Koppijn van de cloud?

donderwolk

Veel it-verantwoordelijken staat het water aan de lippen. Hun ‘oude IT’ is bij lange na niet snel genoeg meer om aan de huidige businessbehoeften te voldoen. Daarom gaan op innovatie beluste businessunits op eigen houtje aan de slag met nieuwe en snelle IT uit de cloud. Door de opmars van deze shadow IT ontstaat een gespleten it-landschap vol risico’s op het vlak van security, kosten en toekomstvastheid. De cloud wordt een hoofdpijndossier. Wat te doen?

 

Laten we beginnen met een korte begripsbepaling. Wat is shadow IT? Dat is alle IT die voor de doeleinden van de organisatie wordt ingezet zonder dat de it-afdeling daar controle over heeft. In de meeste gevallen zijn dat cloud-applicaties en services. Denk aan online tools voor projectmanagement, data-analyse of recruiting. Al dit soort applicaties en diensten vormen de voorkant van de shadow IT. Het gaat om een onvoorstelbaar grote hoeveelheid Software-as-a-Service, maar ook om infrastructurele services zoals opslag- en processorcapaciteit en cloud platform services, die complete delen van de it-infrastructuur kunnen omvatten. Dit hele scala van mogelijkheden binnen het digitale schimmenrijk is dan de voorkant van de schaduw. Maar er is ook nog een achterkant. Die wordt gevormd door apparatuur en applicaties die niet meer door de it-afdeling worden ondersteund, maar toch nog steeds – en soms heimelijk – worden gebruikt door medewerkers. Ook dat onttrekt zich aan de controle van de it-afdeling.

 

Machtsovername

Een grappige benaming voor shadow IT is credit card IT. Het gaat immers voor het leeuwendeel om applicaties en diensten die je met je credit card in een paar minuten aanschaft en in werking stelt. Zeker bij de wat zwaardere corporate shadow IT komt er een credit card aan te pas. Toch is er ook een overvloed aan gratis shadow IT. Wat dacht je van Whatsapp, Skype en Facebook? No plastics needed. LinkedIn zit daar een beetje tussenin. De basis is gratis, maar als je meer functionaliteit wilt, dan wordt het credit card IT.

Wat we over de hele linie zien gebeuren is dat it-afdelingen als het ware van binnenuit worden opgerold door voorwaartse en achterwaartse schaduw IT. De gebruiker neemt de macht over en IT heeft het nakijken. Is dat laatste eigenlijk een probleem? Nee en ja. Nee, want hij kan zich nu wapenen met de beste software en tools on the planet. Wat wil je nog meer als je je werk niet een beetje goed, maar ronduit fantastisch wilt doen? Wat wil je nog meer als je de hete adem van de concurrentie die toptalent inzet ‘empowered by class cloud IT’ in je nek voelt? Of als je goede mensen in huis wilt halen en je ze IT moet aanbieden waar de tand van de tijd al behoorlijk aan heeft geknaagd en waar je je eerlijk gezegd voor geneert?

Er is in veel organisaties jarenlang een verbeten strijd gevoerd tussen businessunits en ‘de IT’ en de laatste heeft die strijd glansrijk verloren. Daar waar deze strijd nog gaande is, zal de IT ook uiteindelijk aan het langste eind trekken. Simpelweg omdat er business moet worden gedaan.

In zoverre is shadow IT een zegen en geen vloek. Het biedt een paradijs aan functionele mogelijkheden. Lang op gewacht en dankzij web, cloud en mobile eindelijk onder ieders handbereik. Lieve technologie, ga vooral zo door!

 

Black IT

Maar nu de donkere zijde van de shadow IT. Het is zeer beslist ook een vloek en niet zo’n kleintje ook. En wel om drie redenen:

1. de informatiebeveiliging komt enorm onder druk te staan
2. de kosten voor de totale IT (regulier plus schaduw) lopen hoger op dan gewenst en zijn bovendien uiterst moeilijker voorspelbaar
3. de strategische integratie van it-systemen wordt ernstig ondermijnd.

