Redactie - 25 maart 2020

Zorg voor de juiste basis voor cloud

Bob van Graft is sinds kort CIO bij het CBR. Daarvoor was hij onder meer CIO bij het SSC ICT, de IND en de Vrije Universiteit (VU). In zijn carrière heeft hij al diverse malen te maken gehad met de Journey to the Cloud. Met Dutch IT-channel sprak hij over zijn ervaringen, en de tips die hij collega-CIO’s zou meegeven in een vergelijkbaar traject.

Bij de Vrije Universiteit (VU) Amsterdam bijvoorbeeld heeft hij een aantal jaren geleden de cloudstrategie geformuleerd. “We hebben daarbij gekeken naar vragen als ‘wat betekent cloud’, en ‘hoe moet je daar als organisatie mee omgaan’?” Die visie op cloud is in 2016 vastgelegd en heeft geleid tot het invoeren van een cloud-tenzij beleid. “Dat had onder meer als achtergrond dat cloud in de wereld van het onderwijs gemeengoed aan het worden was. Veel instellingen maakten gebruik van toepassingen uit de cloud.”

Basisinfrastructuur

Hij vervolgt: “Dat kun je dus niet tegenhouden. Beter is het om die ontwikkeling mogelijk te maken en bij te sturen. Dat betekent dat je goed naar zaken als security en privacy kijkt. Daarnaast moet je basisinfrastructuur heel goed op orde zijn. De verbindingen met je cloudleverancier moeten goed zijn, je toegangsbeleid moet op orde zijn, en op het niveau van de applicaties moet je kijken naar de toegang: kies je voor single sign on, of heb je te maken met een toepassing op basis van authenticatie.”

Dat zijn belangrijke vragen die volgens hem eerst op orde moeten zijn, voordat je kunt gaan denken aan succesvol gebruik van de cloudapplicaties zelf. “Vanaf 2016 zijn we daarmee aan de slag gegaan, inclusief grote aanbestedingen voor vervangen van het leermanagementsysteem op basis van die randvoorwaarden.”

Visie

“Je moet zelf een goede visie hebben op de ontwikkelingen die op je afkomen. In die tijd was cloud onontkoombaar, je moet er op inspelen. We wilden verrassingen vorkomen, want in die tijd gebeurde het nogal eens dat mensen zelf met hun creditcard cloudapplicaties aanschaften. Dat wilde ik voorkomen door een ordentelijk proces op te zetten, waarmee cloud beschikbaar zou komen.”

In het onderwijsveld, zeker op universitair niveau, was in die tijd al wel veel ervaring met de cloud, en met de vooral Amerikaanse aanbieders. “Het was met name belangrijk om te kijken naar de toepassingen. Want als het gaat om data die een bepaalde mate van gevoeligheid hebben moet je daar afspraken over maken. En met de komst van de AvG werd dat nog urgenter. Dus wanneer je te maken hebt met kroonjuwelen is het de vraag of je die in de cloud wilt hebben, en als je ze in de cloud zet moet dat veilig gebeuren.”

Data

“In een gesprek met een wetenschappelijk onderzoeker werd me dat ook een keer uitgelegd. De data op zich, die zij verzamelen, is vaak openbaar beschikbaar. Het wordt interessanter als er selecties gemaakt worden en die uiteindelijk uitmonden in publicaties. In die verschillende fasen moet je onderscheid maken als je gebruik maakt van cloud, en goed nadenken over wat het betekent.”

“Dat is anders dan een aanbesteding doen voor een omgeving waar je studenten in werken. Die wil je vooral toegang geven tot een goede omgeving. Daarbij gaat het om lesmateriaal dat al gelicenceerd of openbaar beschikbaar is. Dat is anders dan die wetenschappelijke publicaties. In die gevallen denk je eerder aan een eigen omgeving, bijvoorbeeld in samenwerking met Surf in Nederland. Op die manier kun je dingen in Nederland opslaan, terwijl het via webtoegang beschikbaar is. Dan heb je het over een hogere beveiligingsclassificatie van data.”

Uitdaging

Een uitdaging waar hij mee te maken kreeg is dat er een duidelijke link ligt met eindgebruikers-IT. “De gebruikers zien iets, en willen daar graag ook in hun zakelijke omgeving gebruik van maken. En als ze een applicatie zien die beter is nemen ze snel afscheid van de oude applicatie. Daar moet je wel met elkaar over in gesprek gaan, want dat kan niet altijd zo makkelijk. De ontwikkeling van cloudapplicaties staat echter niet stil.”

“Ook in die discussie kijk je dus naar de brondata, je kijkt naar de manier waarop je aan de voorkant toegang wilt krijgen tot die data, en je wilt dat je dat proces goed in de hand houdt, dus dat het veilig is. Dat laatste is essentieel. In de eerste plaats maak je daar met je leverancier afspraken over, inclusief compliance met wet- en regelgeving. Dat zijn belangrijke parameters om te beslissen of je wel of niet met een bepaalde leverancier in zee wilt gaan.”

Voorbereid

Volgens hem is de belangrijkste tip om weloverwogen aan de slag te gaan met cloud. “Wees goed voorbereid. En kijk ook goed wat je wilt bereiken met de oplossing. Zeker in de industrie waar wij inzitten is het geen kortetermijn-werk, je koopt niet iedere dag iets nieuws. Kijk dus naar oplossingen die drie tot vijf jaar bruikbaar zijn. Ook moet de oplossing voor die periode schaalbaar genoeg zijn.”

Hij heeft een nuchtere visie op cloud: “Uiteindelijk is het eigenlijk oude wijn in nieuwe zakken. Het is in de basis-infrastructuur, die door een ander wordt gehost. Je legt daarmee dus een deel van de verantwoordelijkheid bij iemand anders neer. Dat moet je je goed realiseren. Je hebt nog steeds te maken met servers, strorage en toegang tot de data.”

“Als CIO moet je bij je opdrachtgever met de hand op het hart kunnen aangeven dat de security minstens zo goed is geregeld als wanneer het in je eigen datacenter zou staan. En bij de cloudproviders is de datacentertechnologie heel goed geregeld, daar kun je eigenlijk zelf niet tegenop. Het gaat om de schakel tussen datacenter en de eigen organisatie. Zorg voor orchestration, om in te spelen op onverwachte situaties.”

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024