Stappenplan voor de introductie van cloud-diensten in organisaties
Hiljo Lodewijk februari 2013
Stappenplan voor de introductie van cloud-diensten in organisaties
Onderwijsinstelling Rijksuniversiteit Groningen Faculteit Economie en Bedrijfskunde Opleiding MSc Business Administration Specialisatie Business & ICT
Auteur J.G.H. Lodewijk
Datum 6 februari 2013
Organisatie KoutersVanderMeer
Versie 1.0
Datum 6 februari 2013 Organisatie KoutersVanderMeer Bedrijfsbegeleiders Drs. A.J. van der Meer
Ing. R.G.J. Kuper
Auteur J.G.H. Lodewijk
E-mail j.g.h.lodewijk@student.rug.nl
Telefoon 06 12 44 11 66
Studentnummer s2050439
Onderwijsinstelling Rijksuniversiteit Groningen
Opleiding MSc Business Administration – Business & ICT
Studiejaar 2011 – 2012
Begeleider Prof. Dr. E.W. Berghout
Versiebeheer
Versie Wijzigingsdatum Samenvatting van wijziging
0.1 20 april 2012 Initiële versie met inleiding, methode van onderzoek en het definitie cloud
0.2 11 mei 2012 Aanpassing aan onderzoeksvragen en probleemstelling. Toevoeging van conceptueel model. Uitbreiding met onderwerp outsourcing.
0.3 29 mei 2012 Toevoeging aan definitie cloud met analyse, aanpassingen aan onderwerp outsourcing
0.4 14 juni 2012 Uitbreiding met voor- & nadelen en consequenties voor mensen, processen en technologie.
0.5 2 juli 2012 Voor- & nadelen aangepast volgens kwaliteitscriteria van NOREA.
Overige wijzigingen in structuur document.
0.6 10 juli 2012 Aanpassingen aan veranderingen in organisaties en toevoeging van analyse interview WSW en Microsoft
0.7 26 juli 2012 Toevoeging analyse interview DNB, automatische bronvermelding ingevoegd
0.8 27 augustus 2012 Toevoegingen aan veranderingen voor mensen, processen en technologie
0.9 21 december Toevoeging analyse en conclusie 1.0 10 januari 2013 Definitieve versie
Goedkeuring
Naam Handtekening Datum Versie
A.J. van der Meer 1.0
R.G.J. Kuper 1.0
E.W. Berghout 1.0
J.G.H. Lodewijk 1.0
Voorwoord
Deze scriptie gaat in op de introductie van cloud-diensten binnen organisaties. Ze onderzoekt wat het begrip ‘cloud’ inhoudt en hoe dit relatief nieuwe fenomeen veilig geïntroduceerd kan worden binnen organisaties.
Het afstudeeronderzoek is uitgevoerd in de periode februari 2012 tot en met september 2012 en is onderdeel van de Master of Business Administration aan de Rijksuniversiteit Groningen. Het onderzoek is uitgevoerd voor de organisatie KoutersVanderMeer.
KoutersVanderMeer is een jonge organisatie voor prestatieverbetering op het gebied van informatie management en auditors & auditorganisaties. Vanuit KoutersVanderMeer hebben Jeroen Kuper en Age-Jan van der Meer mij begeleid tijdens het onderzoek. Ik wil hen graag via deze weg bedanken.
Jeroen heeft mij dagelijks voorzien van feedback, goede discussies en antwoorden op vele vragen. Age-Jan heeft het interessante onderwerp aangedragen en tevens alle tussenversies van het onderzoek gelezen en voorzien van feedback. Daarnaast gaf hij richting aan het onderzoek waarbij hij ervoor zorgde dat het niveau van de scriptie continu verbeterde.
Tenslotte wil ik graag mijn begeleider vanuit de Rijksuniversiteit Groningen, Professor Berghout, hartelijk bedanken voor de gegeven adviezen, hulp en begeleiding van het onderzoek.
Het schrijven van deze master scriptie was een unieke kans om meer ervaring op te doen op het gebied van onderzoek. Het doen van dit onderzoek was niet altijd even gemakkelijk, maar het heeft mijn kennis vergroot en heeft mij ervaring gegeven om wetenschappelijke
theorieën met de praktijk te combineren en hieruit gefundeerde conclusies te trekken.
Ik wens u veel plezier met het lezen van deze master scriptie!
Vries, 6 februari 2013
J.G.H. Lodewijk
Samenvatting
In de laatste decennia is er een opkomende trend gaande om processen en
bedrijfsonderdelen uit te besteden met behulp van cloud-diensten. Het gebruik van cloud- diensten is echter nog betrekkelijk nieuw, waardoor er weinig inzicht is in de risico’s. In dit onderzoek is daarom onderzoek gedaan naar wat het begrip ‘cloud’ betekent en welke stappen organisaties moeten uitvoeren, zodat zij succesvol cloud-diensten kunnen
implementeren, waarbij er voldoende aandacht wordt geschonken aan risicobeheersing en de impact van het gebruik van cloud-diensten op het gebied van mensen, processen en technologie.
Door de recente ontwikkelingen is voor organisaties de vraag dan ook niet òf ze cloud- diensten gaan gebruiken, maar wanneer. Het begrip cloud-dienst blijkt in de praktijk nogal onduidelijk. Uit dit onderzoek blijkt echter dat onder cloud-diensten wordt verstaan:
Naast inzicht in het begrip cloud-diensten, is onderzoek gedaan naar verschillende voor- en nadelen, dan wel effecten op organisaties. Zo blijkt dat cloud-diensten voor een hogere beschikbaarheid zorgen, doordat tijd en plaats onafhankelijk gewerkt kan worden. Daarnaast kan IT gemakkelijker meegroeien met de grootte van organisaties en is beveiliging veelal beter geregeld bij leveranciers van cloud-diensten. Nadelen zijn er daarnaast echter te vinden op het gebied van beschikbaarheid, integriteit en controleerbaarheid. Zo is het voortbestaan van providers niet gegarandeerd doordat het business model nog niet volwassen is en zijn organisaties erg afhankelijk van de beschikbaarheid van
internetverbindingen.
Het belangrijkste nadeel en negatieve effect is echter het verlies van controle op gegevens welke zijn opgeslagen in de cloud. Organisaties worden door dit verlies van controle
afhankelijker van leveranciers en hebben minder tot geen inzicht in waar gegevens zich fysiek bevinden. Doordat cloud-leveranciers hiernaast weinig openheid van zaken geven over de veiligheid en status van cloud-diensten, kunnen organisaties slecht inzicht krijgen in de daadwerkelijke werking en beveiliging van de dienst. Openheid van zaken is noodzakelijk omdat een organisatie volledig zelf verantwoordelijk blijft voor de gegevens.
Om toch veilig cloud-diensten te kunnen gebruiken is in dit onderzoek een stappenplan geïntroduceerd, waarbij bij iedere stap diverse maatregelen worden genoemd. Indien organisaties deze maatregelen uitvoeren, kunnen zij cloud-diensten succesvol introduceren, waarbij er voldoende aandacht is voor risicobeheersing.
Clouds are a large pool of easily usable and accessible virtualized resources (such as hardware, development platforms and/or services). These resources can be dynamically reconfigured to adjust to a variable load (scale), allowing also for an optimum resource utilization. This pool of resources is typically exploited by a pay-per-use model in which guarantees are offered by the Infrastructure Provider by means of customized SLAs.
