SaaS | Software as a Service
Greep houden op cloud- diensten
Steeds meer ICT wordt als een dienst aangeboden. Ergens vanuit dat immer uitdijende en steeds meer ongrijpbare internet. Een service level agreement helpt volgens adviseur Xxxxxxx Xxxxxx den Bak om greep te houden op de ICT-wolk.
Tekst: Xxxxxxx Xxxxxx den Bak
SaaS | Software as a Service
was: Application Service Providing
PaaS | Platform as a Service
was: ontwikkelstraat
IaaS | Infrastructure as a Service
loud computing is een bijzondere vorm van het uitbe- steden van informatie- en communicatietechnologie (ICT). In dit artikel gaan we eerst in op dit relatief nieuwe begrip. Vervolgens bespreken we de aandachtspunten bij de aanschaf van cloud-diensten. Ten slotte geven wij aan hoe een service level agreement (SLA) kan worden ingezet bij
C
de aanschaf van deze diensten.
Om cloud computing inzichtelijk te maken, is het illustratief de vergelijking te maken met de NS-reisplanner. Eerst was er het papieren spoorboekje. Vervolgens werd dat gedigita- liseerd en op een diskette gezet die je thuis kon installeren op je pc. Als er een nieuwe dienstregeling kwam, moest je een update uitvoeren. Tegenwoordig kijken we gewoon op de website van NS, waar altijd de allerlaatste versie van het spoorboekje staat.
Dienstenniveau-overeenkomst
In zijn meest pure vorm is cloud computing een ICT- dienst die beschikbaar wordt gesteld via internettechnolo- gie en wordt gedeeld met andere gebruikers, waarvoor naar rato wordt betaald. De dienst is schaalbaar naar de vraag van de gebruiker en de ingebruikname is relatief eenvou- dig. De diensten komen via een internetkabel uit de muur of via wifi uit de lucht. Dit betekent dat geen hardware en geen licenties in eigendom worden gekocht. Een gang- bare term is cloud-diensten: de dienstverlening geschiedt ergens vanuit dat even grote als ongrijpbare internet. Vandaar ook het belang van een service level agreement (in goed Nederlands: dienstenniveau-overeenkomst) om grip te houden.
We wijzen erop dat deze definitie uitgaat van cloud-dien- sten in zijn pure vorm. Je ziet namelijk ook dat dergelijke diensten worden aangeboden die niet strikt voldoen aan bovengenoemde definitie. Je ziet cloud-diensten in pure en minder pure vorm in diverse domeinen ontstaan, bijvoor- beeld bij kantoorautomatisering. Denk aan Microsoft 365, Google Docs en Dropbox. Bij personeelssystemen en sa- larisverwerking, maar ook bijvoorbeeld bij ERP-systemen (bijvoorbeeld SAP Cloud), CRM (denk aan Salesforce) en bij elektronische patiëntendossiers (EPD). Net als bij de traditionele ICT wordt bij cloud-diensten diverse ‘lagen’ onderscheiden (zie figuur 1):
• Infrastructuur: wordt wel Infrastructure as a Service (IaaS) genoemd. Hierbij neemt de klant datacentrum- diensten af zoals opslag- en verwerkingscapaciteit
• Platform: dit is een basisplatform waarop applicaties
Figuur 1: Cloud computing
Uit: Mitopics Whitepaper: IT begrippen 2011
Bron: Mitopics, 2012
was: hosting
kunnen worden ontwikkeld of geïnstalleerd. Dit wordt ook wel Platform as a Service (PaaS) genoemd
• Eindgebruikersfunctionaliteit: ook wel Software as a
Service (SaaS) genoemd
36 SEPTEMBER 2012
Organisaties die op grond van hun inkoopbeleid ervoor heb- ben gekozen om veel verantwoordelijkheid rondom ICT bui- ten de deur te leggen, zullen sneller cloud-diensten overwe- gen. Daarnaast noemen wij de volgende afwegingen voor de aanschaf van dergelijke diensten.
In de eerste plaats de kosten: er zijn geen of lagere investe- ringskosten en flexibele exploitatiekosten (er wordt immers afgerekend naar rato van gebruik).
Een tweede afweging is dat de integratie van SaaS-diensten met andere systemen doorgaans niet standaard is. Daarnaast is dat ook technisch lastiger te implementeren en te behe- ren dan koppelingen tussen oplossingen die binnen de eigen muren aanwezig zijn. Daarbij is in de beheerfase het tempo waarin je mee moet met nieuwe versies en releases niet zelf meer te bepalen.
