Naar de cloud:minder risico’s door structurele inzet van clouddiensten

Whitepaper

2

Het belang van regie op clouddiensten 3

Definitie 4

Drie vraagstukken én antwoorden 5

En nu in de praktijk 9

Het resultaat: de regie in handen 11

Clouddiensten van KPN 12

Management summary 13

Inhoudsopgave

3

Nieuwe productietechnieken of distributiemogelijk­

heden, innovatieve technologieën of ontluikende

markten – ze ontstaan in een steeds hoger tempo.

Willen bedrijven hier optimaal van profiteren, dan is

wendbaarheid van de organisatie een randvoorwaarde.

Snelheid van handelen en een korte time­to­market is

bepalend voor het succes van de organisatie. De cloud

biedt hiervoor een potentieel krachtig middel.

Bedrijven gebruiken clouddiensten nu nog vaak ad­hoc

en aarzelen over een bredere en structurele inzet. In deze

whitepaper beschrijven we hoe clouddiensten organisaties

kunnen versterken met een goed geregisseerde inzet

vanuit ICT aan de hand van drie grote thema’s compliance,

veiligheid en continuïteit.

Soms liggen ze voor het grijpen, de kansen voor een organisatie om het verschil te maken. Snel mee kunnen bewegen met de markt en nieuwe ontwikkelingen is daarbij essentieel. Clouddiensten bieden organisaties het gereedschap en het fundament om wendbaar, creatief en flexibel te zijn. De ICT-afdeling kán hierbij een cruciale rol spelen. Maar alleen als zij zorgen voor een fundament waarmee snel en eenvoudig de inzet van cloudinitiatieven gefaciliteerd kan worden.

Het belang van regieop clouddiensten

4

Over ‘de cloud’ bestaat nogal wat begripsverwarring.

Om deze verwarring te voorkomen hanteren wij, net

als veel andere instanties wereldwijd, de definitie van

het Amerikaanse National Institute of Standards and

Technology (NIST). Kort samengevat: ‘Cloud Computing

levert altijd beschikbare en makkelijke netwerktoegang

tot een gedeelde ICT omgeving, die met minimale

beheerinspanning snel geleverd of opgezegd kan worden.

Het is een measured service, doorgaans geleverd op basis

van gebruik of andere meetbare eenheid (per gebruiker

per maand of per VM per minuut bijvoorbeeld).

Het gaat dus niet alleen om het online beschikbaar

stellen van gegevens, maar om een vorm van ICT

dienstverlening. Daarbinnen zijn de oplossingen divers:

van opslag van gegevens tot toegang ertoe of het

delen ervan, van software en apps tot infrastructuur en

platforms. Er is een ‘public’ cloud en een private cloud

en zelfs een hybride vorm. Dat er zoveel mogelijkheden

zijn, laat al zien dat er niet één ‘cloud’ is. En dat bedrijven

op zoek kunnen gaan naar de cloudvorm(en) of

oplossing(en) die het best bij hen passen.

De werkvloer wil graag...Terwijl management en ICT­specialisten nog experimen­

teren met cloudpilots, zijn eindgebruikers er al massaal

mee aan het werk. Privé zetten ze foto’s op Instagram,

bestanden op Dropbox, video’s op Vimeo of Youtube.

Van de ICT voorzieningen op het werk verwachten ze

dezelfde eenvoud in gebruik. Deze verwachting

wordt consumerization van zakelijke ICT genoemd.

Eindgebruikers hebben daardoor de neiging om privé­

toepassingen zakelijk te gebruiken, denk aan het in

Dropbox zetten van klantinformatie om thuis te werken.

Met zakelijke clouddiensten kan de ICT afdeling eind­

gebruikers in staat stellen ICT voorzieningen te gebruiken

zoals ze thuis gewend zijn, maar dan op een manier die

voldoet aan de eisen van het bedrijf. Zo behoudt ICT de

regie over de inzet van oplossingen.

...nu ICT en ‘de top’ nogHet massale privé gebruik van clouddiensten maakt het

des te opmerkelijker dat ICT afdelingen en organisaties

niet meer op de cloud overstappen. Want de druk

om dat wel te doen neemt snel toe – intern en extern.

Wat zijn nou de vraagstukken die ICT en management

nog tegenhouden?