We gaan ze alle drie kort langs:
De informatiebeveiliging, die de afgelopen decennia met pijn en moeite door de it-afdelingen is opgebouwd, is dankzij het oprukkende schimmenrijk zo ongeveer op sterven na dood. Wie hoor je nog over firewalls? Dat is een verouderd concept geworden, want iedereen is nu vrolijk bezig buiten die vuurmuur. Mét bedrijfsgegevens of concurrentiegevoelige of privacygevoelige data. Gartner voorspelde dat shadow IT in 2020 verantwoordelijk zal zijn voor een derde van alle geslaagde pogingen om binnen te dringen in bedrijfssystemen1. Grootste boosdoeners: Facebook, Skype en Twitter. Zij voeren de lijst aan van de twintig meest riskante cloud applicaties, die beveiligingsbedrijf Zscaler vorig jaar opstelde. Je klikt op iets dat je interessant lijkt en zonder dat je je ervan bewust bent download en installeer je malware. Volgens Zscaler is er op Amazon minder downloadbare malware, maar wemelt het hier weer van de verdachte links. Ook hier is het dus oppassen geblazen. Dergelijke risico’s zijn er bij alle shadow IT applicaties en services. Ga er maar aan staan!

Inmiddels krijgen ook CFO’s en CEO’s hoofdpijn van shadow IT want de IT-kosten nemen toe. Dat is nog daaraan toe, want een beetje investeren mag heus wel na zoveel jaren knijpen, maar dan wil je wel weten in welke bandbreedte dat gebeurt. En het is bijzonder lastig budgetteren met shadow IT, want die heeft een impulsieve marktgebaseerde dynamiek en geen beleidsmatige. Het is een vlo die steeds weer uit het budget springt.

En dan nu de waarschijnlijk allerergste hoofdpijn voor de IT-manager en de CIO. Een dreiging die de hoofdpijn kan opschalen naar een full blown migraine: de IT-integratie begint te bezwijken. Credit card applicaties kunnen lang niet altijd goed met elkaar en met de ‘in house’ applicaties en systemen overweg. Er doemen aan de horizon dan ook kolossale problemen op met data-integratie. Bovendien is er door de toenemende pluriformiteit sprake van uiteenlopende onderliggende platforms. Het grote risico is dat de standaardisatie die de afgelopen decennia met zoveel pijn en moeite tot stand werd gebracht aan gort gaat. Het it-landschap zal dan weer een lappendeken worden en er moet weer kunst- en vliegwerk aan te pas komen om aansluitingen tot stand te brengen. Daar wil niemand naar terug. Ook voor de CEO is dit een regelrecht nachtmerriescenario.

De vaart die shadow IT in de business bracht, slaat hier om in zijn tegendeel. Alles gaat op termijn weer de vertraging in. Het was korte termijnsnelheid die lange termijnstroop bracht. Althans, dat is het perspectief als er niet krachtig en met visie wordt ingegrepen.

 

White IT

Goed, dit was wel even genoeg black IT. Laten we snel overgaan naar het ‘wat te doen’-deel van dit verhaal. Hoe witten we de IT? Wat kunnen it-managers en CIO’s doen om toch in control te blijven, dan wel alsnog weer enige greep op de situatie te ontwikkelen? Hoe kunnen zij wat zich in de schaduw bevindt in het volle licht zetten?

Dat kan in drie stappen:

Stap 1: inventariseren
Waar hebben we het over? Welke schaduw IT is er in jouw organisatie in gebruik? Houd er rekening mee dat dit veel en veel meer kan zijn dan je vermoedt. Onderzoek van Cisco geeft aan dat er wat dit betreft een groot verschil bestaat tussen de aannames van it-verantwoordelijken en de feitelijke praktijk. In de periode januari 2013 tot juli 2016 liet Cisco deze twee kanten van de medaille onderzoeken. De it-verantwoordelijken raamden het aantal shadow IT services in hun organisatie gemiddeld op 51. In werkelijkheid waren dat er gemiddeld 730. En de onderzoekers stelden bovendien vast dat dit aantal een stijgende lijn vertoont. Cisco schat dat grote ondernemingen anno nu gemiddeld zo’n 1200 verschillende cloud-services in gebruik hebben en dat 98 procent daarvan shadow IT is.

Als je dit een onvoorstelbaar groot aantal vindt, realiseer je dan hoe ontzettend veel SaaS-, IaaS- en PaaS-producten inmiddels via de cloud beschikbaar zijn. Neem bijvoorbeeld eens een kijkje op de website appsruntheworld.com. Daar staat een top 500 van aanbieders van cloud-services met letterlijk karrevrachten aan shadow IT.

