In deel 1 (donderdag 28 juli 2011) is besproken wat cloud computing precies inhoudt en hoe de eigenschappen kunnen worden vertaald naar financiële baten. In het tweede deel kijken we naar de risico’s en wat hun invloed is op een business case. Net zoals bij de analyse van kosten en baten, is het belangrijk om ook het risico te vertalen naar concrete financiële gevolgen.
Het probleem met risico’s is dat deze bijna altijd kwalitatief blijven, terwijl we voor de business case naar geldbedragen zoeken. De oplossing zit in een risicoanalyse, waarbij maatregelen worden gedefinieerd om risico’s tot een acceptabel niveau te reduceren. De kosten van de benodigde maatregelen zijn over het algemeen goed te kwantificeren en zo komen we alsnog tot nuttige input voor onze business case. Onderstaand bespreken we aan aantal risicothema’s.
Beheer en regie
Cloud computing wordt wel aangehaald als een manier om te besparen op beheeractiviteiten. Wat sommigen zich wellicht niet realiseren, is dat het ontslaan van personeel in Nederland geen sinecure is. In de praktijk blijkt dat de ontslagkosten dusdanig hoog zijn dat de kans op een positieve business case bijna altijd verkeken is. De enige manier om de business case toch nog rond te krijgen is door vrijgekomen it-personeel in te zetten op andere plaatsen in de organisatie, waarbij zij een rechtstreekse bijdrage kunnen leveren aan andere bedrijfsdoelen. Het mes snijdt dan aan twee kanten: geen ontslagkosten maar wel additionele baten. Outsourcing van beheer vereist overigens dat er regie moet worden gevoerd over de afgenomen diensten. Regie is een hoogwaardige expertise, waarvoor opleidingskosten moeten worden opgenomen of nieuw personeel moet worden aangenomen.
Daarnaast is er altijd een vorm van beheer nodig. Zowel bij IaaS, PaaS als SaaS diensten zijn technisch beheer van de infrastructuur inbegrepen. Echter applicatiebeheer en beheer van werkplekken blijft bij iedere variant noodzakelijk. Afhankelijk van het gekozen servicemodel kan ook beheer van besturingssystemen en platformen noodzakelijk blijven. De daartoe benodigde expertise moet daarom voorhanden blijven, hetzij bij eigen personeel, hetzij via een dienstverlener. De kosten variëren van een inspanning voor kennisborging tot het in de arm nemen van een partij die het beheer kan uitvoeren.
Service levels
Omdat cloud computing het McDonald's-concept in it-land is, brengt het ook de beperkingen van operational excellence met zich mee. Er wordt een sla (service level agreement) aangeboden maar over het algemeen is er geen ruimte voor maatwerk op de sla. Om in de McDonalds-metafoor te blijven: 'je kunt de hamburger ook zonder augurkje krijgen, maar daar houdt het wel zo'n beetje mee op'. Dit is de prijs die zowel aanbieder als afnemer betalen voor operational excellence. De afnemers van cloud-diensten moeten zich dus terdege realiseren dat zij zelf verantwoordelijk zijn voor de afweging of een aanbod past bij de behoefte. In de business case moet rekening worden gehouden met de kosten voor dit uitzoekwerk en misschien ook met kosten voor het afdekken van risico's die niet door de sla worden gedekt.
Juridische risico’s en Vendor lock-in
Wanneer ik met klanten spreek over de juridische risico's, weet iedereen gelijk te noemen dat de Wet bescherming persoonsgegevens (Wbp) een knelpunt kan vormen. De informatie zou immers de landsgrenzen kunnen verlaten, wat mogelijk in strijd is met de wet. Wat weinigen zich realiseren is dat er een ander belangrijk risico bestaat: over het algemeen geldt de wetgeving van het land waar de informatie zich bevindt, wat kan betekenen dat er problemen ontstaan rond het toepasselijk recht. Bij twijfel is het raadzaam een jurist in de arm te nemen; de kosten hiervoor drukken uiteraard op de business case. Natuurlijk zou ook kunnen worden uitgezocht welke aanbieders zekerheid geven over de plaats waar informatie wordt opgeslagen.
Met name bij PaaS, waarbij applicaties specifiek worden ontwikkeld voor het platform van een cloud-aanbieder, is de kans groot dat er geen mogelijkheid meer is om te insourcen of over te stappen naar een alternatieve aanbieder. Ook bij andere servicemodellen kan dit een rol spelen. Een exit strategie is daarom een vereiste.
Integratieproblematiek
Als laatste wil ik integratieproblematiek noemen. Voorbeelden zijn applicatie-integraties, samenhang in het it-landschap en procesafhankelijkheden die bij gebruik van cloud computing niet langer alleen intern gericht zijn. Architecten, ontwikkelaars, beheerders en risk managers moeten hiermee leren omgaan. Een mogelijke maatregel is om cloud computing in eerste instantie alleen te gebruiken als uitwijk. Dit dwingt de organisatie om cloud computing-diensten te integreren met het bestaande it-landschap, zonder dat bestaande functionaliteiten ingrijpend wijzigen. Zo raakt de organisatie vertrouwd met de mogelijkheden en beperkingen. De periodieke uitwijk- en terugwijktest die bij een business-continuity plan hoort, maakt bovendien aannemelijk dat insourcing vanuit de cloud in ieder geval technisch mogelijk is.
De slotsom
Zoals iedere technologie kan cloud computing een zegen of een vloek zijn. Uitsluitsel daarover is niet uit een artikel of boek te halen. Uitwerken van een business case dwingt je om scherp te krijgen wat de technologie inhoudt en in hoeverre de eigenschappen meetbare voordelen voor de organisatie opleveren. Uiteindelijk ontstaat hiermee inzicht in de werkelijke waarde van cloud computing.
