8. Business impact analyse
BESCHIKBAARHEID
3 Hoge beschikbaarheid - de dienstverlening mag niet worden verstoord. Bij uitval leiden wij grote (reputatie) schade.
2 Medium beschikbaarheid - informatie mag slechts gedurende een korte tijd niet beschikbaar zijn. Dit zal beperkte
schade opleveren.
1 Lage beschikbaarheid - informatie mag af en toe niet beschikbaar zijn. Uitval leidt tot weinig of geen schade.
0 N.v.t.
INTEGRITEIT
3 Hoge integriteit – informatie moet gegarandeerd correct zijn. Indien informatie niet correct is, kan dit leiden tot grote
schade.
2 Medium integriteit - blijvende juistheid van informatie moet gewaarborgd zijn. Sommige toleranties zijn toelaatbaar.
1 Lage integriteit - indien informatie niet correct is, leidt dit tot weinig of geen schade.
0 N.v.t.
VERTROUWELIJKHEID
3 Hoge vertrouwelijkheid (Geheim) – informatie is uitsluitend toegankelijk voor een zeer selecte groep personen.
2 Medium vertrouwelijkheid (Vertrouwelijk) - wij kunnen substantiële schade leiden indien informatie toegankelijk is voor
ongeautoriseerde personen.
1 Lage vertrouwelijkheid (Intern) – openbaar worden van gegevens leidt tot weinig of geen schade.
0 Publiek – informatie is openbaar, bestemd voor iedereen.
10. Maatregelen
ACTIVITEIT BESCHRIJVING
Accepteren Er is een laag risico, de impact van een geeffectueerde
bedreiging is minimaal.
Overdragen
/ verzekeren
Er bestaat een lage waarschijnlijkheid met een hoge
(financiële) impact. De financiële gevolgen kunnen mogelijk
verzekerd worden. Daar waar mogelijk zullen maatregelen
worden genomen om de impact te beperken.
Mitigeren
(verzachten)
van het
risico
Mitigatie van het risico naar een geaccepteerd niveau door
het nemen van preventieve en corrigerende maatregelen.
Vermijden De risico’s zijn te hoog en dienen vermeden te worden door
wijzigingen/ aanpassingen van de
bedrijfsstrategie/processen.
14. 10 vragen
1. Met wie doe ik zaken?
2. Waar staat het?
3. SLA
4. Hoe ga ik er weg?
5. Heeft de cloud provider een certificering?
6. Wie draagt welke verantwoordelijkheid?
7. Kan ik bellen?
8. Financiele draagkracht
9. Pas op de Microsoft’s van deze wereld. Kopen nu marktaandeel
10. Tot slot: 4,95
Vandaag ga ik wat vertellen over technieken achter de cloud, de strategie en over het inkopen van de cloud technologie. Ik merk in mijn rol dat daar nog veel onduidelijkheid over is en dat men te veel vertrouwt op de leverancier
Mijn naam is Sven Visser, mede-eigenaar, commercial director en compliance officer bij Cyso. Een compliance officer ziet toe op wet en regelgeving.
Daarnaast ben ik bedenker en secretaris van de DHPA, de Dutch Hosting Provider Association, de branche organisatie voor managed hosting providers. Heb een dochter van bijna 1 en loop hard.
Aan het einde van deze presentatie hoop ik jullie dit scenario te besparen
Zowel leveranciers als afnemers hebben / wekken de illusie dat IT en de Cloud in het bijzonder gemakkelijk is. En hoewel dat misschien zo zou moeten zijn is dat nog lang niet het geval, al valt er veel af te kopen. Helaas voor mij en mijn concullega zijn veel mensen echter niet bereid het volle pond te betalen. En dat snap ik, want een dubbeltje niet uitgegeven is een dubbeltje verdiend. Maar zou het niet veel leuker zijn als je met een glimlach je maandelijkse factuur van je it leverancier hebt betaald omdat je weer een ton extra omzet heb gedraaid? Of een ton bespaard. Grote bedragen, zeker, maar een voorbeeld” Een klassiek voorbeeld is een bedrijf dat ik ken dat zijn monteurs nog uitrust met werkbriefjes en die werkbriefjes op kantoor laat verwerken door 3 medewerkers. Als je it juist inzet verwachten wij hier 2 medewerkers op kantoor te besparen en ook een efficiëntere inzet van de monteurs te bereiken
En daarom ga ik jullie vandaag meenemen in een stukje cloud techniek, de inzet daarvan op je bedrijfsprocessen en eindigen we met 10 vragen die je mee kunt nemen bij je leveranciers selectie zodat je geen beginnersfouten maakt.