Interessant is ook de verdeling in soorten schaduwapplicaties. Onderzoek door Atos wees uit dat een aanzienlijk deel van de uitgaven voor shadow IT betrekking heeft op het maken van back-ups, bestanden delen en archivering. Dat zijn toch functionaliteiten die eerder bij de ‘oude IT’ horen, zou je denken. Aan de meer front-office gerichte toepassingen, zoals social media, analytics en mobile werd naar verhouding minder uitgegeven. En dat zouden toch de drivers van de schaduw IT zijn? Kennelijk is er dus meer aan de hand, wat we eerder al omschreven als de machtsovername door de gebruiker.

Veel schaduw IT bevindt zich in het domein van de Infrastructure-as-a-Service (IaaS), zoals aangeboden door Amazon, Microsoft, Google en IBM. Bij de marketing en sales afdelingen domineert Salesforce.com de schaduwmarkt.
Inventarisatie van het werkelijke gebruik is de noodzakelijke eerste stap. Dan weet je precies waar je het over hebt. Het verdient aanbeveling dit te doen samen met een gespecialiseerde partij of om software in te zetten die het daadwerkelijke gebruik van cloud-services registreert en overzichtelijk in kaart brengt.

 

Stap 2: accepteren en reguleren
Ga niet vechten tegen schaduw IT, want dat gevecht verlies je. Maak tijdens en na de inventarisatie duidelijk dat je de behoefte aan snelle IT erkent, maar leg ook uit dat er aanzienlijke risico’s verbonden zijn aan wildwest IT. Stel tijdens dit proces richtlijnen op voor het gebruik van data. Welke data mag waar worden gebruikt? Als zulke richtlijnen worden nageleefd, ontstaat er ruimte. In deze ruimte kan rustig gewerkt worden aan de ontwikkeling van een corporate appstore met daarin de meest gebruikte apps, maar dan onder beheer en overzicht van de it-afdeling.
Een ander belangrijk aspect van inventarisatie is dat je nagaat welke applicaties en services, die nu ‘in house’ (on premise) draaien eigenlijk veel beter als cloud-dienst zouden kunnen worden afgenomen bij een externe provider. Zulke workloads kun je uit het oude landschap tillen en in de public cloud onderbrengen. En uiteraard: toevoegen aan je appstore.

En wat voor apps geldt, gaat ook op voor infrastructurele diensten. Het is verstandig ook deze eens goed tegen het licht te houden tijdens je inventarisatie. In grote organisaties worden hiervoor platforms ingericht waarop je goedgekeurde infrastructurele diensten (‘in house’ en van derden) kunt afnemen, bijvoorbeeld voor back-up, archivering of ingebruikname van tijdelijke ontwikkelomgevingen. Noem het een corporate infra-appstore.

 

Stap 3: oude IT transformeren
Met stap 1 en 2 leg je het fundament van een hybride it-infrastructuur. Daarbij wordt intensief gebruikgemaakt van een veelheid van (door de it-afdeling) ondersteunde public cloud-services. Tegelijkertijd vereist dit dat de ‘oude onderlaag’ – het geheel aan traditionele bedrijfsapplicaties – kan communiceren met deze nieuwe cloud-services. Daarvoor is een transformatie van de ‘oude IT’ nodig naar modern cloud computing niveau. Je in house IT zal ‘cloud native’ moeten worden.

Soms zal dit uitmonden in het strategische besluit om zo’n core bedrijfsproces alsnog uit huis te plaatsen. Wat SAP in dit opzicht doet, baart opzien. De onderneming brengt zijn hele HANA hebben en houden naar de cloud en doet dit samen met grote infrastructuurproviders voor de benodigde datacentercapaciteit en connectivity. Voor SAP-klanten betekent dit de mogelijkheid hun core proces via de cloud te laten lopen. Wie had dat een paar jaar geleden nog durven denken? En als SAP dit doet, dan weet je wel hoe laat het is.

Deze radicale omslag doet vermoeden dat de hybrid cloud – waar we nu allemaal vol van zijn (of zouden moeten zijn volgens onze leveranciers) ook slechts een overgangsstadium is. Het voorvoegsel hybrid zal er over een paar jaar wel afgaan, schat ik zo in. En dan resteert gewoon cloud. Luchtige en vluchtige IT. Een powerwolk om iedere gebruiker.