‘De cloud’ betekent kort en bondig dat:• bedrijfsinformatie, infrastructuur, applicaties en/of systemen geoutsourced

worden, feitelijk ondergebracht worden in een datacenter van een cloudleverancier

• een organisatie niet meer betaalt voor aanschaf van hard- en software, maar alleen voor daadwerkelijk gebruik

Definitie

5

De vragen over veiligheid overheersen, laat onderzoek

van TNS NIPO zien. Van de organisaties die nog aarzelen

over de inzet van clouddiensten geeft bijvoorbeeld

51% aan dat onzekerheid over privacybescherming en

security de grootste belemmering vormt. De verkenning

van de drie grote vraagstukken starten we daarom bij

compliance en privacy. Daarna gaan we door naar

security en de organisatie daarvan. Vervolgens staan

we stil bij continuïteit en bedrijfszekerheid, om tenslotte

te eindigen bij het operationele deel: hoe kunnen

clouddiensten structureel ingezet worden.

Dat clouddiensten de komende jaren steeds vaker zullen worden ingezet, daar twijfelt bijna niemand aan. Waar bij grote organisaties vorig jaar nog gemiddeld 27% van het ICT-budget naar clouddiensten ging, groeit dat naar verwachting komend jaar al naar 34%. Maar welke clouddiensten dan precies ingezet worden, daar kunnen organisaties minder goed antwoord op geven. Van wet- en regelgeving tot de continuïteit van levering – er leven nog veel vragen en daardoor is er ook veel onzekerheid.

Drie vraagstukkenén antwoorden

Wel of niet in de cloud?

In principe kan het hele ICT­landschap over naar de

cloud. Dat betekent echter nog niet dat alle maatwerk­

of ERP­systemen helemaal of meteen overgezet worden.

Sommige systemen kunnen nu eenmaal niet op basis van

gebruik afgenomen worden.Dat betekent echter niet dat

bedrijven niet kunnen profiteren van andere voordelen,

zoals centrale toegang of tijd­ en plaatsonafhankelijk

delen. De informatie uit bestaande maatwerksystemen

kan door cloudleveranciers met slimme koppelingen

namelijk wel benaderbaar gemaakt worden.

Direct naar de cloud:

• Salestools

• CRM­systemen

• Kantoorsoftware (officetoepassingen, messaging, e­mail)

• Communicatiediensten

• Test­ en ontwikkelsystemen

• Infrastructuurdiensten

Niet direct naar de cloud*:

• ERP­systemen

• Maatwerksoftware

• en andere toepassingen die complex met andere

systemen verbonden zijn

* maar wel benaderbaar via clouddiensten

6

Compliant zijn – voldoen aan wet­ en regelgeving –

is een belangrijk vraagstuk bij de inzet van clouddiensten.

Organisaties vrezen dat clouddiensten onvoldoende

veilig zijn om hun gevoelige informatie aan toe te

vertrouwen. In de praktijk spelen naast de juridische ook

de meer ethische kwesties een rol: situaties die juridisch

gezien wellicht wel mogen, maar een ander risico

met zich meebrengen, zoals reputatieschade voor de

organisatie. Voor veel organisatie is het van belang om

niet alleen te voldoen aan wet­ en regelgeving, normen

en branchestandaarden, maar ook aan maatschappelijke

normen en waarden.

Een 100% garantie op veiligheid is nooit te bieden.

Volledige zekerheid geven kan niemand, ook bij

traditionele ICT­systemen in uw eigen datacenter niet.

Maar met de juiste aanpak kunnen organisaties wel

aantonen dat ze er alles aan hebben gedaan om cloud­

gebruik zo veilig mogelijk te organiseren. Het wordt

steeds duidelijker dat centraal aangestuurde inzet

van de cloud net zo veilig en compliant georganiseerd

kan worden als een traditioneel eigen ICT­systeem of

­datacenter. Sterker nog: door de inzet van specialisten

(hackersteams, bijvoorbeeld), de nieuwste apparatuur,

techniek en screening en continue scholing van

medewerkers voldoen de meeste clouddiensten zelfs

beter dan de huidige omgeving van veel organisaties.

