CIO Bob van Graft over cloud strategie CBR
Een verschuiving van 'bare metal' in een eigen rekencentrum naar de beschikbaarheid van enorme hoeveelheden rekenkracht in geoutilleerde datacenters elders. Zo omschrijft Bob van Graft de cloudgang die ook zijn organisatie maakt. Dutch IT-channel sprak met de CIO van het Centraal Bureau Rijvaardigheidsbewijzen (CBR) over de schaalbaarheid van cloud computing, maar ook over de risico's van (vooral) data-uitwisseling in de cloud.
Volgens Van Graft is de verplaatsing van IT-infrastructuren van on-premises naar cloud een verandering die we niet moeten onderschatten. “Vroeger had iedere organisatie z'n eigen datacenter: eigen rekken waar de organisatie zelf volledig verantwoordelijk voor was. Dat is een groot contrast met de enorme hoog beveiligde datacenters van partijen als Google Cloud Platform (GCP), Amazon Web Services (AWS) en Microsoft Azure, waar tegenwoordig het 'ijzer' staat. Tegelijk zijn de systemen die we voor innovatieve toepassingen zoals AI, ontwikkelingen als Internet of Things (IoT) en datacentrisch werken nodig hebben, veel te groot en complex geworden voor onze eigen bescheiden infrastructuur. We zijn niet meer voldoende geoutilleerd om zulke grote projecten goed uit te voeren; we hebben er de mensen en middelen niet meer voor. Dankzij de verschuiving van 'bare metal' vanuit het eigen rekencentrum naar IaaS, PaaS en SaaS-ontwikkelingen, hebben we de schaalbaarheid en flexibiliteit om dingen te doen die écht innovatief zijn.”
'Domeinstrategie Cloud'
Het CBR heeft al langer applicaties als HRM en Microsoft Office 365, zoals Microsoft Teams, in de cloud draaien. “Bij alles wat we doen, is cloud op z'n minst een optie”, vat Van Graft de ‘domeinstrategie Cloud’ van het CBR samen. “Onze strategie is bovendien heel bewust 'multi-cloud'. We maken ondertussen al gebruik van Google Analytics, draaien BI-processen in AWS en maken bescheiden gebruik van Azure. We kúnnen ons eenvoudigweg niet richten op uitsluitend één vendor. Bovendien zijn we bezig met nieuwe ontwikkelingen aan de edge-kant. Richting de toekomst wil het CBR kijken naar digitale informatie afkomstig uit auto’s gekoppeld aan de rijexamens met als doel het verhogen van de rij- en verkeersveiligheid. Hierbij komt veel nieuwe technologie kijken, zoals 5G en IoT. Dergelijke ontwikkelingen hebben we ook meegenomen in onze Cloud- en innovatiestrategie.
Net als veel andere organisaties kiest het CBR dus voor multi-cloud. Maar hoewel daarvoor een verscheidenheid aan expertise nodig is, is de IT-organisatie nog behoorlijk 'gesiloot', zoals Van Graft het noemt. “Daarom starten we de komende tijd met een competence center, een expertiseteam dat zich helemaal richt op cloud, dat alle ontwikkelingen rond cloud nauwgezet volgt en dat een prominent onderdeel moet worden van onze héle organisatie. De mensen bij het CBR die het aangaat zijn daar blij mee, heb ik al gemerkt. Het is goed dat het cloudproces in beweging komt. Cloud is nog altijd nieuw voor veel mensen. Medewerkers weten niet wat het gaat betekenen, maar vinden het ook wel een interessante 'journey'. We gaan mensen opleiden en meenemen in die reis.”
Business
Minstens zo belangrijk is dat ook de business bij het hele proces wordt betrokken in de reis naar de Cloud. “Daar is het nog wel zoeken”, erkent Van Graft. “Hoe krijgen we de business goed 'aligned' met de bewegingen die wij als IT-managers maken? Hoe vergroten we sámen de slagkracht van onze organisatie? Dat is momenteel een belangrijke dialoog in de héle CBR-organisatie: met onze Directie, divisiemanagers, informatiemanagement, functioneel beheer, ontwikkelaars, noem maar op.”
In het document 'Domeinstrategie Cloud' heeft het CBR een Cloud strategie voor de komende jaren uitgestippeld. Het beschrijft waar het CBR met z'n dienstverlening in de toekomst naartoe wil en hoe de informatievoorziening eruit moet zien. Van Graft: “Cloud is een zeer substantieel onderdeel van de veranderingen die we doormaken. Kijk alleen al naar onze samenwerking met marktpartijen als rijscholen en ketenpartners zoals het Openbaar Ministerie (OM), Politie en de Rijksdienst voor het Wegverkeer (RDW). Internationaal hebben we veel te maken met organisaties voor de beroeps- en recreatievaart en instanties die brevetten voor piloten uitreiken. Die samenwerking valt of staat met data-uitwisseling, waarbij veiligheid en integriteit voorop staat”.
Risico's
Maar data-uitwisseling brengt ook risico's met zich mee. “Data-uitwisseling in de cloud is als werkterrein nog tamelijk onontgonnen”, vindt Van Graft. “We zijn ons bewust dat we steeds moeten toetsen, dat we bij elke uitbreiding een risico-afweging moeten maken. Wat betekent een nieuwe cloudaansluiting van bijvoorbeeld een Workforce- of CRM-pakket voor onze organisatie? Wat doen we zelf en wat laten we doen, en hebben we wellicht te maken met (deels) Amerikaanse of andere buitenlandse leveranciers? Wat is het afbreukrisico van een keuze? Toepassen van AVG-regels is essentieel. Hoe maken we met de AVG-regels in de hand verantwoord gebruik van cloud, hoe zorgen we voor goede contractuele afspraken en hoe beschermen we onze data? Is er sprake van doorgifte van data bij de ontwikkeling van nieuwe systemen, dan is het elke keer een puzzel om uit te vinden wat volgens de AVG wel en niet mag. Niet alleen wij als IT-afdeling stellen kritische vragen, maar ook de directie, de Raad van Toezicht en het ministerie van Infrastructuur en Waterstaat (IenW), onze opdrachtgever.”
De écht privacy-gevoelige data, zoals persoonsgegevens van medische aard, blijven binnen de containers van het CBR zelf. “Maar voor de verwerking gebruiken we naar de toekomst toe mogelijk wel cloudcapaciteit. Dus je ziet: de afweging wat wel en niet kan is soms spannend.” Over de kosten van cloud computing wil Van Graft tot slot kwijt dat hij graag een stip op de horizon ziet, een 'kantelpunt' vanaf waar cloud meer lonend is dan on-premises. “Helaas hebben we geen overkoepelend 'cost management platform', waar AWS, Azure, Google en andere cloudaanbieders allemaal in zitten. We moeten daarom per domein de juiste afspraken maken. Doe dat op tijd, want een belangrijke les uit het verleden geldt ook voor cloud computing: je begint altijd klein, maar voor je het weet wordt het groter en groter inclusief het oplopen van de rekening.”
Auteur: Jeroen Bordewijk en Witold Kepinski