Inhoud
1 Inleiding ... 7
1.1 Probleemstelling ... 7
1.2 Vraagstelling ... 8
1.3 Doelstelling ... 8
1.4 Conceptueel model ... 8
1.5 Opbouw verslag ... 10
2 Methoden van onderzoek ... 11
2.1 Uitvoering van desk research ... 12
2.2 Uitvoering van interviews ... 13
3 Literatuuronderzoek ... 16
3.1 Wat is outsourcing? ... 16
3.2 Wat zijn cloud-diensten?... 19
3.3 Voor- en nadelen van cloud-diensten ... 28
3.4 Veranderingen voor mensen, processen en technologie ... 35
3.5 Stappenplan voor de introductie van cloud-diensten ... 42
4 Interviews ... 46
4.1 Analyse van interview WSW ... 46
4.2 Analyse van interview Microsoft ... 49
4.3 Analyse van interview DNB ... 52
5 Analyse ... 54
5.1 Analyse definitie outsourcing ... 54
5.2 Analyse definitie cloud-diensten ... 54
5.3 Analyse van de voor- en nadelen van cloud-diensten ... 57
5.4 Analyse van de gevolgen van het gebruik van cloud-diensten ... 60
5.5 Maatregelen met betrekking tot de risico’s door de introductie van cloud-diensten 63 6 Conclusies en aanbevelingen ... 67
6.1 Conclusie ... 67
6.2 Reflecties op het onderzoek en aanbevelingen voor vervolgonderzoek ... 69
Literatuurlijst ... 70
Bijlagen ... 74
1. Vragenlijst interview Microsoft en WSW... 75
2. Vragenlijst interview DNB ... 77
1 Inleiding
In dit onderzoek wordt het begrip cloud behandeld. Met het begrip ‘cloud’ wordt het afnemen van IT diensten via internet bedoeld. Het gebruik van deze cloud-diensten in organisaties is nog betrekkelijk nieuw (Heliview, 2012). Veelal worden informatiesystemen binnen organisaties zelf geïnstalleerd en beheerd (Marston, Li, Bandyopadhyay, Zhang, &
Ghalsasi, 2011). In de laatste decennia is er echter een trend gaande om processen en bedrijfsonderdelen uit te besteden aan leveranciers en dienstverlenende bedrijven (ook wel outsourcing genoemd) (Blair, O'Connor, & Kirchhoefer, 2011). Op het gebied van IT wordt dit gekenmerkt doordat bedrijven meer Software as a Service (SaaS) diensten gaan gebruiken. In deze vorm worden applicaties als dienst aangeboden door een externe dienstverlener. Met deze manier van werken wordt informatie buiten de organisatie opgeslagen, wat tot nieuwe mogelijkheden maar ook tot risico’s kan leiden.
In dit onderzoek zal het begrip ‘cloud’ worden gedefinieerd. Het begrip bestaat namelijk nog niet zo lang en lijkt een hype te zijn van de laatste jaren (Gartner, 2011); (De Jong, 2010).
Weinig organisaties hebben dan ook nog ervaring op het gebied van het introduceren en implementeren van cloud-diensten. Leveranciers van cloud-diensten laten veelal alleen de voordelen zien van het werken in de ‘cloud’ (Van Tuil, 2010). In het kader van deze scriptie zullen daarom zowel de voor- als de nadelen worden onderzocht en zal worden nagegaan welke risico’s deze vorm van uitbesteding met zich meebrengt. Veel organisaties vragen zich namelijk af, of het opslaan van gegevens op internet wel veilig is. Daarnaast is het onduidelijk welke consequenties het gebruik van cloud-diensten op de bedrijfsprocessen, het IT-
landschap en de organisatie heeft. Om de mogelijke gevolgen van het gebruik van cloud- diensten te kunnen beheersen, wordt tenslotte een stappenplan ontwikkeld waarmee mogelijke risico’s kunnen worden beheerst.
1.1 Probleemstelling
Uit de inleiding van het onderzoek komt naar voren dat begrip ‘cloud’ nog niet duidelijk gedefinieerd is. Naast het geven van een duidelijke definitie, dient tevens te worden
onderzocht wat de voor- en nadelen van cloud-diensten zijn. De gevonden nadelen brengen namelijk mogelijke risico’s met zich mee. Voor organisaties zijn deze risico’s echter niet duidelijk, omdat leveranciers veelal alleen de voordelen van cloud-diensten schetsen.
Organisaties weten hierdoor niet goed welke stappen genomen moeten worden, waardoor er ook onvoldoende aandacht is voor risicobeheersing. De probleem- en vraagstelling van het onderzoek zijn daarom als volgt:
Probleemstelling
Wat betekent het begrip ‘cloud’ en welke stappen moeten organisaties uitvoeren, zodat zij succesvol cloud-diensten kunnen implementeren, waarbij er voldoende aandacht wordt geschonken aan risicobeheersing en de impact van het gebruik van cloud-diensten op het gebied van mensen, processen en technologie.
1.2 Vraagstelling
Omdat bedrijven graag een beheerste en veilige introductie en gebruik willen van cloud- diensten binnen hun organisatie, is het essentieel dat er een goed stappenplan wordt gemaakt. Met dit stappenplan weten organisaties waaraan zij moeten voldoen, zodat zij veilig cloud-diensten kunnen gaan afnemen en gebruiken.
Op basis van het bovenstaande is de onderzoeksvraag voor deze scriptie als volgt geformuleerd:
Onderzoeksvraag
Welk stappenplan moeten organisaties volgen om de gevolgen (impact en risico’s) van cloud- diensten op de mensen, processen en techniek te beheersen?
Deelvragen
1. Welke definities zijn bekend van het begrip ‘cloud’?
2. Wat zijn de voor- en nadelen van het gebruik van cloud-diensten?
3. Welke veranderingen zijn er voor mensen, processen en techniek door de invoering van cloud-diensten?
4. Wat zijn de gevolgen (impact en risico’s) van het gebruik van cloud-diensten op mensen, processen en techniek?
5. Hoe kunnen deze gevolgen op het gebied van mensen, processen en techniek worden beheerst?
6. Aan welke eisen voldoet een succesvol stappenplan om de gevolgen goed te kunnen beheersen?
1.3 Doelstelling
Het uiteindelijke resultaat (doelstelling) van het onderzoek is het realiseren van een stappenplan voor organisaties zodat zij succesvol cloud-diensten kunnen implementeren, waarbij er in voldoende mate aandacht is voor risicobeheersing en een beheerste
implementatie kan worden gewaarborgd.
1.4 Conceptueel model
Het schema in deze paragraaf geeft het conceptuele model weer van het onderzoek. Het model geldt als leidraad en helpt inzicht te geven in de relatie tussen de verschillende delen in het onderzoek.
Het model laat zien dat het onderzoek start met het definiëren van outsourcing en cloud en de verschillende kenmerken, typen en lagen. Vervolgens wordt er onderzocht wat de voor- &
nadelen zijn en welke veranderingen er zijn op het gebied van mensen, processen en
techniek wanneer cloud-diensten worden geïntroduceerd. Daarna wordt er gekeken naar de gevolgen van het gebruik van cloud-diensten voor mensen, processen en techniek en hoe deze te beheersen zijn.
Op basis van de bovenstaande stappen, wordt vervolgens een stappenplan ontwikkeld. Dit stappenplan kan door organisaties worden gebruikt om cloud-diensten succesvol te implementeren, waarbij er voldoende mate aandacht is voor risicobeheersing.