AansprakelijkheidBelangrijk is dat het overbrengen van systemen en

gegevens naar de cloud en het afnemen van cloud­

diensten een organisatie niet ontslaat van zijn

verantwoordelijkheid. Organisaties blijven dus altijd

‘Als we naar de cloud gaan, krijg ik dan niet allemaal

schadeclaims van klanten vanwege mogelijke privacy­

schendingen?’

‘Kan de Amerikaanse overheid’ straks ongestoord mijn

concurrentiegevoelige informatie inzien, en wat doen

zij er dan mee?’

‘Wanneer wij klantgegevens in de cloud zetten, wie is

er dan verantwoordelijk en aansprakelijk voor?

Wij of de provider?’

1. Compliance en privacy

zelf nog aansprakelijk. In sommige gevallen is een CIO

zelfs hoofdelijk aansprakelijk mocht er iets mis gaan

met de bedrijfsinformatie. Daarom is het van belang

aan te kunnen tonen dat een organisatie er alles aan

heeft gedaan om te kiezen voor een zo veilig mogelijke

leverancier en bovenal: een zo veilig mogelijke oplossing.

Dat begint al bij het selecteren van de cloudleverancier,

waarbij de mogelijke aansprakelijkheid van de cloud­

leverancier in contracten vaak zeer beperkt is.

ReputatieDoor te laten zien dat er maatregelen getroffen zijn

voor bescherming van gegevens, dat daarvoor een

gestructureerde aanpak en monitoring gehanteerd

wordt, én daar analyses op uitgevoerd worden, voorkomt

een organisatie reputatieschade – mocht het ondanks

alle voorzorgsmaatregelen toch misgaan. Ook biedt

monitoring de gelegenheid om bij eventuele schade

snel de oorzaak te kunnen aanwijzen en zo adequaat te

kunnen reageren. De organisatie kan zowel bij de

wetgever als aan het publiek aantonen dat ze er alles

aan gedaan hebben om de privacy van hun klanten,

medewerkers, patiënten of bewoners te beschermen.

Grootste zorg nu: privacyDoor de grote maatschappelijke belangstelling voor

privacythema’s, is dat ook voor organisaties een belang­

rijk thema. Het belangrijkste compliance thema zelfs.

De EU­richtlijn over privacybescherming heeft daar

zeker mee te maken. Tot nu toe konden grote bedrijven

eventuele boetes vooraf incalculeren als een verliespost,

maar met de nieuwe EU­richtlijn is de boete straks %

van de wereldwijde bruto jaaromzet. De kosten voor

een risicoanalyse vallen daarbij in vergelijking voor de

meeste grotere organisaties in het niet. Een dergelijke

risico analyse moet gezien de nieuwe EU­richtlijn sowieso

op elk ICT­systeem – traditioneel of vanuit de cloud –

gebeuren. Dat zou dan ook het aangewezen moment

zijn om in kaart te brengen welke clouddiensten gepast

zijn binnen dit nieuwe kader.

7

Bij veel organisaties passen clouddiensten prima binnen

de eisen van hun securitybeleid. Sterker nog, vaak

voldoen clouddiensten beter aan securityeisen doordat

grotere cloudleveranciers dankzij hun schaalgrootte

meer kunnen investeren in security.

Bij een toenemend gebruik van clouddiensten neemt

ook het belang van aanvullende securitydiensten toe.

Denk aan met single sign­on in één keer centraal kunnen

inloggen op alle systemen of het op één centraal punt

aanmaken – en vooral: verwijderen – van gebruikers­

accounts. Een belangrijke voorwaarde als organisaties

veilig clouddiensten willen inzetten en willen voorkomen

dat oud­medewerkers nog toegang hebben tot bedrijfs­

informatie, omdat ergens een systeem vergeten is.

Waar is die cloud eigenlijk?

Veiligheid gaat zowel over de virtuele beschermings­

muren als over de fysieke locatie. Want ook gegevens

en systemen in de cloud staan ergens opgeslagen.

Dat klinkt als een open deur, maar er zijn nog steeds veel

organisaties die zich er niet bewust van zijn dat achter

de meeste in Nederland gevestigde cloudleveranciers

grote buitenlandse providers zitten. Een goede cloud­

leverancier moet kunnen aantonen wat de locatie is van

hun clouddiensten – geografisch én juridisch. En niet te

vergeten: de locatie waar support en beheer plaatsvindt.