Als wij samen met een klant een traject in gaan heb ik 3 pijlers:
Een stuk risico inventarisatie. Wat zijn voor jouw onderneming de grootste risico’s, waar lig jij wakker van? Maar kan ook ingegeven worden door wet en regelgeving of een toezichthouder. Zoals bv de WBP (wet bescherming persoonsgegevens) die al snel van toepassing is, de meldplicht datalekken of een grote klant
Techniek vinden de meeste mensen niet leuk, maar techniek heeft limieten en wijkt niet. Een verkeerde keuze zorgt voor hoge migratiekosten
En daarop volgt hoe ga je migreren? Zowel inkomend als uitgaand
Goedkoop is duurkoop zegt men, maar dat zou te gemakkelijk zijn. Er is niets mis met goedkoop. Ik koop graag de goedkoopste rijstewafels voor mijn dochter. Daar is namelijk het minst aan toegevoegd. Worden wel verwerkt in een fabriek waar ook noten verwerkt worden. Maar dat is voor mij geen probleem. Als dat wel een probleem is, dan worden je rijstewafels duurder ondanks dat de ingredienten gelijk zijn.
En dat geldt ook in de Cloud. Hoe meer risico je afgedekt wilt hebben hoe duurder het wordt.
Een uurtje geen mail is vaak geen probleem, een uurtje geen webshop online vervelender, je pin machine er een dag uit ronduit verliesgevend en een week niet bij je boekhouding een ramp. Aan de andere kant als het de boekhouding voor mijn eigen BV is kan ik de btw aangifte ook handmatig verwerken. Zijn namelijk maar een paar factuurtjes.
Je zult daarom moeten nadenken welk risico voor jou acceptable is en daarmee aan de slag moeten gaan.
Ik hanteer 2 manieren om met risico’s om te gaan: de business impact analyse en de dreigingsanalyse
Bij de BIA kijken we naar Beschikbaarheid, Integriteit en vertrouwelijkheid die behoort bij een informatiesysteem zoals telefonie, webshop, email of andere apllicatie en zorgt ervoor dat je inzicht krijgt in je continuiteitsrisico’s ervan. Het helpt je kritieke en niet-kritieke zaken van elkaar te scheiden.
Beschikbaarheid is een makkelijke: wat gebeurt er als het system eruit ligt?
Integriteit gaat over de correctheid van informatie: Hoe is erg het als er een andere voorraad in het magazijn ligt als dat het systeem aangeeft?
En vertrouwelijkheid gaat over het geheim houden van informatie
Sommigen hebben de neiging om alles altijd de hoogste waarde te geven, maar dat is niet noodzakelijk. Er zit nogal een verschil tussen het te laat afleveren van het verkeerde medicijn en het verlies van een loonstrook. Deze vragen kan ook stellen aan je cloud provider, maar zeker ook aan jezelf. Het heeft niet zoveel nut om je gegevens super beveiligd op te slaan in de cloud als je vervolgens diezelfde gegevens download op een openbare computer in een internetcafe in Nigeria
Een andere manier om naar middelen en processen te kijken is de Dreiging analyse. Dit gebruik ik vooral voor bedrijfsmidelen en processen die geen informatie bevatten.
Vaak wordt hier van MAPGOOD gebruikt; MAPGOOD (mensen, apparatuur, programmatuur, gegevens, omgeving, organisatie en diensten)
De bedragen kunnen overigens verschillen per onderneming. Die bepaal je zelf en is ook afhankelijk van reserves. Wat kan je dragen en wat niet?
Een voorbeeld: Stroomuitval. Gebeurt toch enige regelmaat en de kans op schade is groot in computers.
Dus impact maal waarschijnlijkheid. Een simpele manier. Maar wel lastig omdat je ‘Greenfield’ / voor dat je maatregelen hebt genomen moet denken.
Een andere voorbeeld: publiek
Er zijn verschillende maatregelen die je kan nemen om met risico’s om te gaan:
Accepteren
Overdragen
Verzachten
Vermijden
Waarom vertel ik dit risico verhaal?
Omdat in onze dagelijkse praktijk het veel voorkomt dat men de risico’s wilt verzachten door uitbesteding, maar niet de bijbehorende analyse heeft gedaan en dus teveel of te weinig geld uitgeeft, waardoor het verkeerde risico wordt verzacht. Veel klanten zijn bang dat er een vliegtuig op het datacentrum stort en ze alles kwijt zijn. Een terechte angst, maar het risico dat er door menselijke fouten downtime ontstaat is in mijn ogen veel hoger. Natuurlijk moet je naar beiden kijken, maar wel realistisch
Maar, Sven het is gewoon jouw probleem. Jullie moeten zorgen dat het altijd werkt. Tuurlijk, gaan we doen, dat is dan 12000 per maand alsjeblieft. Ja, dat is mij toch te veel. En vervolgens sluiten we een compromis. En wees bewust waar je risico’s loopt.
En dan nu naar de Cloud. De cloud biedt de mogelijkheid om deze risico’s te verleggen tegen lagere kosten en met minder kennis van zaken. Nadeel; iedere leverancier beweert dat ze het kan. Op de volgende sheet zie je een setup van 12000 per maand en wil ik wat keuzes die zijn gemaakt toelichten, welke risico’s worden vermeden en waar techniek hier limitaties op legt.
Als je een webshop (13 milj per jaar) hebt die op het drukste moment van het jaar 45 items per seconde verkoopt dan kunnen wij ons allemaal voorstellen dat het niet of niet goed werken van de webshop op dat moment een kostbare aangelegenheid wordt.