Figuur 1: Conceptueel model van het onderzoek
1. Definitie
‘Cloud’? Voor- &
nadelen Kenmerken
Typen Lagen
2. Verandering
Nieuwe situatie Huidige situatie
People
Process
Technology
People
Process
Technology
3. Gevolgen
Beheersing
Risico’s - … - … - …
People
Process
Technology Risico’s
- … - … - …
4. Stappenplan
1. 2.
3.
1.5 Opbouw verslag
In dit rapport wordt eerst een literatuuronderzoek uitgevoerd, waar het begrip ‘cloud’
gedefinieerd wordt. Aansluitend worden de voor- en nadelen van cloud-diensten onderzocht.
Vervolgens wordt met behulp van literatuur en interviews de veranderingen, gevolgen en risico’s voor organisaties onderzocht. Tevens wordt onderzocht hoe de gevonden gevolgen en risico’s kunnen worden beheerst, zodat een beheerste implementatie van cloud-diensten in een organisatie kan worden gewaarborgd. Afsluitend zullen de resultaten van het
onderzoek worden weergegeven, samen met een stappenplan om cloud-diensten succesvol te introduceren.
In het laatste hoofdstuk worden de conclusies getrokken en worden de deel- en onderzoeksvragen beantwoord.
In de bijlagen van dit onderzoek is relevante achtergrond informatie opgenomen, samen met een literatuurlijst met de voor dit onderzoek geraadpleegde literatuur, internetsites en artikelen.
2 Methoden van onderzoek
Om een antwoord te kunnen geven op de onderzoeksvraag is gebruik gemaakt van verschillende informatieverzamelingsmethodieken zoals beschreven in het “Basisboek methoden en technieken” van Baarda en de Goede (2001). Hierin wordt een aantal methoden van dataverzameling genoemd. Deze zijn volgens Baarda en de Goede (2001):
- Gebruik van bestaande literatuur (secondairy information/desk research);
- Verkrijgen van informatie door observeren (primary information/field research);
- Verkrijgen van informatie door schriftelijke of mondelinge interviews (primary information/field research).
Iedere deelvraag in het onderzoek vereist een andere manier van dataverzameling. Voor de definiëring van het begrip ‘cloud’ is in dit onderzoek bijvoorbeeld literatuur gebruikt voor een theoretische benadering. Om de gevolgen van het gebruik van cloud-diensten te bepalen zijn interviews gehouden met leveranciers en afnemers van cloud-diensten, evenals
toezichthoudende partijen op organisaties.
In de navolgende tabel (Tabel 1) wordt een overzicht gegeven van de gebruikte methoden per deelvraag.
Desk research Field research Definiëring cloud Literatuur onderzocht voor
theoretische benadering Voor- en nadelen cloud Literatuur onderzocht voor
theoretische benadering
Interviews met afnemende, leverende en
toezichthoudende organisaties.
Verandering binnen organisaties
Literatuur over verandering door cloud onderzocht
Interviews met afnemende en toezichthoudende organisaties
Gevolgen van gebruik van cloud binnen organisaties
Literatuur over risico’s van cloud onderzocht
Interviews met afnemende en toezichthoudende organisaties
Beheersing van gevolgen Interviews met afnemende,
leverende en toezichthoudende organisaties Stappenplan voor cloud-
diensten
Literatuur over stappenplannen voor software introductie
Interviews met afnemende en leverende organisaties over de genomen stappen.
Conclusie en aanbevelingen Gebruik van alle gevonden informatie
Gebruik van alle gevonden informatie
Tabel 1: Gebruikte methoden per deelvraag
2.1 Uitvoering van desk research
Om het begrip ‘cloud’, de voor- en nadelen en veranderingen duidelijk te kunnen definiëren is een literatuur onderzoek uitgevoerd. Een literatuuronderzoek is “een onderzoek waarbij bestaande literatuur overzichtelijk in kaart wordt gebracht” (Verschuren & Doorewaard, 2007).
De eerste stap in het onderzoek is gemaakt door niet-wetenschappelijke literatuur te raadplegen zoals websites en opiniebladen. Hierdoor is zicht gekregen op de huidige stand van zaken, omvang, problemen en actuele ontwikkelingen op het gebied van cloud-diensten.
Voorbeelden van geraadpleegde websites en opiniebladen zijn Computable (www.computable.nl), Webwereld (www.webwereld.nl) en BPM Institute (www.bpminstitute.org).
Vervolgens is wetenschappelijke literatuur geraadpleegd om het probleem binnen het onderzoek te conceptualiseren. Daarvoor is gebruik gemaakt van verschillende bronnen, zoals Business Source Premier, Google Scholar en Emerald.
Zoekwoorden die gebruikt zijn tijdens het zoeken binnen deze bronnen zijn onder andere:
outsourcing, definition outsourcing, uitbesteding, cloud computing, cloud computing business, definition cloud computing, voordelen cloud, advantages cloud, effects cloud, effects cloud on business, impact cloud computing, risico’s cloud computing.
Bij het terugkrijgen van de resultaten van zoekopdrachten is een selectie aangebracht.
Hierdoor is geprobeerd om artikelen te selecteren welke relevant zijn voor het onderzoek en een goede kwaliteit hebben. De gebruikte criteria voor deze selectie zijn:
- Alleen artikelen uit het Engels en Nederlands
Alleen artikelen uit het Engels en Nederlands zijn geraadpleegd. Artikelen in andere talen zijn niet geraadpleegd en buiten beschouwing gelaten.
- Hoog aantal malen geciteerd
Wanneer mogelijk is gekeken naar het aantal malen dat een artikel is geciteerd. Een artikel wat veel geciteerd wordt, wordt door ander auteurs als gerenommeerd en waardevol gezien. Veelal blijkt dan eveneens dat het artikel kwalitatief goed is.
- Gebruikte zoekwoord(en) komen terug in de titel en/of samenvatting van het artikel Zoekwoorden welke terugkomen in de titel of samenvatting van het artikel geven aan dat deze ook daadwerkelijk over het onderwerp gaan. Bij artikelen waar het zoekwoord niet in de titel en samenvatting terugkomen zijn buiten beschouwing gelaten.
- Weergegeven informatie in de samenvatting van het artikel heeft toegevoegde waarde voor het onderzoek
Door de informatie in de samenvatting is op te maken of het artikel relevant is voor het onderzoek. Het zoekwoord ‘cloud’ resulteert soms ook in artikelen in de richting van klimaatonderzoek. Deze artikelen zijn dan eveneens niet geraadpleegd.
Verder moet worden opgemerkt dat niet ieder geraadpleegd artikel, ook daadwerkelijk is gebruikt binnen het onderzoek. Sommige artikelen zijn gebruikt ter oriëntatie binnen het onderzoek en sommigen zijn gebruikt voor de sneeuwbalmethode om meer relevante literatuur te verkrijgen.
In de navolgende tabel (tabel 2) is een overzicht gegeven van enkele gebruikte zoekwoorden en hun bronnen. Bij ieder zoekwoord is aangegeven hoeveel resultaten er zijn en hoeveel artikelen er zijn geraadpleegd.