De veiligheid en beveiliging van de gegevens en systemen

in de cloud betekent wel dat een nieuwe inrichting

van het ICT­securitybeleid nodig is. Dat vraagt om een

investering, maar wel een investering die gezien de

‘Kunnen hackers niet heel makkelijk in onze systemen

inbreken wanneer ze eenmaal in de cloud staan?’

‘Houd ik nog wel de controle over onze security

wanneer we over gaan op de cloud?’

‘Moet ik rekening houden met een andere organisatie

van onze beveiliging als we vanuit de cloud gaat

werken?’

2.Veiligheid en beveiliging

aangescherpte privacyregelgeving voor veel bedrijven

toch al vaak noodzakelijk is. De risicoanalyse die vanuit

compliance overwegingen verstandig is, biedt ook een

praktische handreiking en een mooie voedingsbodem

voor een verdere ontwikkeling van een nieuw security­

beleid. Door verschillende bedrijfsonderdelen, ­activiteiten

en ­gegevens te classificeren en te voorzien van een

risiconiveau, kan daar een securityniveau aan gekoppeld

worden.

Drie veiligheidsaspecten

Een goede cloudleverancier biedt duidelijkheid over

de volgende veiligheidsaspecten:

De fysieke beveiliging: een goede cloudleverancier

heeft meerdere datacenters die op voldoende afstand

van elkaar staan en dus altijd een uitwijk bieden, ook

bij bijvoorbeeld overstromingen. De panden zelf zullen

voldoen aan eisen waar een eigen datacenter van een

bedrijf minder snel aan zal kunnen voldoen – althans,

niet zonder enorme investeringen te doen.

De menselijke kant: wie heeft er toegang tot uw kritische

systemen en gegevens? Goede cloud leveranciers bieden

inzicht in wie er toegang hebben inclusief grondige

backgroundscreenings van alle beheer medewerkers,

gedocumenteerde processen en constante training.

De virtuele bescherming: Cloudleveranciers gebruiken

vaak voormalig hackers die continu de beveiliging testen

om hun beveiliging te optimaliseren. Ook hier geldt dat

continue investering in opleiding en kennisontwikkeling

zorgt voor een betere bescherming dan een individuele

organisatie zelf kan bieden.

8

De organisatie en inrichting van ICT is de laatste jaren

ingrijpend veranderd. Het wordt voor individuele

bedrijven steeds moeilijker om de voortrazende

ontwikkelingen bij te houden. Zelf investeren in eigen

hardware of software is ook niet meer van deze tijd.

Het uitbesteden van (een deel van) de ICT­activiteiten

wordt steeds normaler, de overgang naar integrale

clouddiensten een voor de handliggende oplossing.

‘De cloud’ is dus geen hype, maar een logische

verschijningsvorm van een nieuw ICT­tijdperk.

Het is belangrijk om de keuze voor de juiste cloud­

leverancier(s) serieus te nemen. De eerder geadviseerde

risicoanalyse – zie ook het onderdeel compliance – helpt

bij de selectie en de juiste keuze. Er zijn inmiddels zoveel

cloudleveranciers op de markt, dat het ook mogelijk is

om echt te kiezen. Clouddienstverlening is bovendien

volwassen genoeg om breed en vol vertrouwen ingezet

te worden.

Niet vergeten: de exitstrategieOm een vendor lock­in te voorkomen is het belangrijk

om een heldere exitstrategie te ontwikkelen. Maar vooral

om deze tijdig met de geselecteerde cloudleverancier(s)

te bespreken, nog voordat de contracten getekend zijn.

Een goede exitstrategie moet er voor zorgen dat je als

organisatie altijd direct bij je data kunt, alle rechten hebt

en behoudt op die data en die data ook volledig moet

kunnen terughalen.

‘Hoe kan ik erop vertrouwen dat mijn cloudleverancier

er over 5 jaar nog is?’

‘Als mijn cloudleverancier failliet gaat, kan ik dan nog

wel bij mijn data?’

‘Is de cloud niet gewoon een hype die over 2 jaar is

overgewaaid? En wat dan, hoe kan ik dan nog werken?’

3. Continuïteit en bedrijfszekerheid

Risico’s van ad­hoc inzet clouddiensten

• Niet weten waar je data staat.

• Niet weten wie er toegang tot je data heeft.

