Kosten en winsten van cloud computing

De kostprijs, de flexibiliteit en de gemakkelijke bevoorrading zijn de voornaamste oorzaken voor de ontwikkeling van cloud computing (ook mooi ‘informatique dématérialisée’ in het Frans genoemd).

De kostprijs, de flexibiliteit en de gemakkelijke bevoorrading zijn de voornaamste oorzaken voor de ontwikkeling van cloud computing (ook mooi ‘informatique dématérialisée’ in het Frans genoemd). Een aanlokkelijke oplossing, als ze niet gepaard ging met een reeks risico’s die de opdrachtgever (of eindgebruiker) nog zorgvuldiger zal moeten beheren dan in het verleden het geval was.

In een traditionele omgeving stonden de ondernemingen zelf in voor hun eigen infrastructuren. De veiligheidsverantwoordelijke controleerde met kennis van zaken de architectuur, de risico’s en kwetsbaarheden ervan. Hij was adequaat en voldoende op de hoogte van de gebruikte technologieën, de betrokken personen, de beheersprocessen evenals van de strategie en de modus operandi van de organisatie.

Met cloud computing doen verschillende nieuwe begrippen hun intrede, die relatief miskend worden. Nochtans mag er niet licht overheen worden gegaan, als voor deze nieuwe technologieën met hun talloze voordelen wordt geopteerd. De vereisten op het vlak van gegevensbescherming moeten nu worden geïnventariseerd en de capaciteit van de leveranciers om tegemoet te komen aan die vereiste veiligheidsniveaus, moet worden gecontroleerd. De governance van de gegevensbescherming, het vastleggen van doelstellingen inzake continuïteit, vertrouwelijkheid en integriteit, de controle van de externe leverancier, de certificatie van de technische en functionele omgevingen, de invoering van performancemetingen, doelstellingen inzake kosten, gebruik en incidenten worden courante praktijken die niet langer over het hoofd mogen worden gezien en deze activiteiten mogen niet meer te lijden hebben onder willekeurige, onzekere of onaangepaste budgetten.

De ondernemingen moeten strategische doelstellingen inzake veiligheid behalen, zoals de bescherming van de privégegevens van hun klanten, strategische gegevens of concurrentiegegevens, de continuïteit van de operaties en systemen, de betrouwbaarheid van de verwerkingen en de overgebrachte informatie, de non-transfer van de gegevens naar andere landen of onzekere omgevingen, de naleving van de wettelijke regelgevingen of reglementen die eigen zijn aan de activiteitensector evenals de behoeften rond audit en certificatie van de verrichtingen.

Voorheen waren de activiteiten van de informaticadirecteurs, de beheerders van operationele risico’s en de directeurs van gegevensbescherming weinig zichtbaar voor de algemene verantwoordelijken. Vandaag worden die actoren onmisbaar met de komst van cloud computing. De ondernemingen kunnen niet langer aanvaarden dat hun kritische en gevoelige bronnen blindelings worden toevertrouwd aan derden.

Verschillende vormen van cloud zijn voorhanden en ze hebben allemaal hun eigen methoden op het vlak van beheer en roll-out. De terbeschikkingstelling van capaciteiten zoals die van verwerking, opslag of netwerkcommunicaties heet ‘Infrastructure as a Service’ of IaaS. Met PaaS, of ‘Platform as a Service’, biedt de leverancier ook programmeertalen en beheersinstrumenten waarmee de gebruiker zijn eigen toepassingen, intern ontwikkeld of aangekocht, kan implementeren. Met ‘Software as a Service’ of SaaS heeft de klant toegang tot applicaties die functioneren vanuit een omgeving in cloud via eenvoudige gebruikersinterfaces en thin clients.

Naast de formules die door steeds meer leveranciers ter beschikking worden gesteld, en de ermee samenhangende beveiligingsverzekering, wordt het belangrijk om de kosten te beheersen. Men moet zich ervan vergewissen dat de verwachte winsten wel degelijk gepaard gaan met een stijging van de kosten en nieuwe risico’s. Onlangs nog rezen verschillende stemmen tegen de gevestigde overtuigingen: neen, cloud computing is niet zo goedkoop als men denkt, proclameert McKinsey in een recent rapport dat in april werd gepubliceerd. Volgens hem is Amazon 144 procent duurder, per serverkost, dan een klassieke interne oplossing. Hij stelt voor om te focussen op de virtualisatie van de interne resources en verkondigt dat de ondernemingen even efficiënt kunnen zijn als de leveranciers van cloudoplossingen.

Zonder appelen met citroenen te willen vergelijken, ben ik toch van mening dat de marginale kostprijs van een interne server niet te vergelijken is met die van een server die à la demande beschikbaar is en met een hele reeks geïntegreerde diensten wordt geleverd. Als Google het gebruikspercentage van zijn servers met 40% ziet stijgen, dan is dat te danken aan een consolidatie van de servers en goede managementmethoden. De ervaringen zijn te pril om nu al tastbare conclusies te kunnen trekken, die rekening houden met de afschrijving van het aangewende kapitaal, de fiscale aspecten, de schaalbesparingen en de impact van good practices inzake veiligheidsbeheer, architectuur en dienstenbeheer.

Georges Ataya is hoogleraar aan Solvay Brussels School of Economics and Management, waar hij aan het hoofd staat van het departement IT Management Education. Hij is ook managing partner van het informatica-adviesbureau ICT Control. Georges is internationaal vice president geweest van ISACA (Information Systems Audit and Control Association) (e-mail: DN@ataya.net)