Bron Gebruikt zoekwoord Resultaten Geraadpleegd
Google NL definitie uitbesteding 325.000 4
Google NL definitie cloud computing 34.900 13
Google Scholar outsourcing 225.000 12
Google Scholar cloud computing 76.800 17
Google scholar risks of cloud computing 19.900 8
Bus. Source Premier outsourcing 37.323 11
Bus. Source Premier cloud computing 4.100 21
Bus. Source Premier definition cloud computing 20 4
Bus. Source Premier effects cloud on business 3 0
Emerald outsourcing 4.737 9
Emerald cloud computing business 151 5
BPM Institute cloud 24 5
Computable cloud 121.000 7
Tabel 2: Aantal resultaten van zoekwoorden
Naast het zoeken in bronnen is er gebruik gemaakt van de sneeuwbalmethode om meer relevante literatuur te verkrijgen. Literatuur is hierbij geselecteerd op basis van de toevoeging aan het onderzoek en of het als gerenommeerde bron wordt aangehaald.
Hierdoor kan een duidelijk beeld worden verkregen wat de betekenis is van verschillende gerelateerde begrippen.
Tenslotte kan worden opgemerkt dat een aantal artikelen met verschillende zoekwoorden te vinden zijn. Zo valt op dat het artikel ‘NIST definition of cloud computing’ (Mell & Grance, 2009) te vinden is in zowel de bronnen Business Source Premier en Google Scholar met zoekwoorden als ‘cloud computing’, ‘cloud computing definition’ en ‘risks of cloud computing’. Het artikel van Armbrust (A View of Cloud Computing, 2010) is daarnaast via diverse zoekwoorden te vinden. Deze relevante artikelen kunnen dan tevens worden aangemerkt als gerenommeerd. De informatie uit deze artikelen is waardevol geweest voor het onderzoek.
2.2 Uitvoering van interviews
Met behulp van interviews met klanten en relaties van KoutersVanderMeer is aanvullende informatie verzameld en is de gevonden literatuur gecontroleerd met ervaringen uit de praktijk. Hierbij zijn bedrijven benaderd die leverancier of afnemer van cloud-diensten zijn of toezichthouder zijn op deze afnemers. Door middel van interviews kan een grote
hoeveelheid aan informatie worden verkregen, in plaats van de data die verkregen wordt bij kwantitatief onderzoek (Bryman & Bell, 2007).
Tijdens de onderzoeksperiode zijn de gehouden interviews afgenomen op een semi-
gestructureerde wijze (Saunders et al., 2006). Dit betekent dat er op voorhand een vragenlijst is gemaakt voor de interviews. Deze vragenlijst is opgesteld op basis van de gevonden
informatie tijdens het literatuuronderzoek. De vragenlijst werd gehanteerd tijdens de interviews maar was niet bindend. Op basis van de antwoorden tijdens het interview werd bepaald welke vragen verder relevant waren. Eventueel is op bepaalde vragen dieper
ingegaan om meer informatie te verkrijgen. De vragen zijn niet in een vaste volgorde gesteld, maar aan het eind van ieder interview is gecontroleerd of de relevante vragen allemaal gesteld waren.
Na de analyse van de interviews zijn deze ter controle naar de geïnterviewden gestuurd. Op deze manier is de primaire informatie gecontroleerd op eventuele fouten of onjuiste interpretaties.
Typen organisaties
In dit onderzoek is ervoor gekozen om interviews te houden met toezichthoudende,
leverende en afnemende partijen van cloud-diensten. Op deze manier kon duidelijk in beeld worden gebracht wat de standpunten zijn van verschillende organisaties.
In het onderzoek is van iedere invalshoek geprobeerd om minstens één partij te interviewen zodat hun standpunt over cloud-diensten kon worden beschouwd. Vanuit de kant van de leveranciers is geprobeerd om voordelen en veranderingen van cloud-cloud aan te vullen.
Via interviews met organisaties waar cloud-diensten reeds geïntroduceerd zijn, werd geprobeerd om een evenwichtig beeld te verkrijgen de positieve en negatieve kenmerken.
Daarnaast kon informatie worden verzameld over de mogelijke risico’s en welke stappen er zijn genomen bij de introductie van cloud-diensten. Doormiddel van interviews met
toezichthouders is geprobeerd een meer algemeen beeld van cloud-diensten te krijgen.
Toezichthouders hebben namelijk met meerdere organisaties te maken. Hierdoor kon hier informatie verzameld worden over de kenmerken, voor- en nadelen en risico’s van cloud- diensten.
Er is in het onderzoek gekozen voor kwaliteit van organisaties en geïnterviewden, eerder dan kwantiteit. Dit betekent dat ervoor is gekozen om grote en/of belangrijke spelers te
interviewen op het gebied van toezichthoudende en aanbiedende partijen. Op het gebied van afnemende partijen is gekozen voor ervaren organisaties, welke al enige tijd gebruik maken van cloud-diensten.
In de navolgende tabel is te zien welke organisaties zijn geïnterviewd (tabel 3).
Type organisatie Geïnterviewde organisatie
Cloud afnemende partij Waarborgfonds Sociale Woningbouw Cloud aanbiedende partij Microsoft Nederland
Toezichthoudende partij De Nederlandsche Bank
Tabel 3: Overzicht van geïnterviewde organisaties
Cloud afnemende partij: Waarborgfonds Sociale Woningbouw (WSW)
Het eerste interview binnen dit onderzoek is gehouden bij het Waarborgfonds Sociale Woningbouw. Het waarborgfonds staat borg voor leningen aan woningbouw corporaties in Nederland. Door het optreden van het WSW kunnen woningbouw corporaties onder gunstige voorwaarden geld lenen bij banken en andere financiers voor de bouw van vastgoed.
De organisatie van het WSW bestaat uit ongeveer 50 medewerkers. Het waarborgfonds heeft enkele jaren geleden ervoor gekozen om de IT binnen de organisatie uit te besteden in de cloud. Hierdoor zijn alle applicaties waarmee het WSW zijn processen uitvoert, geoutsourcet aan een derde partij. De enige fysieke infrastructuur binnen de organisatie zijn een
internetverbinding, een lokaal netwerk en laptops. Binnen de organisatie zijn momenteel drie medewerkers werkzaam op het gebied van IT: een informatie analist, een medewerker IT services en een informatiemanager.
Cloud aanbieden partij: Microsoft Nederland
Het tweede interview in dit onderzoek is uitgevoerd bij Microsoft Nederland. Microsoft is één van de grootste aanbieders van cloud-diensten wereldwijd. Het bedrijf biedt verschillende cloud-diensten aan, zoals de e-maildienst Hotmail en Windows Azure. Recent heeft het bedrijf Office 365 gelanceerd, waarmee organisaties in de cloud toepassingen als Office en Exchange e-mail kunnen gebruiken, zonder dat deze op de computer zelf geïnstalleerd zijn.
Microsoft is een Amerikaans bedrijf, waarvan het hoofdkantoor is gevestigd in Redmond (Washington). Wereldwijd werken er ongeveer 94.000 medewerkers. In Nederland werken ongeveer 900 medewerkers, welke afnemers van Microsoft producten helpen bij de integratie binnen de organisatie van Microsoft producten. Alle medewerkers binnen Microsoft zijn ervaren met toepassingen in de cloud. Ongeveer 50% van de medewerkers werkt zelf met het nieuwe Office 365.
Toezichthoudende partij: De Nederlandsche Bank (DNB)
Het derde interview van het onderzoek is uitgevoerd bij een toezichthoudende partij: De Nederlandsche Bank (kortweg DNB). De DNB is de centrale bank van Nederland en bestaat sinds 1814. Bij de organisatie werken in totaal ongeveer 1800 medewerkers. Vanuit de Bankwet heeft de DNB verschillende functies, zoals het formuleren van het monetaire beleid en het zorgen voor financiële stabiliteit. Om de financiële stabiliteit te kunnen waarborgen, houdt de DNB onder andere toezicht op financiële instellingen zoals banken en
verzekeringsmaatschappijen.