Daarom wil ik met dit voorbeeld laten zien welke maatregelen je kan nemen om ervoor te zorgen dat het altijd werkt.
Je ziet hier 4 omgevingen: OTAP. Deze structuur is om menselijke fouten te beperken en veranderingen goed te testen
Je ziet hier ook een hoop maatregelen om de beschikbaarheid te verhogen: spreading over 2 locaties, anti-ddos, load-balancers om ervoor te zorgen dat elke klant een snelle website heeft, omdat in e-commerce er een verband is tussen de snelheid van de website en de conversie. Deze setup is zowel voor geplande als ongeplande downtime gemaakt en blijft dus ook in de hoogte als er een patch (noodpleister) van software moet worden uitgerold
Er zitten overigens ook allerlei technische uitdagingen in bv het gelijk houden van content. De omgevingen mogen niet ver uit elkaar liggen. Maar je kan ook voorstellen dat een wijziging doorvoeren tijd kost. Je kan in deze setup niet meer elke wijziging op ieder moment doorvoeren, omdat er in elke stap een controle plaatsvindt. Je kunt je voorstellen dat als een leverancier zijn system verandert dat dit niet 1,2,3 is gerealiseerd. Er is hier duidelijk gekozen voor een lager tempo van veranderingen in te ruilen voor hoge beschikbaarheid (en integriteit)
Het goede nieuws is dat Cloud dit soort setups aanzienlijk goedkoper heeft gemaakt en dat er allerlei technologie aankomt die dit nog flexibeler en goedkoper maakt. Het slechte nieuws is dat het aan de achterkant complexer wordt en minder transparent. Steeds meer stukjes software worden vervangen door Cloud software. Vraag daarom gerust bij je technische partner om bovenstaande achtige tekeningetjes.
Voor de wat technische mensen onder ons: kijk eens naar Docker, Openstack. Google gebruikt andere technologie, maar brengt 2 miljard mini servers online per week (en weer offline). Dat geeft hele interassante mogelijkheden
Een onderbelicht en moeilijk aspect blijft de exit strategie. En exit geldt eigenlijk voor veel meer dan cloud.
Een groot nadeel van de Cloud op dit moment is dat er geen standard is en waarschjinlijk ook niet zal komen. De cloud leverancier heeft er namelijk belang bij om een zg vendor lock-in te creeeren. Waarschijnlijk weet u allemaal hoe moeilijk het is om van boekhoudpakket te wisselen. Hoeveel van u hebben dat wel eens gedaan?
Natuurlijk vooraf is alles rozegeur en maneschijn, maar denk nu na over het afscheid: krijg jij je data uberhaupt wel mee? En in welk format? En wiens hulp heb je daarbij nodig? Bij steeds bedrijven moeten wij tekenen voor medewerking bij exit.
Een goede exit of retransitie strategie stelt je in staat om bij calamiteiten van je cloud leverancier snel te wisselen, maar biedt ook de mogelijkheid om gemakkelijk te switchen om kosten of technische voordelen te halen. Als je dit goed doet kan je onafhankelijk van je cloudprovider opereren, maar dan komen we in de wereld van chef, puppet, devops en openstack achtige zaken terecht en dat is een andere presentatie waard. Nogmaals denk er over na en stel vragen
Tot slot 9 praktische vragen die je kan stellen aan je cloud provider zodat je weet dat je data er volgende week ook nog is.
Met wie doe ik zaken? Ga eens op bezoek. Aan een website kan je het niet zien. Hoeveel mensen werken er?
Waar staat je data? In Nederland, in het buitenland? Is het uitbesteed die het weer heeft uitbesteed. Kan oneindig doorgaan, maar bij wie je kan terecht als het misgaat?
Is er een SLA en begrijp je die? Krijg je geld terug en hoeveel dan? Meestal niet, geeft niet, maar in de SLA staat wat je kan verwachten
Exit hebben we besproken
Een certificering (ISO27001 of andere) valt heel veel over te vertellen, maar simpelste: is het aanwezig en wordt het extern getoetst? Het is een indicatie dat partij serieus bezig is, oh en natuurlijk DHPA
Probeer middels de SLA te doorgronden wie wat doet. Als je website down is, wie brengt hem dan weer in de lucht?
Kan je bellen en in welke taal? In stress praat ik liever geen engels en noteer belangrijke telefoonnummer voor af
Niks is zo vervelend als een leverancier die failliet gaat. Check dat. Er zijn nogal wat cloud partijen die negatief eigen vermogen hebben
Niet alleen Microsoft’s , maar er wordt gestunt met prijzen. En dat is fijn. Maar het is mijn overtuiging dat de Google’s, micorsoft, Vmware, Amazone nu marktkaandeel kopen en switchen is zelf met een goede exit strategie lasting. Wees dus voorbereid om onverwachte aanpassingen in prijs en voorwaarden
Tot slot 4,95. Mooi laag bedrag toch? Dat is dan je klantwaarde