• Betalen voor diensten die niet worden gebruikt.

• Data inconsistentie tussen systemen.

• Moeilijker samenwerken met afdelingen die andere

keuzes hebben gemaakt.

• Geen inzicht in de totale kosten van ICT.

• Geen inzicht in de risico’s die je loopt.

Waarop baseren organisaties de keuze

voor een cloudleverancier?

1. Betrouwbaarheid – 34%

. Kwaliteit van het product – 34%

3. Kwaliteit van de service – 9%

4. Betrouwbaarheid product – 8%

5. Flexibiliteit van het product – 3 %

(TNS NIPO, respondenten mochten meerdere opties aangeven.)

Waarop baseren organisaties de keuze voor een cloudleverancier?

1. Betrouwbaarheid – 34%

2. Kwaliteit van het product – 34%

3. Kwaliteit van de service – 29%

4. Betrouwbaarheid product – 28%

5. Flexibiliteit van het product – 23 %

(TNS NIPO, respondenten mochten meerdere opties aangeven.)

Flexibiliteit product

Betrouwbaarheid product

Kwaliteit service

Kwaliteit product

Betrouwbaarheid34%

Risico’s van ad-hoc inzet clouddiensten• Niet weten waar je data staat.

• Niet weten wie er toegang tot je data heeft.

• Betalen voor diensten die niet worden gebruikt.

• Data inconsistentie tussen systemen.

• Moeilijker samenwerken met afdelingen die andere keuzes hebben gemaakt.

• Geen inzicht in de totale kosten van ICT.

• Geen inzicht in de risico’s die je loopt.

11

9

Wat zet ik wel en wat niet over naar de cloud?’

‘Hoe werkt dat nou, overgaan naar de cloud?’

‘Kan ik mijn legacy dan nog wel gebruiken?’

Behoeftes en wensen van klanten veranderen, de markt

verandert, wet­ en regelgeving scherpt aan – organisaties

gaan mee in die dynamiek, de ICT­afdeling kan niet

achterblijven. Wil de ICT­afdeling de eigen organisatie

écht in staat stellen goed op al die veranderingen in te

spelen, dan bieden clouddiensten hier de middelen voor.

Traditionele ICT kan de snelheid van ontwikkelingen in

de markt veelal niet bijbenen, fragmentarische en

versnipperde inzet van de cloud geeft onvoldoende grip

op beveiliging en bedrijfszekerheid. De juiste inzet van

clouddiensten helpt organisaties hierbij.

En nu in de praktijk

Maar daarvoor zal ICT wel eerst een regiepositie moeten

innemen. Het alternatief is namelijk dat de regie bij een

cloudleverancier komt te liggen. Hoewel je tegenwoordig

steeds meer goed kunt uitbesteden, is de regie over de

inzet van cloud iets dat bij ICT zelf thuishoort. Voor de

ICT­medewerkers betekent dat een nieuwe manier van

werken en een andere mind­set. Dichter op de huid van

de organisatie en de ‘interne klant’, flexibeler en meer

betrokken bij wensen van de organisatie, en tegelijk

bewuster van de mogelijkheden die de cloud aan de

medewerkers biedt. Met als doel dat de organisatie de

ICT­afdeling ziet als de leverancier van praktische en

passende clouddiensten. Uit een breed assortiment –

samengesteld door het management – is er altijd wel

een applicatie of toepassing die hij of zij kan gebruiken.

10

1. RegiearchitectuurHet innemen van de centrale regiepositie begint met

het ontwikkelen van een regiearchitectuur. Zo’n regie­

architectuur bestaat uit vier belangrijke elementen:

• Een Single Sign­on­systeem voor identiteits­ en

authenticatiemanagement: hiermee kunnen mede­

werkers één keer centraal inloggen, en hoeven ze

daarna niet meer apart in te loggen op de verschillende

diensten en toepassingen.

• Een ‘provisioningsysteem’ voor het centraal toekennen

en verwijderen van gebruikersaccounts en andere

ICT­ capaciteit, zoals tijdelijke projectsites of ­sharepoints.

• Een instrument voor data­ en systeemintegratie,

inclusief datamastermanagement. Daarmee bepaal je

welk systeem de ‘werkelijke’ bedrijfsinformatie bevat.