Vanuit de functie als toezichthouder is de organisatie belast met het toezicht op de IT binnen financiële instellingen. Hierdoor heeft de Nederlandsche Bank regelmatig te maken met vraagstukken omtrent cloud-diensten. DNB heeft dan ook recentelijk een circulaire
uitgegeven waarin het standpunt van DNB over cloud-diensten wordt gegeven (DNB, 2011).
3 Literatuuronderzoek
Om te beginnen met het onderzoek is een literatuuronderzoek uitgevoerd naar het begrip
‘cloud’. Uit de aanleiding van het onderzoek blijkt namelijk dat een eenduidige definitie van het begrip ‘cloud’ ontbreekt. In dit hoofdstuk wordt daarom getracht via literatuuronderzoek een duidelijk beeld te krijgen van cloud-diensten. Er wordt gekeken naar de definitie,
kenmerken en typen clouds. Het is belangrijk om het begrip ’cloud’ goed te definiëren, zodat daarmee goed afgebakend wordt wat er met het begrip wordt bedoeld binnen de kaders van dit onderzoek.
Om te beginnen zal echter eerst het begrip ‘outsourcing’ uiteen worden gezet.
Cloud-diensten en outsourcing lijken namelijk overeenkomsten te hebben, maar zijn niet hetzelfde. Er zal daarom aangeduid worden wat outsourcing inhoudt, wat voor typen er zijn en welke overeenkomsten er zijn met cloud-diensten.
3.1 Wat is outsourcing?
Outsourcing is een activiteit die bij alle organisaties voorkomt (Entrepreneur, 2010). De term
‘outsourcing’ wordt gebruikt om aan te geven dat operationele delen van organisaties worden uitbesteed. Omdat outsourcing al vele jaren plaatsvindt, zijn er relatief veel bronnen met een duidelijke definitie te vinden.
Wanneer er wordt gekeken in het Van Dale woordenboek (Boon & Geeraerts, 2005) wordt outsourcing (of in het Nederlands ‘uitbesteden’) omschreven als “het laten uitvoeren van bepaalde bewerkingen of diensten of het laten produceren van bepaalde producten door derden”. Veel andere literatuur geeft eenzelfde soort definitie als het Van Dale
woordenboek:
Dibbern et al. (2004) heeft een uitgebreide literatuurstudie gedaan naar de definitie van
‘outsourcing’. In zijn onderzoek geeft hij een overzicht van verschillende definities van IT outsourcing. Samengevat kan hiervan gezegd worden dat de meeste definities “het
overdragen van IT functies en activiteiten aan derde partijen” beschrijven en dat organisaties bij het uitbesteden “de uitkomsten ervan terugkrijgen”.
Wanneer verder gekeken wordt naar de Engelse literatuur, wordt door Smith, Mitra, &
Narasimhan (1988) outsourcing omschreven als “The use of external agencies to process, manage, or maintain internal data and to provide information-related services”. Daarnaast geeft Buck-Lew (1992) in zijn artikel ‘To outsource or not?’ een definitie van outsourcing. Hij omschrijft het als “A shift towards the market to get work done”. Tevens zegt hij dat
outsourcing “slechts een tijdelijke oplossing is”. Opvallend, want outsourcing wordt hedendaags nog steeds veel ingezet.
Verder geven de veel geciteerde Loh en Venkatraman (1992) aan dat outsourcing “a process is, whereby an organisation 1) decides to contract-out or to sell the firms IT assets, people and/or activities to a third part supplier”. Dit eerste kenmerk is in overeenstemming met de eerder genoemde bronnen. Belangrijk is hier echter dat meer specifieke onderdelen worden benoemd zoals IT assets, mensen en/of activiteiten.
Het tweede kenmerk van Loh en Venkatraman (1992) is het volgende: “2) who in exchange provides and manages these assets and services for a fee over an agreed period of time”.
Hier wordt gesproken over een vergoeding die gedurende een bepaalde periode wordt betaald. Dit wordt door andere bronnen niet expliciet genoemd.
Typen Outsourcing
In de literatuur zijn binnen het begrip ‘outsourcing’ verschillende typen outsourcing te onderscheiden.
Zo beschrijven Power, Desouza, & Bonifazi (2006) in het boek “The outsourcing handbook”
een indeling op basis van de aard van de werkzaamheden. Hierin wordt onderscheid gemaakt tussen proces matige uitbesteding of project matige uitbesteding:
- Procesmatige uitbesteding
Procesmatig werk omvat de uitbesteding van werkzaamheden van een
gestandaardiseerd, gestructureerde en gedocumenteerd proces. Power geeft hier als voorbeeld het outsourcen van een salarisadministratie.
- Projectmatige uitbesteding
Projectmatig werk omvat anderzijds de uitbesteding van unieke en niet
gestandaardiseerde werkzaamheden. Hierbij geeft Power als voorbeeld het laten ontwikkelen van software.
Kostin (2009) beschrijft in zijn onderzoek een hele andere indeling van outsourcing. Hierbij worden outsourcing diensten ingedeeld in twee groepen:
- Business Process Outsourcing (BPO) - Applicatie Service Providers (ASP)
Bij BPO worden belangrijke resources overgedragen van de organisatie naar een derde partij.
Hierbij kan een heel proces of afdeling worden uitbesteed aan een externe organisatie.
Bij het ASP model worden resources niet aan een externe organisatie overgedragen, maar worden bepaalde diensten via een netwerk afgenomen. Hierdoor is de dienst via internet vanaf elke plek en ieder tijdstip op te vragen. Deze diensten worden soms ook wel ‘Software as a Service’ diensten genoemd.
Murphy (2009) beschrijft eveneens de kenmerken van ASP, maar geeft in zijn artikel een aantal nadelen aan. Zo beschrijft hij dat ASP slecht schaalbaar is. Als reden geeft hij hiervoor dat er veel aanpassingen (‘customization’) wordt gedaan per klant. Daarnaast werkt ASP met een ‘single tenant’ model. Bij dit model worden de gegevens van één klant, op één server gezet. Dit maakt het op grote en gestandaardiseerde schaal inzetten moeilijker.
Naast de voorgenoemde typen outsourcing, worden in het artikel “Black book of
outsourcing” van Brown & Wilson (2005) en een artikel van Blair et al. (2011) nog twee typen outsourcing onderscheiden. Brown & Wilson (2005) spreekt van outsourcing op tactisch niveau en Blair et al. (2011) spreekt van outsourcing op strategisch niveau.
Tactisch niveau
Brown & Wilson (2005) beschrijft dat uitbesteding op tactisch niveau wordt gedaan om specifieke problemen binnen een organisatie op te lossen. Hierbij worden voorbeelden gegeven van het gebrek aan kennis, onvoldoende financiële middelen om investeringen te kunnen doen of om reorganisaties te realiseren. Door uitbesteding op tactisch niveau worden voordelen behaald op het gebied van:
- Minder inzet van medewerkers - Directe kosten besparingen
- Geen investeringen in de toekomst nodig Strategisch niveau
Brown & Wilson (2005) en Blair et al. (2011) beschrijven daarnaast de uitbesteding op strategisch niveau. Bij deze vorm van outsourcing worden voordelen behaald op het gebied van kwaliteit en de toespitsing op primaire processen. Door strategische uitbesteding kan een organisatie zich meer richten op primaire processen en kan de kwaliteit verbeterd worden door specialisatie van de toeleverancier. In feite wordt dus een (strategische) keuze gemaakt, om ondersteunende processen of projecten niet langer zelf te doen.