Een volgende afweging is dat om maximaal te profiteren van kostenvoordelen doorgaans eerder standaardsystemen met weinig specifieke eisen verworden tot cloud-dienst. Denk in dit verband aan salarisverwerking. Maatwerk voor software is gezien de aard van cloud-diensten lastig te realiseren.
Als laatste noemen we privacyaspecten. Een belangrijke vraag hierbij is of een organisatie gegevens (bijvoorbeeld patiëntge- gevens of financiële gegevens) buiten de organisatie kan en wil opslaan. Op grond van de Patriot Act zijn de Verenigde Staten bijvoorbeeld bevoegd om de data die zijn opgesla- gen in de cloud (op Amerikaans grondgebied, maar ook bij bedrijven met Amerikaanse belangen) te raadplegen als deze gegevens kunnen worden gebruikt om een bedreiging van de nationale veiligheid te signaleren en/of te weren. Het mag duidelijk zijn dat deze wetgeving de Amerikaanse overheid vrij spel geeft om bij het geringste vermoeden van bedrei- ging van de nationale veiligheid (persoons)gegevens door te lichten.
Aandachtspunten
Waar moet je nu vooral op letten als je cloud-diensten aan wilt schaffen? Het hierboven genoemde privacyaspect is een aandachtspunt dat meegenomen moet worden in het aan- schaftraject. Welke passende beveiligingsmaatregelen heeft de leverancier getroffen (bijvoorbeeld encryptie maar ook NEN 27001-certificaat)? Welke maatregelen worden genomen om te voldoen aan de wet bescherming persoonsgegevens (bij- voorbeeld door een bewerkersovereenkomst)?
Doordat je zelf geen controle meer hebt over je data en ICT- voorziening, is het zinvol om ook te kijken naar compliance (denk hierbij aan IFRS, SOx, Sas70 en ISAE3402) en ad- ditionele auditmogelijkheden. Het is overigens lastig een in house-oplossing te vergelijken met een cloud-oplossing. Dit speelt zeker wanneer volgens de Europese aanbestedings- richtlijnen moet worden ingekocht. Doordat een groot deel
wordt verzorgd, zul je deze kosten ook voor in house-op- lossingen inzichtelijk moeten maken. Daarnaast is het de vraag hoe om te gaan met de kosten voor de (internet)ver- binding. Als laatste is ook de looptijd waarover een busines- scase wordt gemaakt bepalend voor een goede vergelijking. Immers, bij in house heb je een investeringsbedrag dat je over een langere periode uitsmeert. Voor cloud-diensten is het door een proefabonnement mogelijk om de oplossing qua functionaliteit en gebruikersvriendelijkheid zelf te toet- sen. Dit in tegenstelling tot in house-oplossingen waar eerst een installatie moet plaatsvinden.
Hoewel je er bij aanschaf niet vaak bij stilstaat, zal er uiter- aard ook ooit eens een einde komen aan het afnemen van de
Een service level agreement moet grip houden op de dienstverlening vanuit dat even grote als ongrijpbare internet
cloud-dienst. Het is daarom belangrijk op voorhand na te denken over exitscenario’s. Hierbij moeten de kosten en de maatregelen van te voren helder worden gemaakt ten aanzien van het terugkrijgen of overzetten van data, toegang tot de cloud-dienst (bijvoorbeeld bij een faillissement, een bron- codedepot alleen is hiervoor onvoldoende) en het eventueel toch verkrijgen van licenties als geen gebruik meer wordt ge- maakt van de cloud-dienst.
Constant serviceniveau
Zeker bij de aanschaf van cloud-diensten voor een langere periode wil je verzekerd zijn van een constant en goed ser-
van het beheer door de leverancier van de cloud-diensten
viceniveau. De afspraken hierover leg je vast in een SLA, die
🡪
SEPTEMBER 2012 37
de verwachtingen van de klant en hetgeen de leverancier kan realiseren, samenbrengt in een document. Voor een goede SLA zijn afspraken en beheermechanismen op diverse ni- veaus en vanuit diverse perspectieven nodig. Zo zijn er naast juridische afspraken (zoals garantie, acceptatie, aansprake- lijkheid, auditrecht) ook afspraken op managementniveau (definitie van de inhoud van de dienst inclusief randvoor- waarden en de specificatie van de serviceniveaus). Bovendien worden op operationeel niveau afspraken vaak vastgelegd in daily agreed-procedures (taken en bevoegdheden, werkafspra- ken, rapportage-eisen en communicatie). Als laatste noemen we de overeengekomen prijzen en tarieven. Mitopics heeft daarvoor een handig model ontwikkeld (zie figuur 2).