• Belangrijk is de fysieke infrastructuur: want groot­

schalige overgang van het ICT­landschap naar de cloud

stelt flinke eisen aan het netwerk en de verbinding.

Dubbel uitgevoerde verbindingen zijn voor een goede

bereikbaarheid van de diensten bijvoorbeeld zeer

relevant. Verder is het te overwegen om het risico op

mogelijke uitval, door bijvoorbeeld graafwerkzaam­

heden, te spreiden en te kiezen voor de combinatie

van een vaste lijn en een 4G­verbinding.

2. Nieuwe ICT-governanceLigt de instrumentele basis er, dan is het tijd voor de

organisatorische basis. Het vastleggen en claimen van een

regierol, kan alleen met stevig strategisch ICT­beleid.

Inclusief een governancestructuur, die het werkelijkmoge­

lijk maakt om dicht op de huid van de organisatie te zitten.

Het ontwikkelen van het nieuwe ICT­beleid, inclusief

ICTgovernancestructuur, verloopt doorgaans via een

aantal stadia. Zo is er het vooronderzoek en een analyse­

fase, waarin de eerdere risicoanalyse ook weer een

centrale rol kan spelen. Hiermee kan ICT bijvoorbeeld

beoordelen waar extra (security)beleid noodzakelijk is.

Op basis van dit onderzoek en analyse volgt een change­

managementplan: hoe nemen we alle stakeholders,

binnen en buiten ICT, mee in deze organisatieverandering?

Tenslotte zijn er een aantal concrete doelstellingen waar

ICT naar toe werkt. Denk aan een structurele relatie met

de verschillende (operationele) onderdelen binnen de

organisatie. En – natuurlijk – met de board. Maar ook

aan portfoliobeleid, waarin actief de processen en het

Stappenplan naar een centrale regierol

dienstenportfolio gemanaged wordt, en een sourcings­

beleid: welke activiteiten doet ICT zelf, welke kunnen

worden uitbesteed? Ook de inrichting van ICT­support

vraagt om nieuw beleid, met onder meer nieuwe

selfservicepunten (virtueel en fysiek) en training van

medewerkers.

3. Beleid en strategie afstemmenInzet van de cloud heeft op veel meer activiteiten en

onderdelen invloed. Belangrijk is dus het bewustzijn

dat de integrale introductie van de cloud behalve met

de business samen met de andere stafafdelingen moet

gebeuren. Met Inkoop moet worden gekeken naar een

nieuwe manier van omgaan met ICT­leveranciers en naar

nieuwe leveringsmodellen. Ook met Financiën en

Juridische zaken moet gekeken worden naar deze nieuwe

contracten en financieringsmodellen. En natuurlijk naar

de financiële en juridische beweegruimte. Het scheelt

namelijk nogal of kosten geboekt moeten worden als

afschrijvingen of als maandelijks terugkerende operatio­

nele kosten. Daar wil je collega’s niet op het laatste

moment mee verrassen.

4. Prioritering: wat wanneer naar de cloud?Een integrale overgang naar de cloud betekent niet dat

ook alles in één keer over moet. Belangrijk is het – zowel

voor ICT zelf als voor de rest van de organisatie – fasering

aan te brengen. Door te beginnen met de eenvoudige

systemen kan de organisatie wennen en kan ICT onder­

tussen doorwerken aan het overbrengen van de complexere

systemen. Dat betekent diversificatie aanbrengen op

basis van drie kenmerken:

• Hoe bedrijfskritisch is een applicatie?

• Hoeveel maatwerk bevat het?

• Hoeveel koppelingen met andere systemen heeft het?

Op basis van deze kenmerken kan een prioritering en

tijdspad aangebracht worden. De applicaties die het

minst bedrijfskritisch zijn, het minste maatwerk bevatten

en weinig koppelingen hebben, zijn het eerst aan de beurt.

5. Life-cycle managementWanneer het hele ICT­landschap in de cloud staat, of

in elk geval via clouddiensten verbonden is, start het

monitoren, beheer en onderhoud. Omdat organisaties

steeds veranderen, en dus de cloudbehoeftes ook, is het

van belang de ontwikkelingen en mogelijkheden op het

gebied van clouddienstverlening goed bij te houden.

Is er een geschikte nieuwe dienst, dan kan ICT daar

de organisatie proactief over informeren en adviseren.

