in hun organisatie. Ook als dat betekent dat er
naast ons andere cloudleveranciers actief zijn. Dankzij
onze schaalgrootte kunnen we de oplossingen en
diensten bovendien tegen scherpe tarieven aanbieden.
Wij hebben de ervaring en expertise om onze klanten
vooruit te helpen. Denk aan de miljoenen mailboxen,
duizenden virtuele servers en petabytes aan storage in
onze KPN datacenters in Nederland. Voor een veilig en
compliant cloud werken we ook samen met andere
experts. Zoals Deloitte, met wie wij een cloudaudit en
assurance oplossing hebben ontwikkeld. Bij KPN
profiteert u van een organisatie met decennialange
ervaring en expertise in uiterst betrouwbare netwerken
en kritische communicatietoepassingen.
Uitnodiging tot gesprekIn deze whitepaper schetsen wij in grote lijnen het
belang van goed geregisseerde en structurele inzet van
clouddiensten. Hoe dat vervolgens ingevuld wordt en
welke specifieke voordelen er te behalen zijn is voor elke
individuele organisatie anders.
KPN gaat graag met u in gesprek hierover, we zullen
daartoe ook het initiatief nemen. We nodigen u ook van
harte uit contact te zoeken met uw accountmanager.
Of kijk op www.kpn.com/zakelijk en laat u inspireren
op KPN Inspire (www.kpninspire.com).
Of neem direct contact op met:
Menno Frantzen
Productmanager CloudNL 09 5 8 48
Simon van den Doel
Principal Technical Consultant 0 9 30 84
Over KPN
KPN biedt wereldwijd telecommunicatie en ICTdiensten.
Met , miljoen werkplekken in beheer zijn wij markt
leider in werkplekbeheer in de Benelux. We bedienen
meer dan 4, miljoen klanten met mobiele en vaste
telefoonaansluitingen, internet en televisie. In de
zakelijke markt ondersteunen we onze klanten met
volledig beheerde telecommunicatie en ICToplossingen.
Clouddienstenvan KPN
13
Veel ad-hoc inzetDriekwart van de grote organisaties in Nederland maakt
al gebruik van clouddiensten, maar zet deze echter vooral
adhoc en versnipperd in. Zonder centrale én integrale
regie worden zo alleen de voordelen voor de individuele
afdeling of het individuele project benut. Clouddiensten
kunnen eenvoudig en zonder tussenkomst van ICT
worden aangeschaft. Zo kan al snel een wildgroei aan
clouddiensten ontstaan binnen een organisatie die
onderling lastig te koppelen zijn. Bedrijfsinformatie
verdwijnt uit het zicht, waardoor organisaties risico’s
lopen op het gebied van compliance en veiligheid. Door
de individuele aanschaf verdwijnt ook het totaal over
zicht op de ICT kosten. Zonder centrale regie kunnen
dezelfde clouddiensten binnen een organisatie meerdere
malen worden aangeschaft. Ook blijven mogelijke
inkoopvoordelen onbenut.
Drie grote thema’sIn deze whitepaper beschrijven we de drie vraagstukken
die spelen bij organisaties als het gaat om structurele
inzet van clouddiensten:
1. Compliance en privacy
. Veiligheid en beveiliging
3. Continuïteit en bedrijfszekerheid
We sluiten de whitepaper af met een praktisch deel
waarin aangegeven wordt hoe in vijf stappen het
fundament voor een structurele inzet van clouddiensten
gelegd kan worden.
Eigen onderzoek
Bij het schrijven van deze whitepaper baseerden we ons
op eigen en onafhankelijk onderzoek, zowel kwalitatief
als kwantitatief. De klantvragen in deze whitepaper zijn
gebaseerd op vragen uit onderstaande onderzoeken:
• Onderzoek TNS NIPO 014.
• EuroCloud 013 / PB Onderzoek.
• Cloudsurvey KPN Consulting 01/013.
Wilt u één van deze onderzoeken raadplegen? Stuur dan
een mail naar [email protected], wij sturen u de
rapportage zo snel mogelijk toe.
Management summary
Structurele inzet van de cloud vraagt om regie
In deze whitepaper beschrijven we het belang van regie op clouddiensten binnenorganisaties en de drie thema’s die daarbij van belang zijn. Structurele inzet vanclouddiensten vraagt om regie. Gebeurt dat goed, dan gééft de cloud ook regie.