Conclusie
Outsourcing is een activiteit die in principe bij alle organisaties voorkomt (Entrepreneur, 2010). In dit onderzoek wordt de definitie van Loh en Venkatraman (1992) gevolgd:
“Outsourcing is a process, whereby an organisation 1) decides to contract-out or to sell the firms IT assets, people and/or activities to a third part supplier and 2) who in exchange provides and manages these assets and services for a fee over an agreed period of time”.
Het verschuiven van resources van de organisatie naar een toeleverancier is een belangrijk kenmerk van outsourcing. In de definitie worden echter ook specifieke onderdelen genoemd zoals IT resources, mensen en/of activiteiten. Dit maakt de definitie erg concreet en schenkt voldoende aandacht aan IT. Wat deze definitie toevoegt, is dat “de overgedragen resources vervolgens worden terugontvangen gedurende een bepaalde periode tegen een afgesproken vergoeding”. Dit is een belangrijk kenmerk, wat door veel andere auteurs niet expliciet wordt genoemd.
Er zijn verschillende definities van het begrip ‘outsourcing’. Zo maakt Power et al. (2006) onderscheid in procesmatig en projectmatige outsourcing; Brown & Wilson (2005) en Blair et al. (2011) geven aan dat outsourcing op strategisch of op tactisch niveau kan plaatsvinden;
Kostin (2009) beschrijft een indeling op basis van de overdracht van resources. Hierbij onderscheidt hij Business Process Outsourcing (BPO) en Applicatie Service Providers (ASP).
Vooral deze laatste indeling is erg interessant. ASP-diensten worden via een netwerk worden afgenomen. Deze diensten worden ook wel ‘Software as a Service’ diensten genoemd, een term die eveneens bij cloud-diensten veel wordt gebruikt.
In de volgende paragraaf zal het begrip ‘cloud’ worden gedefinieerd. Hierdoor kan nog beter onderscheid worden gemaakt tussen outsourcing en cloud-diensten.
3.2 Wat zijn cloud-diensten?
Het beeld van de afgelopen jaren op het gebied van IT-outsourcing is er een van
golfbewegingen (Kerkhof, 2007). Een aantal jaren werden er veel zaken geoutsourcet. Daarna was er sprake van een tegenbeweging: een insourcing trend. Bij insourcing worden resources van een externe partij terug-overgenomen en worden de diensten weer zelf uitgevoerd (Delen, 2005). Redenen hiervoor zijn het feit dat uitbesteders te weinig vernieuwend zijn en dat er onvoldoende kosten worden bespaard (Van der Meer, 2010).
Cloud-diensten vormen volgens Overby (2010) de volgende generatie van outsourcing op het gebied van IT. Waar allerlei vormen van out- en insourcing inmiddels veelvuldig worden toegepast door organisaties, is de nieuwste trend op het gebied van IT-outsourcing het gebruik van cloud-diensten (Overby, 2010).
Gartner (2011) beoordeelt met de zogenaamde ‘hype cycle’ van meer dan 1900 technologieën hoe deze zich ontwikkelen in de markt en waar zij zich bevinden in deze golfbeweging. Out- en insourcing zijn de ‘hype fase’ inmiddels voorbij, maar voor cloud- diensten is volgens Gartner te zien dat deze zich in de ‘Inflated Expectations’ zone
bevinden(zie figuur 2). Dit betekent dat er veelal ‘overenthousiasme’ wordt gecreëerd, met soms onrealistische verwachtingen.
Figuur 2: Locatie van Cloud computing in de Hype Cycle (Gartner, 2011)
Cloud-diensten vormen dus de volgende generatie outsourcing op het gebied van ICT (Overby, 2010). Voor dit onderzoek is het daarom belangrijk om de kenmerken te onderzoeken en het begrip ‘cloud’ goed te definiëren. Zo kan goed inzichtelijk gemaakt worden wat er met het begrip wordt bedoeld en wat de verschillen zijn met outsourcing, zodat er juist geen onrealistische verwachtingen ontstaan. Binnen de literatuur is echter op dit moment nog niet één algemeen gehanteerde definitie te vinden.
In een recent onderzoek (Vaquero et al, 2009) over de definitie van cloud-diensten zijn alleen al meer dan 20 definities vergeleken. Voor dit onderzoek is het daarom van belang dat de verschillende definities overzichtelijk weer worden gegeven en daaruit een goede definitie wordt gekozen, welke verder in dit onderzoek wordt gehanteerd.
Definitie van cloud-diensten
Over het algemeen kan gezegd worden dat cloud een ‘paraplu’ term is, die refereert aan het gebruik van op internet gehoste diensten (Scott, 2006). Het woord ‘cloud’ betekent letterlijk vertaald ‘wolk’ en wordt vaak gebruikt als metafoor voor het internet. Dit komt voort uit het feit, dat het internet in computer (technische) tekeningen veelal wordt afgebeeld als een wolk (Scanlon & Wieners, 1999).
De opslag van bestanden en software vindt meestal plaats op de computer van de gebruiker.
E-mail wordt bijvoorbeeld op de computer ontvangen met het programma Outlook. Steeds vaker wordt software echter niet meer op een computer geïnstalleerd, maar via een netwerk benaderd. Via dit netwerk kunnen allerlei applicaties worden aangeboden en gegevens worden opgeslagen. In het geval van e-mail wordt steeds vaker gebruik gemaakt van een
‘webmail’ omgeving, waarop de e-mails via een internetbrowser zijn te raadplegen. Vooral de laatste jaren wordt meer en meer software ontwikkeld die het gebruikers mogelijk maakt via hun internetbrowser toepassingen te kunnen benaderen. Door de koppeling met het internet is het begrip ‘cloud’ ontstaan.
Wanneer gekeken wordt naar de verschillende definities van ‘cloud-diensten’, is een veelgebruikte definitie is geformuleerd door The National Institute of Standards and
Technology (NIST): “A model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction." (Mell & Grance, 2009).
Een ander Amerikaans orgaan, de Federal Trade Commission (2009), sluit hier bij aan, maar voegt toe dat cloud-diensten “op afstand worden opgeslagen”.
De Europese commissie (Schubert, 2010) omschrijft cloud-diensten als: “A cloud is an elastic execution environment of resources involving multiple stakeholders and providing a metered service at multiple granularities for a specified level of quality (of service).”
Een interessante studie is, zoals eerder genoemd, beschreven in het artikel ‘A Break in the Clouds: Towards a Cloud Definition’ door Vaquero et al (2009). In dit onderzoek zijn 22 definities van verschillende auteurs en organisaties vergeleken. Uiteindelijk formuleren de onderzoekers hun eigen definitie op basis van de verschillende kenmerken van cloud- diensten die ze hebben gevonden:
“Clouds are a large pool of easily usable and accessible virtualized resources (such as hardware, development platforms and/or services). These resources can be dynamically reconfigured to adjust to a variable load (scale), allowing also for an optimum resource utilization. This pool of resources is typically exploited by a pay-per-use model in which guarantees are offered by the Infrastructure Provider by means of customized SLAs.”