Vervolgens kan deze bijvoorbeeld in een corporate

appstore worden opgenomen, zodat alle medewerkers

direct toegang hebben. Onderdeel van het lifecycle­

management is bovendien het steeds aanpassen van

het securitybeleid op de nieuwste ontwikkelingen.

11

De nieuwe manier van werken

De ICT­afdeling monitort de verschillende diensten

continu, de ene intensiever dan de andere, afhankelijk

van het risiconiveau. Gecontroleerd wordt of data goed

beschermd zijn en of alle cloudleveranciers de afspraken

nakomen. Dat doen de ICT­medewerkers op basis van

rapportages, waarop ze zien welke data waar zijn en of er

eventuele lekkages zijn geweest. Wijzigingen of lekkages

worden tijdig gesignaleerd, direct verholpen en gedeeld

met de collega’s van Juridische zaken.

Met het lifecyclemanagement zorgt ICT voor een steeds

actueel applicatieportfolio, afgestemd op de wensen en

eisen van de organisatie, inclusief alle noodzakelijke

updates en migraties. In de board neemt ICT een logische

plaats in, omdat ICT­management en ­professionals

proactief meedenken en op een flexibele en efficiënte

manier oplossingen aandragen voor diverse werkprocessen

en organisatievraagstukken.

De hele organisatie profiteert

De centraal geregisseerde inzet van de clouddiensten laat

goed de toegevoegde waarde van ICT organisatiebreed

zien door:

• verhoogde productiviteit, dankzij centrale toegang

(via een corporate appstore, bijvoorbeeld) tot de

nieuwste toepassingen en software;

• een keer inloggen op alle diensten en toepassingen

volstaat voor alle medewerkers, wat enorm bijdraagt

aan efficiënter werken;

• compliance­ en reputatierisico’s zijn geminimaliseerd,

dankzij actieve monitoring van ‘de grenzen’;

• aantrekkelijkheid als werkgever is sterk vergroot, door

meest actuele clouddiensten en ICT­voorzieningen;

• medewerkerstevredenheid stijgt door het nieuwe

ICT­supportbeleid en de klantgerichte oplossingen,

zoals een corporate appstore;

• door het grote aanbod aan ‘goedgekeurde’ cloud­

diensten, is ICT beter op de verschillende werkprocessen

aan te passen dan met de vroegere grote maatwerk­

oplossingen en

• vooral: de ICT­oplossingen bewegen snel en soepel

mee met de organisatiebehoeftes én er wordt alleen

nog betaald voor wat werkelijk nodig is.

Na het beantwoorden van alle grote vragen en het doorlopen van het stappenplan, is het begin gemaakt: de ICT-afdeling is ingericht op gefaseerde overgang naar centraal geregisseerde clouddiensten. Maar hoe ziet die ICT-afdeling er dan uit, wanneer het de regie in handen heeft? Wat heeft de rest van de organisatie eraan? En het allerbelangrijkste: hoe nu verder?

Het resultaat:de regie in handen

12

Bedrijven en overheden vertrouwen ons al decennia hun

connectiviteit, service, servers en dataverkeer toe. Sinds

de cloud steeds populairder wordt, groeit de populariteit

van onze clouddiensten hard. Zeker bij bedrijven en

organisaties die veiligheid en betrouwbaarheid van groot

belang vinden. Wij bieden 100% Nederlandse datacenters,

met Nederlands beheer en servicedesk, plus een eigen

KPN netwerk voor dataverkeer. Voor gevoelige sectoren

beheren we zelfs aparte netwerken, zoals Gemnet voor

gemeentes of Zorgconnect voor zorginstanties. Ook kan

KPN u adviseren over welke voordelen u kunt behalen in

de cloud en welke clouddiensten voor uw organisatie

geschikt zijn.

Onze contracten, voorwaarden en rapportages zijn helder

en transparant, zodat onze klanten het maximale uit

hun clouddiensten kunnen halen. We ondersteunen

onze klanten graag bij de selectie van de best passende

oplossingen en bij het innemen van een centrale regie­

positie in hun organisatie. Ook als dat betekent dat er

naast ons andere cloudleveranciers actief zijn. Dankzij

onze schaalgrootte kunnen we de oplossingen en

diensten bovendien tegen scherpe tarieven aanbieden.