 

Intieme IT

Sneller dan menigeen lief is, zijn we het pad ingeslagen naar een wereld waarin alles een service is. Zelfs het meest Heilige IT-Huis (zoals SAP HANA) kan inmiddels een service zijn. Deze wending vereist dat we binnenstebuiten gaan denken. Vanuit de wolk en niet meer vanuit een locatie, een functie of proces. Als we de voorkant van de schaduw IT in het volle licht trekken, schuift alles en iedereen op naar nieuwe rollen en beroepen. De it-manager wordt webwinkelier en de CIO een wiskundige. Maar houd de komende jaren vooral ook de achterkant van de schaduw in de gaten. Want hoe verder de public cloud oprukt, hoe groter de behoefte wordt aan zijn tegenpool: gegarandeerd intieme IT.

 

Voetnoot

Dit is zo’n typische Gartner-zin waar je een tijdje op moet kauwen. Tweederde van de hacks loopt volgens Gartner in 2020 nog via ‘oude TT’-kanalen. Dat zou erop kunnen wijzen dat shadow IT beter beveiligd is dan corporate IT, wat zeer aannemelijk is overigens. Dat zou dus eerder pleiten voor shadow IT… Maar deze tegenwerping neemt niet weg dat de omvang van het geheel van de risico’s toeneemt door de komst van shadow IT.

 

 

 

Leon van Lare: “Zorg eerst dat je je basis op orde hebt”leon

Leon van Lare werkt als it-manager bij de stafdienst van de Stichting Onderwijs Midden-Limburg (SOML). Deze stichting overkoepelt vier scholengemeenschappen voor voortgezet onderwijs die over elf locaties verspreid zijn. De IT verzorgt 4000 werkplekken voor ongeveer 9000 gebruikers (circa 8000 studenten en 1000 personeelsleden).

De afgelopen jaren heeft de Stichting een overgang doorgemaakt van volledig decentrale ICT naar een centrale ICT, vertelt Van Lare. “Windows en Microsoft Office vormen de basis met daarnaast iPads en Macbooks van Apple. Daar bovenop hebben we een hybrid cloud ingericht met een Microsoft-based private cloud enerzijds en Google Apps for Education als collaboration omgeving anderzijds. Deze twee omgevingen vormen het publieke deel van onze hybrid cloud.”
Van Lare vindt dat het probleem met schaduw IT goed is te overzien: “De omvang is niet heel groot. De Stichting standaardiseert breed, waarbij verreweg de meeste functionaliteit uniform ingericht kan worden. Er is ruimte voor maatwerk, maar wel binnen de afgesproken standaarden. Toch gebruikt men soms schaduw IT, uit gemak of onwetendheid.”

 

Neemt het gebruik daarvan toe, of neemt het af?

“Het neemt af. Het cultuuraspect van centralisering op deze schaalgrootte kent een lange gewenningsperiode. De gebruikers willen IT gewoon gebruiken en zien pas later het nut of de noodzaak in van beleid en afspraken. Het rendement van een gedragscode wordt pas na een tijdje zichtbaar.”

 

Om welk type applicaties gaat het vooral?
“Dropbox en Whatsapp met name. Verder een aantal smartphones en laptops die niet door ons gemanaged zijn, maar die ook niet onder een BYOD-aanpak vallen, dus wel degelijk eigendom zijn van de Stichting. Dat is ons een doorn in het oog. Net als enkele kleine eigen Wi-Fi-routertjes en lokale printertjes die soms handig worden weggestopt. Tot slot zien we soms oude en reeds afgeschreven apparatuur die in een hoekje in leven wordt gehouden omdat het nog prima functioneert.”

 

Wat is jouw strategie om daarmee om te gaan?

“Delen van het personeel krijgen de komende jaren een training in awareness en de Stichting zal ook het beleid rondom lifecyclemanagement verder gaan uitwerken. Ook zal binnen twee jaar BYOD worden ingevoerd, waardoor de grenzen tussen eigen en schoolapparatuur scherper worden. Daar waar de schaduw IT duidelijk aanwezig is, wordt de school hierop gewezen en vanuit het beleid zal dan worden gevraagd of desnoods gesommeerd hier wat aan de doen.”

 

Welke knelpunten signaleer je bij het toepassen van deze strategie?

“Bekendheid met het beleid of de bereidheid dit te kennen. Men vindt hier vaak van alles van en wil de discussie aangaan dat het it-beleid niet correct is.”

 

Welke tips heb je voor collega’s?