(Vaquero et al, 2009)
Nederlandse bronnen (Surfnet/Kennisnet) & (DNB, 2011) geven net als Vaquero et al (2009) aan dat cloud-diensten bestaan uit on-demand gedistribueerde resources die via een netwerk benaderd worden.
De Nederlandsche Bank (DNB, 2011) voegt in een speciaal communiqué (zogenaamde directive paper) toe, dat cloud-diensten “IT schaalbaar en meer elastisch maken (…) maar in gestandaardiseerd formaat en on-demand af te nemen zijn”. Belangrijk is hierbij te noemen
dat de DNB aangeeft dat “data en applicaties feitelijk overal ter wereld zijn en vandaan komen”. Voor financiële organisaties in Nederland is het belangrijk om te weten waar gegevens worden opgeslagen, zodat een veilige opslag kan worden gegarandeerd. Dit aspect is dan ook een risico bij het gebruik van cloud-diensten. Op deze en eventuele andere risico’s, wordt later in dit onderzoek nader ingegaan.
Chellappa (1997), professor op het gebied van informatiesystemen, geeft als kenmerk van cloud-diensten aan: “Cloud-diensten zijn een computerparadigma waarbij de grenzen van de computer worden vastgesteld door het economische aspect, eerder dan de technische limieten.”.
In feite worden cloud-diensten door Chellappa vergeleken met het leveren van energie: gas en elektriciteit halen we uit een ‘cloud’ van energie. De vraag op het gebied van het
technische vlak waar het vandaan komt en of er voldoende van is, is niet meer relevant, want het is er namelijk altijd. Het economische aspect is belangrijker: wanneer er meer van nodig is, wordt daar voor betaald en is het beschikbaar. Hierdoor neemt de schaalbaarheid van IT- voorzieningen toe. Chellappa vergelijkt cloud-diensten als het ware met nutsvoorzieningen zoals gas en elektriciteit: een grote infrastructuur aan servers wordt met software
gevirtualiseerd. Hierdoor worden fysieke servers opgeknipt en verdeeld voor applicaties of data die hierop kunnen worden gehost. Er is daardoor geen gebrek aan opslagruimte of capaciteit. Wanneer meer opslagruimte of meer capaciteit wordt gebruikt, is dit direct beschikbaar en wordt er simpelweg voor betaald. Er is geen fysieke barrière meer. De applicaties en gegevens zijn door de netwerktoegang overal ter wereld bereikbaar.
Conclusie
Door te kijken naar bovenstaande definities en hun uitleg ontstaat een veelzijdig beeld van wat cloud-diensten nu eigenlijk zijn. Ten eerste wordt ‘cloud’ vooral gebruikt als een
‘parapluterm’, dat refereert naar diensten die via een netwerk (zoals internet) benaderd kunnen worden.
Tevens blijkt dat er niet één duidelijk definitie is, getuige het onderzoek van Vaquero et al.
(2009). Toch worden in het onderzoek van Vaquero et al. de verschillende gevonden kenmerken uiteindelijk goed samengevat in één definitie. Deze sluit aan bij de genoemde
“shared pool of computing resources (…) that can be rapidly provisioned and released” van Mell & Grance (2009). Ook het kenmerk van Chellappa (1997) waarbij wordt gesproken over het economische aspect (pay per use) wordt benoemd. In dit onderzoek zal daarom voor cloud-diensten de definitie van Vaquero et al. (2009) worden gebruikt.
Kenmerken van cloud-diensten
Op basis van de verschillende definities die hiervoor zijn gegeven, is er een aantal kenmerken te benoemen van cloud-diensten. In een publicatie van het NIST door Mell & Grance (2009) zijn de ‘essential characteristics’ omschreven waaraan een service moet voldoen om in aanmerking te komen voor de term cloud dienst:
1. On-demand selfservice
Een klant kan zelf cloud-diensten zoals servertijd en netwerkopslag naar eigen behoefte regelen;
2. Netwerk toegang
Diensten worden beschikbaar gesteld via een netwerk en kunnen gebruikt worden
door een groot aantal verschillende platforms zoals onder andere smartphones, laptops, tablets en PDA's;
3. Locatie onafhankelijke resource-pooling
De computer-resources van de provider worden gedeeld door de klanten van de provider (ook wel multi-tenancy genoemd). De resources worden naar gelang van de behoefte van de klanten dynamisch verdeeld. Klanten hebben in de regel geen controle over, of kennis van, de exacte locatie waar de resources zich bevinden;
4. Schaalbaarheid
Door de provider wordt de mogelijkheid geboden om snel resources bij of af te schalen. Voor de klant lijkt het daarbij of de aangeboden dienst een onbeperkte limiet heeft en de dienst op elk moment in elke hoeveelheid afgenomen kan worden.
(zoals energie, gas en water);
5. Pay per use
De kosten worden berekend op basis van gebruik: er wordt betaald per eenheid van gebruik, net zoals bij energie, gas en water. Voorbeelden hiervan zijn gebruikte opslag, bandbreedte en rekencapaciteit of het aantal actieve gebruikersaccounts.
Verschillende cloud infrastructuren: deployment models
Naast de verschillende kenmerken van cloud-diensten, zijn er tevens verschillende
‘deployment models’ te onderscheiden binnen cloud-diensten. Deze deployment models geven aan op welke manier de gegevens worden opgeslagen binnen de infrastructuur.
Door verschillende bronnen (Vaquero et al, 2009) en (Mell & Grance, 2009) wordt er gesproken over vijf deployment models: Public (selfmanaged en external), private, community en hybrid clouds.
1. Private (internal) cloud
De infrastructuur is ingericht voor een specifieke organisatie, en bevindt zich binnen het gebouw van de organisatie. De organisatie heeft zelf controle over de data, opslag en beveiliging. Eventueel onderhoud kan door een externe leverancier worden verzorgd.
2. Private (external) cloud
De infrastructuur is ingericht voor een specifieke organisatie, maar bevindt zich buiten het gebouw van de organisatie en wordt beheerd door een externe leverancier. De infrastructuur wordt echter met geen enkele andere organisatie gedeeld.
3. Community cloud
De infrastructuur wordt gebruikt door verscheidene organisaties die een gemeenschappelijk doel hebben, bijvoorbeeld ziekenhuizen of de overheid. Het beheer wordt door één of meerdere organisaties binnen de community uitgevoerd, zoals een private selfmanaged cloud of door een externe leverancier, zoals een private external cloud.
4. Public cloud
De infrastructuur wordt door verschillende organisaties voor verschillende doelen gebruikt en gedeeld. De infrastructuur wordt beheerd door een externe leverancier.
De fysieke locatie van de gegevens kan overal ter wereld zijn en zelfs in verschillende landen tegelijk.
5. Hybrid cloud
De infrastructuur is een combinatie van twee of meer verschillende cloud typen (private, public of community clouds). Een voorbeeld hiervan is wanneer bestanden in een private cloud en e-mail in een publieke cloud worden opgeslagen.
Figuur 3: De verschillende cloud modellen (bron: Wikipedia)
Typen cloud-diensten
De verschillende manieren waarop cloud-diensten kunnen worden geleverd wordt in diverse bronnen (Scott, 2006); (De Jong, 2010); (van Tuil, 2012); (Ramkisoensing & Doorenspleet, Maart 2012) opgedeeld in drie verschillende typen clouds. Deze typen clouds geven aan welk gedeelte (ofwel: lagen) van de IT-infrastructuur worden uitbesteed. Hoe meer lagen worden uitbesteed, hoe minder IT-infrastructuur er door organisaties beheerd hoeft te worden.
