Executive People CIO Round Table: ‘Het gaat om de wil’

Meer nog dan technologie speelt cultuur , op alle niveaus in een organisatie, een rol bij het invoeren van cloud computing. De deelnemers aan de Executive-People CIO Round Table spraken hier onlangs bij gastheer Equinix over met cloudpionier Theo Smit, directeur IT Strategy van NXP.

De hoofdspreker bij de meest recente Executive-People CIO Round Table was Theo Smit. Hij experimenteerde als directeur IT Strategy van NXP al in 2002 met cloudoplossingen. Hij vertelde de aanwezigen hoe hij al vroeg aan de slag is gegaan met een oplossing die geldt als voorloper van de huidige cloudtechnologie. Toen hij de verantwoordelijkheid kreeg voor de IT bij NXP was zijn eerste opdracht om erop te gaan bezuinigen, omdat de directie IT twee keer te duur vond. Hierna is hij gaan kijken waar op dat vlak besparingen waren te realiseren.

“We waren goed in het uitvoeren van taken en in innoveren,” vertelde hij de aanwezige CIO’s, “maar alleen deden we vijftig keer op dezelfde manier op vijftig verschillende plekken. De conclusie was dus al snel dat we moesten gaan consolideren. Je kunt nu eenmaal niet alles overal tegelijk doen. We zijn daarom begonnen met het samenbrengen van infrastructuur en applicaties. Mijn ervaring is dat het daar begint.”

“Dat stadium levert eigenlijk veel meer op dan de cloud zelf. Daarbij hebben we er tegelijkertijd voor gezorgd dat we alles op één platform hebben gebracht. Op die manier is het later eenvoudig om te zetten. Een van de belangrijkste voordelen van een cloudoplossing die hij zag was de schaalbaarheid, dankzij de schaalgrootte van de aanbieder. “Waar je zelf 5.000 computers hebt, heeft de cloudleverancier er 100.000.”

Governance

Hij benadrukt dat er, net als bij outsourcing, één aspect cruciaal is: de wil in de organisatie om het te doen. “Overal werken mensen op een bepaalde manier, en vervolgens zeg je tegen ze: ‘laat anderen het maar doen, want dan gaat het beter.’ Dat is dus niet zo. Overal stuit je dan op weerstand. Het gaat om de wil, dus governance is uitermate belangrijk, ook bij cloud. Anders ben je alleen maar de boodschapper die de klappen opvangt. Want het is de business die de beslissingen neemt. Zij gaan uiteindelijk over de trade off tussen benefits en risico’s. Dat kun je als IT’er niet doen.”

Een van de deelnemers aan de CIO Round Table heeft ervaring met de combinatie cloud en outsourcing bij de overheid, en hij bevestigt dat de wil om het te doen erg belangrijk is: “Er zit veel emotie omheen. Bij de overheid speelt in dat verband bijvoorbeeld nog de beruchte cloudbrief van toenmalig minister Donner uit 2011, die is heel knellend.”

Patriot Act

Een ander heikel punt rond cloudcomputing is al jaren de Patriot Act, voegt een andere deelnemer toe. “Een belangrijke recente verandering is in die wetgeving nu wel dat er een gerechtelijk  bevel aan ten grondslag moet liggen. Overigens is die Patriot Act, ondanks de buitenproportioneel grote aandacht die deze wet heeft gekregen, in praktijk maar zeer beperkt gebruikt. Vorig jaar zijn er slechts zes aanvragen geweest, waarvan er niet meer dan één is gehonoreerd.”

Uiteraard was ook het onderwerp privacy onderdeel van de discussie. Daar heeft Equinix als een van de vier datacenters van de overheid mee te maken. Equinix is een zogenoemd RODC (Rijksoverheidsdatacenter). De Rijksoverheid heeft te maken met een felle discussie in het publieke debat. Iedere IT-deskundige bij de overheid begrijpt dat, met wie je ook zaken doet, je altijd te maken hebt met bedrijven uit de Verenigde Staten. Het is niet meer mogelijk iets met IT te doen zonder Amerikaanse bedrijven. Daar staat het publiek echter sceptisch tegenover.”