“Zorg eerst dat je de harde kant van de basis op orde hebt, dus beheer, inkoop, lifecyclemanagement en organisatie. En stel dan in gezamenlijkheid beleid op en richt een informatiebeveiligingsplan in. Leg vervolgens de verantwoordelijkheid zo dicht mogelijk bij de praktijk.”

 

 

 

Wim Reedijk: “Wij komen de cloud zelf brengen”wim-reedijk

Wim Reedijk is Director IT bij PostNL en heeft strategic change als focus en verantwoordelijkheid. “Time-to-market discussies rondom cloud-applicaties spelen hier niet”, legt hij uit. “Het initiatief gaat bij ons uit van de IT. Wij komen de cloud zelf brengen. Enkele jaren geleden maakten we een radicale keuze: alles via de cloud. Daarom werkt iedereen hier nu in een cloud-omgeving op basis van Office 365 met Microsoft OneDrive en verschillende SaaS-oplossingen zoals SalesForce, SAP ByDesign en SuccessFactors. Dat haalt aardig de wind uit de zeilen van de schaduw IT zou ik zo zeggen.”

Niet dat schaduw IT bij PostNL niet voorkomt, die is er nog wel, bijvoorbeeld in de vorm van Whatsapp. Alleen gaat daar geen bedrijfsdata overheen. De policy is dat alle data binnen het domein van de PostNL cloud blijft. “Je hebt dan ook geen Dropbox of WeTransfer meer nodig. Je kunt altijd vanaf iedere plek en met elk apparaat bij je gegevens. Dat is toch eigenlijk ook veel gemakkelijker?”
Reedijk constateert dan ook dat het probleem van schaduw IT in zijn organisatie is afgenomen. Periodiek wordt er door een externe dienstverlener een scan op het netwerk gedaan om te zien wat daar werkelijk gebeurt en of de perceptie van het management wel voldoende spoort met de digitale realiteit.

 

Wat is je strategie om met schaduw IT om te gaan?
“Zelf datgene aanbieden wat je medewerkers blijkbaar nodig hebben, maar dan onder gedegen governance en beheer. En ruimte bieden. Bij ons mag iedereen zijn eigen device meenemen en gebruiken. Alleen de data blijft centraal in de cloud en er zijn beperkingen om deze naar het eigen apparaat te downloaden.”

 

Welke knelpunten signaleer je bij het toepassen van deze strategie?
“Digital Rights Management is een knelpunt. Wij willen OneDrive ook als app op mobiele devices kunnen toelaten, maar dat vereist dat er DRM op de documenten wordt toegepast. Voor Office documenten kan dat in Office 365, maar voor pdf’s van Adobe nou net weer niet. We hebben er bij Microsoft stevig op aangedrongen dit te veranderen. Het is toegezegd, maar het is niet duidelijk wanneer dit gaat gebeuren. En een ander knelpunt, maar dan meer vanuit strategisch oogpunt, is het internet zelf. Dat is eigenlijk nog steeds een ongereguleerde omgeving. Je kunt geen Quality of Service afspreken met het Web. Terwijl je wel alles daaroverheen laat lopen. Dat vormt een risico.”

 

Heb je tips voor collega’s?
“Als je een goed cloudaanbod hebt, zet dan vervolgens de alternatieven dicht. Denk aan handleidingen voor het gebruik van Dropbox en dergelijke. Die zijn dan overbodig en hoeven nergens meer vindbaar te zijn. Maar het belangrijkste is het werken aan bewustwording. We doen hier geregeld trainingen met phishing en allerlei intrusion tests. Zulke trainingen zijn bijzonder belangrijk en je moet ze ook regelmatig herhalen. De zwakste schakel blijft de gebruiker die onbewust hiervan gevaren creëert.”

 

 

Bronnen

Gartner
http://www.gartner.com/smarterwithgartner/top-10-security-predictions-2016/?cm_mmc=social-_-rm-_-gart-_-swg

lijst Zscaler
http://www.information-age.com/technology/security/123460837/20-riskiest-shadow-it-applications-and-how-manage-them

Onderzoek Cisco
http://www.informationweek.com/cloud/shadow-it-its-much-worse-than-you-think/a/d-id/1321637

98 procent
http://blogs.cisco.com/cloud/gartner-report-says-shadow-it-will-result-in-13-of-security-breaches

website top 500
www.appsruntheworld.com

Onderzoek door Atos
http://atos.net/en-us/home/we-are/news/press-release/2015/pr-2015_03_26_01.html

 

Gerelateerde berichten...