De drie algemeen beschreven implementatievormen zijn:
1. Infrastructuur as a Service (IaaS)
Hierbij wordt de hardware en technische infrastructuur gevirtualiseerd aangeboden als dienst. Denk aan servers, netwerken, gegevensopslag en andere infrastructuur.
Om applicaties te kunnen draaien moet zelf een besturingssysteem en de betreffende applicatie worden geïnstalleerd.
Voorbeeld: Amazon webservices, GoGrid en Rackspace
2. Platform as a Service (PaaS)
Hierbij wordt de componenten van een applicatie infrastructuur aangeboden als dienst. Voorbeelden zijn applicatie servers, databases en servers met een standaard besturingssysteem. Afnemers kunnen eigen applicaties op het platform plaatsen en deze laten integreren met de geboden applicatie infrastructuur.
Voorbeeld: webhosting providers, Windows Azure en Google App Engine.
3. Software as a Service (SaaS)
Hierbij wordt de applicatie functionaliteit aangeboden als dienst. Deze laag wordt veelal ontsloten door software leveranciers met een web gebruikersinterface, die via een internet browser kunnen worden benaderd.
Voorbeeld: Google Docs, Gmail, Salesforce, Dropbox en Office 365.
Uitbreiding van typen
Naast de drie veel gehanteerde typen clouds (IaaS, PaaS en SaaS) zijn er bronnen die dieper op de architectuur ingaan van cloud-diensten.
Zo spreken Ramkisoensing en Doorenspleet (2012) van de Rabobank over een extra laag Housing as a Service (HaaS). Hiermee wordt bedoeld dat bedrijven een ruimte huren in een datacenter en daar hun IT systemen onderbrengen. De benodigde infrastructuur moet zelf worden aangelegd. Deze vorm is een eenvoudige eerste stap in de richting voor cloud- diensten voor organisaties en is veel voorkomend.
Ramkisoensing en Doorenspleet introduceren slechts één additionele laag binnen cloud- diensten. Johnston (2008) voegt echter meer dimensies toe en beschrijft in zijn artikel de zes lagen waaruit cloud-diensten bestaan, namelijk:
1. Infrastructuur (ook wel: IaaS) 2. Gegevensopslag
3. Platform (ook wel PaaS) 4. Applicatie
5. Services (worden gebruikt om koppelingen met andere applicaties te maken) 6. Cliënts (hardware of software die gebruikt worden om de applicaties in de cloud te
benaderen)
In dit model wordt de zesde laag wordt omschreven als ‘cliënts’. Deze laag is echter geen onderdeel van de cloud en niet noodzakelijk om cloud-diensten te kunnen operationaliseren.
Cliënts zijn puur voor toegang tot de cloud applicatie en kunnen via allerlei soorten apparatuur benaderd worden.
Naast de voorgenoemde zes lagen, onderscheidt Mehta (2008) een elf laags model. Hierin worden de volgende elf lagen onderscheiden:
1. Gebouw (ruimte, koeling, elektriciteit) 2. Netwerk
3. Fysieke hardware
4. Gevirtualiseerde hardware 5. Besturingssysteem
6. Systeem management tools
7. Applicatie middleware (frameworks en platform ondersteuning zoals Apache, SQL, .NET)
8. Applicatie code 9. Applicatie APIs
10. Grafische gebruikersomgeving van de applicatie
11. Klant-specifieke aanpassingen van de grafische gebruikersomgeving
Concluderend kan gezegd worden dat bij cloud-diensten verschillende lagen onderscheiden worden. Hoe gedetailleerd er echter gekeken moet worden naar de verschillende lagen, hangt af van de toepassing ervan. Wanneer een organisatie inzicht wil krijgen in hoe de applicatie zich verhoudt tot de overige lagen, kan gekeken worden naar het model van Mehta (2008). Voor een meer algemeen beeld van typen cloud, kan het drie-laags model gebruikt worden.
OSI model en cloud lagen
Naast een verschillend inzicht in de gedetailleerdheid van de lagen binnen cloud-diensten, is er eveneens een opvallende gelijkenis te ontdekken tussen de opbouw van cloud-diensten en het OSI model.
Het OSI model is de benaming voor ISO Reference Model for Open Systems Interconnection.
In deze standaard wordt beschreven hoe gegevens over een netwerk wordt verstuurd.
Omdat cloud-diensten ook via een netwerk benaderd worden, is er de mogelijkheid voor organisaties om te kijken welk gedeelte van het OSI model wordt uitbesteed.
Doordat het OSI model zeer herkenbaar is voor organisaties en algemeen geaccepteerd is, kan er gemakkelijker worden nagegaan welk gedeelte wordt uitbesteed.
Analyse van het begrip ‘cloud’
Uit het literatuuronderzoek blijkt dat cloud-diensten de volgende generatie outsourcing op het gebied van IT zijn (Overby, 2010). Wanneer gekeken wordt naar cloud-diensten en de verschillende typen IT-outsourcing, blijkt dat er een grote overeenkomst is met het veel in de jaren negentig aangeboden Application Service Provider (ASP). Bij beide vormen worden SaaS oplossingen aangeboden en worden diensten via een netwerk afgenomen. Het verschil is echter dat ASP werkt met een ‘single-tenant’ model, waarbij gegevens van één klant op één server worden geplaatst. Cloud-diensten werken via een ‘multi-tenant’ model, waarbij meerdere klanten op één of meerdere servers gegevens opslaan. Cloud-diensten zijn onder andere hierdoor gemakkelijker schaalbaar en meer flexibel.
Cloud-diensten hebben dan ook een grote vlucht genomen en wordt door Gartner (2011) genoemd als een van de hypes op het gebied van IT.
Hier is reeds vastgesteld, dat ondanks de grote vlucht van cloud-diensten, er nog geen eenduidige definitie is voor het begrip. ‘Cloud’ wordt dan ook vaak gebruikt als ‘paraplu term’, dat refereert naar het gebruik van op internet gehoste diensten (Scott, 2006). Tevens ontbreekt er de noodzakelijke diepgang in de ‘lagen’ van cloud, waardoor consequenties voor uitbesteding van diensten in de cloud voor organisaties niet goed inzichtelijk zijn.
In dit onderzoek is dan ook gezocht naar een duidelijke definitie van het begrip ‘cloud’ en is zoals hiervoor beschreven gekozen voor de definitie van Vaquero et al. (2009):
“Clouds are a large pool of easily usable and accessible virtualized resources (such as hardware, development platforms and/or services). These resources can be dynamically reconfigured to adjust to a variable load (scale), allowing also for an optimum resource utilization. This pool of resources is typically exploited by a pay-per-use model in which guarantees are offered by the Infrastructure Provider by means of customized SLAs.”
In de definitie van Vaquero et al. worden de verschillende gevonden kenmerken goed samengevat in één definitie. Het sluit namelijk aan bij de genoemde “shared pool of computing resources (…) that can be rapidly provisioned and released” van Mell & Grance (2009). Ook het kenmerk van Chellappa (1997) waarbij wordt gesproken over het
economische aspect (pay per use) wordt benoemd. Het begrip ‘SLA’ (Service Level
Agreement) wordt echter door geen van de andere onderzochte bronnen genoemd, maar is wel een belangrijk aspect voor de continuïteit van de dienstverlening.