Cultuur

Maar niet alleen cultuur en privacy zijn voor de deelnemers aan de discussie een issue. Een CIO zegt: “Los van de wil in een organisatie zie je ook dat heel veel leveranciers je een bepaalde kant op dwingen. Zij leveren heel specifieke diensten die je over een tijdje alleen nog maar als clouddienst kunt afnemen. Dat gaat om een wezenlijk deel van mijn business. En ik moet vervolgens aan mijn gebruikersorganisatie uitleggen dat we hierin helemaal geen keuze hebben. Het is onomkeerbaar. Het is geen ‘willen’ meer.”

Prins vervolgt zijn casus met de start van het project. NXP is begonnen met het outsourcen van de planningsdata bij Amazon, wat een kostenreductie opleverde van 250.000 euro per jaar naar 10.000 euro per jaar. Alles verliep ook nog eens sneller en omdat het om metadata gaat zijn dat geen gevoelige gegevens waar kwaadwillende iets mee kunnen. Dat is dus bij uitstek een workload die je gelijk in de cloud kunt zetten.”

Wetgeving

Over de kwestie van de privacy zegt hij zelf: “De EU is nog steeds bezig om de wetgeving aan te passen. Die privacywetgeving is al vrij ver. Het echte risico zit bij ons in de business data. En daarbij gaat het niet primair over de security, want aan de security en maturity van organisaties als Amazon en Microsoft kun je niet tippen. Zelfs met een IT-afdeling van duizend man haal je niet dezelfde mate van kwaliteit en stabiliteit. Het kernpunt voor ons was de liability en de aansprakelijkheid. Aanbieders accepteren geen aansprakelijkheid. Dàt is wat ik nog steeds mis bij de wetgeving van de Europese Commissie. Het gaat vooral om privacy, niet om business data en IT.”

Die discussie is niet nieuw, want ook outsourcing speelde al de discussie met aanbieders over aansprakelijkheid. Een van de deelnemers zegt: “Outsourcers nemen nooit de verantwoordelijkheid van je over. Je kunt weliswaar onderhandelen over de mate van liability, maar die draag je nooit volledig over.”

Verantwoordelijk

De organisatie blijft dus altijd zelf verantwoordelijk. Dat schept verplichtingen. Een andere CIO zegt: “De betrokken stakeholders geven jou geld, en ze willen niet dat je daar risico mee loopt. Je moet dus altijd in control blijven. Maar dat kan niet als de terms and conditions unilateraal gewijzigd worden. Dan moet je onderhandelen. Dat lukt soms nog bij outsourcing, maar bij cloud wordt dat al lastiger.”

Ook bij deze discussie komt de gebruiker zelf ter sprake, en nog steeds blijkt dat eigenlijk de zwakste schakel te zijn, op alle niveaus in een organisatie. “Heel weinig mensen zijn zich ervan bewust wat ze allemaal delen zegt een deelnemer. “Ze sturen bijvoorbeeld bij offerte-aanvragen vertrouwelijke documenten op aan bedrijven die ze alleen kennen van internet, omdat die zo goedkoop zijn. Zo komen zaken ongewild naar buiten.”

Gevoelige data

Een andere deelnemer werkt in een bedrijf waar veel gevoelige data omgaat. Daarom was er veel geïnvesteerd in allerlei technische oplossingen voor de beveiliging van die data, maar vervolgens deed zich een dreigend datalek voor omdat de CEO zelf in het vliegtuig werkte op zijn tablet met die data, en bij het uitstappen zijn tablet liet liggen in het toestel.

“Uiteindelijk gaat het altijd om het gedrag van mensen. In het hele proces zit een belangrijk onderdeel dat niet door enige wetgeving wordt afgedekt, namelijk: hoe werk je met elkaar samen? Wanneer je die basisfunctionaliteit van samenwerken niet goed regelt zul je altijd discussies hebben. Dan krijg je bijvoorbeeld de situatie dat een bedrijf niet in de cloud wil omdat dit gevoelsmatig niet veilig is, maar worden bestanden wel op Dropbox gezet omdat de medewerkers ze willen delen.”