Een dergelijk onderscheid in een SLA maakt de controle op volledigheid mogelijk. Het is hierbij aardig om te zien dat wanneer teksten niet zomaar zijn in te delen in één van deze onderdelen het vaak niet duidelijk is wat partijen bedoelen. Het kan ook betekenen dat de tekst geen functie heeft en daarom beter geschrapt kan worden. Daarnaast helpt een dergelijke opdeling in functiescheiding: wat doet de jurist? Wat doet de manager? Wat doen de inhoudelijke mensen en bovenal: wat doet de inkoper? Belangrijk daarbij is dat één persoon, de contractmanager of service level manager, verantwoordelijk blijft voor het bewaken van de samenhang. Het model helpt bij onderhandelingsprocessen over cloud- diensten om het proces en het uiteindelijke resultaat te struc- tureren. Voor standaard cloud-diensten, met daarbij ook standaard SLA-afspraken (waar doorgaans weinig over te onderhandelen valt), helpt het om een oordeel te geven over de wijze waarop een dienst wordt aangeboden. Vaak zijn het niet de best leesbare documenten die leveranciers hiervoor aanleveren.
Prachtig werk
Het inkopen van cloud-diensten en het vastleggen van af- spraken in een SLA is prachtig werk voor de IT-inkoper. Het wordt namelijk zo mogelijk om weg te blijven uit de lastige ICT-techniek en het vakjargon, maar wel op het niveau van de eindgebruiker afspraken te maken. Hierbij kunnen de serviceniveaus in de vorm van enkele meetbare parameters worden vastgelegd. Hier volgt een overzicht van meetbare parameters die, mits vastgelegd en afgestemd met partijen, een goede basis vormen om de doorlopende diensten voor langere tijd vast te leggen en te bewaken:
Beschikbaarheid
• Service: in uren, aantal storingen, maximale duur van een storing
• Ondersteuning: service window helpdesk
Prestatie
• Service: snelheid transactieverwerking, aantal gelijktijdige
Juridische afspraken | Bijlagen |
Service definitie | |
Specificatie service levels | Bijlagen |
Addenda | |
Daily agreed procedures | Bijlagen |
Addenda | |
Prijzen en tarieven |
of totale gebruikers, aantal transacties per tijdseenheid, omvang opslag
• Ondersteuning: snelheid van beantwoording, aantal
vragen
Integriteit
• Service: volledigheid, actualiteit en juistheid van resul- taten
• Ondersteuning: juiste beantwoording van vragen, juist-
heid, volledigheid van verstrekte informatie
Exclusiviteit
• Service: toegang tot vertrouwelijke informatie en func- tionaliteit
• Ondersteuning: aan wie mag welke informatie worden
verstrekt
Conformiteit
• Eisen te stellen aan het interne proces van de leverancier en de dienst voor wat betreft compliance en duurzaam- heid 🞈
Xxxxxxx Xxxxxx xxx Xxx is managing consultant bij Mitopics. Daarnaast is hij docent bij NEVI Inkoopacademie.
ICT-INKOOPTRAININGEN IN HET NAJAAR
NEVI-training voor wie start met de inkoop van ICT op 17 en 18 oktober in Leiden
(zie xxx.xxxx.xx/xxxxxx/xxxxxxx-xxx-xxx)
NEVI-training Inkopen van ICT voor gevorderden op 22 november in Leiden
(zie xxx.xxxx.xx/xxxxxx/xxxxxxx-xxx-xxx-xxxxxxxxx)
NEVI-training Service Level Agreements op 16 oktober in Zoetermeer
(zie xxx.xxxx.xx/xxxxxx/xxxxxxx-xxxxx-xxxxxxxxxx)
Figuur 2: Overzicht SLA Praktijkmodel
Offerte
Uit: Garantie op beheer, Xxxxxx Xxxxx en Xxxxxxxx xxx Xxxxxx, Informatie februari
Bron: Mitopics, 2012
SEPTEMBER 2012 39