Wij hebben de ervaring en expertise om onze klanten

vooruit te helpen. Denk aan de miljoenen mailboxen,

duizenden virtuele servers en petabytes aan storage in

onze KPN datacenters in Nederland. Voor een veilig en

compliant cloud werken we ook samen met andere

experts. Zoals Deloitte, met wie wij een cloudaudit en

­assurance oplossing hebben ontwikkeld. Bij KPN

profiteert u van een organisatie met decennialange

ervaring en expertise in uiterst betrouwbare netwerken

en kritische communicatietoepassingen.

Uitnodiging tot gesprekIn deze whitepaper schetsen wij in grote lijnen het

belang van goed geregisseerde en structurele inzet van

clouddiensten. Hoe dat vervolgens ingevuld wordt en

welke specifieke voordelen er te behalen zijn is voor elke

individuele organisatie anders.

KPN gaat graag met u in gesprek hierover, we zullen

daartoe ook het initiatief nemen. We nodigen u ook van

harte uit contact te zoeken met uw accountmanager.

Of kijk op www.kpn.com/zakelijk en laat u inspireren

op KPN Inspire (www.kpninspire.com).

Of neem direct contact op met:

Menno Frantzen

Productmanager CloudNL 0­9 5 8 48

menno.frantzen@kpn.com

Simon van den Doel

Principal Technical Consultant 0­ 9 30 84

simon.vandendoel@kpn.com

Over KPN

KPN biedt wereldwijd telecommunicatie­ en ICT­diensten.

Met , miljoen werkplekken in beheer zijn wij markt­

leider in werkplekbeheer in de Benelux. We bedienen

meer dan 4, miljoen klanten met mobiele en vaste

telefoonaansluitingen, internet en televisie. In de

zakelijke markt ondersteunen we onze klanten met

volledig beheerde telecommunicatie­ en ICT­oplossingen.

Clouddienstenvan KPN

13

Veel ad-hoc inzetDriekwart van de grote organisaties in Nederland maakt

al gebruik van clouddiensten, maar zet deze echter vooral

ad­hoc en versnipperd in. Zonder centrale én integrale

regie worden zo alleen de voordelen voor de individuele

afdeling of het individuele project benut. Clouddiensten

kunnen eenvoudig en zonder tussenkomst van ICT

worden aangeschaft. Zo kan al snel een wildgroei aan

clouddiensten ontstaan binnen een organisatie die

onderling lastig te koppelen zijn. Bedrijfsinformatie

verdwijnt uit het zicht, waardoor organisaties risico’s

lopen op het gebied van compliance en veiligheid. Door

de individuele aanschaf verdwijnt ook het totaal over­

zicht op de ICT kosten. Zonder centrale regie kunnen

dezelfde clouddiensten binnen een organisatie meerdere

malen worden aangeschaft. Ook blijven mogelijke

inkoopvoordelen onbenut.

Drie grote thema’sIn deze whitepaper beschrijven we de drie vraagstukken

die spelen bij organisaties als het gaat om structurele

inzet van clouddiensten:

1. Compliance en privacy

. Veiligheid en beveiliging

3. Continuïteit en bedrijfszekerheid

We sluiten de whitepaper af met een praktisch deel

waarin aangegeven wordt hoe in vijf stappen het

fundament voor een structurele inzet van clouddiensten

gelegd kan worden.

Eigen onderzoek

Bij het schrijven van deze whitepaper baseerden we ons

op eigen en onafhankelijk onderzoek, zowel kwalitatief

als kwantitatief. De klantvragen in deze whitepaper zijn

gebaseerd op vragen uit onderstaande onderzoeken:

• Onderzoek TNS NIPO 014.

• EuroCloud 013 / PB Onderzoek.

• Cloudsurvey KPN Consulting 01/013.

Wilt u één van deze onderzoeken raadplegen? Stuur dan

een mail naar titia.houwing@kpn.com, wij sturen u de

rapportage zo snel mogelijk toe.

Management summary

Structurele inzet van de cloud vraagt om regie

In deze whitepaper beschrijven we het belang van regie op clouddiensten binnenorganisaties en de drie thema’s die daarbij van belang zijn. Structurele inzet vanclouddiensten vraagt om regie. Gebeurt dat goed, dan gééft de cloud ook regie.