8 take aways om van je cloudfobie af te komen

Het is 10:00 ’s ochtends op een dinsdagmorgen in Den Haag. Mijn eerste werkdag na het lange weekend start met een cloud security overleg… tot 15:30!? Onderwerp: we mogen naar de cloud! ‘Ja, dus?’ hoor ik mezelf denken. Als zelfstandig bestuurorgaan is het geen kwestie van mogen. Nog geen vijf minuten later worden mijn gedachtes ruw verstoord als de voorzitter van de vergadering een introductierondje start en de eerstvolgende meteen het eerste statement van de dag maakt: ‘Ik ben vandaag hier om de organisatie te behoeden en erger te voorkomen…’ Nou, de toon is gezet! Nadat iedereen zich geïntroduceerd heeft, ontvouwt zich direct een discussie van heb ik jou daar over alle gevaren van cloud: waarom de organisatie er nog niet klaar voor is, waarom grote multi-nationals een bedreiging zijn voor de organisatie en waarom het zelf in eigen beheer houden zóveel beter is. Van deze gedachte zijn we niet meer afgekomen, kan ik je vertellen. Kortom, nog vóór de lunch was al het vuur om aan de slag te gaan met cloud gedoofd.

Ik denk nog vaak terug aan dit overleg. Het maakte veel indruk op mij. Het riep bij mij de vraag op hoe het toch komt dat innovatie zoveel angst inboezemt bij mijn mede IT en cybersecurity collega’s bij de overheid? Ben ik nou zo naief of zijn zij te wantrouwend? Is dit de weerstand tegen verandering die bij (een van) mijn cursussen adviesvaardigheden aan de orde is gekomen of speelt er iets anders wat ik nog niet volledig begrijp? Over deze vragen heb ik de afgelopen maanden tientallen cybersecurity collega’s gesproken. Op basis van hun input heb ik acht key takeaways kunnen vaststellen die ik met deze blog graag met je wil delen.

1. De cloud is minder eng dan je denkt

Hoe ongrijpbaar de term ook klinkt, ‘cloud’ is een abstracte term die angst voor het onbekende inboezemt. De quote ‘There is no Cloud, it’s just someone elses computer’ slaat de spijker op zijn kop: het zijn nog steeds computers. Je beheert ze alleen niet zelf meer. In plaats van ICT-beheer komt de noodzaak om goede afspraken te maken: verwachtingsmanagement en leveranciersmanagement. Heb je het idee dat je collega’s angstig zijn voor cloud? Zet het referentiekader inclusief definities opnieuw neer en vraag bij onzekerheid naar de zekerheden die afgesproken dienen te worden met een leverancier.

2. Leveranciers zijn toegankelijker dan je denkt

Grote leveranciers zoals Microsoft, Apple, Amazon en Google zijn zeer welwillend om aan tafel te schuiven om vragen te beantwoorden. Bij diverse klanten die ik heb mogen bedienen zijn techneuten en specialisten regelmatig op verzoek aangeschoven om te praten over design en om te brainstormen over mogelijkheden. Zien je collega’s multi-nationals als mysterieus of ongrijpbaar? Zoek contact met een accountmanager om eens vrijblijvend te praten over de mogelijkheden en afspraken die gemaakt kunnen worden met de klant.

3. Je mag meer dan wat je denkt te mogen

Kaders zijn er om richting te geven, de juiste stappen te nemen in elke situatie en vooral om ontwikkeling te stroomlijnen. Binnen de overheid is een cloud afwegingskader ontwikkeld en daarnaast is cloud een primair onderdeel van de I-strategie Rijk, belangrijke documenten die helpen bij de afweging ‘wel of niet naar de cloud’ en onder welke voorwaarden met welke informatie, et cetera. Wat hierin sterk naar voren komt: denk na over nut- en noodzaak, beperk je tot de doelen die je wilt bereiken, minimaliseer de data en ken je risico’s. Zijn je collega’s ervan overtuigd dat iets niet mag? Brainstorm dan eens over deze onderwerpen met een multidisciplinair team van stakeholders over hoe het wél kan.

4. Een strategie is essentieel

Isn’t it always? De IT-organisatie heeft perspectief nodig en moet weten waar ze naar toe wil. Een afwachtende houding helpt niet. En hoe langer je blijft hangen in ambitie des te meer niet-helpende gedachtes zullen oprijzen. Waar wil je de cloud expliciet wél en expliciet niét voor inzetten? In welke context is cloud van toegevoegde waarde? Zijn er voorspelbare behoeften die je beter kan invullen met cloud? Is er (nog) geen strategie bij een organisatie? Start dan met het opstellen van een sourcing beslismodel.

5. Je hoeft het niet allemaal zelf te doen

Veel overheidsorganisaties hebben de behoefte (en voelen soms druk) om zelf alle wijsheid in pacht te hebben. In het geval van cloud is dat absoluut onnodig. Door cloud ontstaat een klant-leverancierrelatie. Functionele vragen zijn veel beter dan het vragen naar een concrete oplossing, want dit zet de leverancier in zijn kracht. Procesoptimalisatie is op haar best als het meermaals wordt toegepast vanuit verschillende invalshoeken – wat bij cloud providers het geval is. Benut dat dus als een kracht, in plaats van een dreiging. Voer eens met elkaar deze discussie: denk je dat je het zelf beter kan dan een organisatie die duizenden klanten bedient?

6. Een kasteel is echt niet altijd de beste strategie

Bij veel klanten heb ik het vaak over de oude kastelenmindset: een mooie slotgracht met hoge muren en een grote toegangspoort. Daarmee is alles in het domein veilig en onder controle, zou je denken. Hedendaagse organisaties ontkomen er echter niet aan in de supply chain afhankelijk te worden van andere organisaties. Die afhankelijkheid wordt ook (terecht) gezien als een dreiging: ‘vertrouw ik mijn toeleverancier?’. Het feit dat uitbesteden risico’s met zich meebrengt, betekent niet dat dit geen optie is. Een geisoleerd kasteel is innovatief blokkerend en loopt al snel achter in ontwikkelingen. Zijn je collega’s geneigd alles on-premise te doen? Onderzoek dan eens samen aan welke aanvullende maatregelen een leverancier zou moeten voldoen om te spreken van een passend alternatief.

7. Laat je voldoende inspireren voor draagvlak

Het is een gegeven dat men bang is voor verandering. We kennen allemaal onze comfortzones. Ook ik heb ze en ik vind het heerlijk om erin te blijven hangen. Kan je doen, maar daarmee halen we niet het beste uit onszelf en daarmee zijn we ook niet het beste voor onze omgeving. Voor een ontwikkelaar is het goed om secure software development in het rugzakje te hebben. Voor engineers geldt hetzelfde als het om cloud deployment gaat, want hoe je het ook went of keert: dit is de toekomst. Insights zoals the Voice of our Clients, blogs, en expert sessies inspireren. En een geïnspireerde medewerker is meer geneigd te innoveren.

8. Inventariseer de stakeholders en krijg iedereen aan tafel

IT-projecten zijn door de jaren heen zeer complex geworden. Er zijn diverse specialisten nodig die wat vinden van verandering. Nodig alle stakeholders uit, het liefst in de vorm van een multidisciplinair team van architecten, IB-functionarissen, (business) analisten en privacy specialisten. Security en privacy by design, by-default en in-depth zijn, afhankelijk van de projectgrootte, goed voor tientallen of hondertallen controls die moeten zijn geborgd. Zorg voor een overzicht van alle betrokkenen en de rol die hij of zij hierbij heeft. Goed begrip bij deze stakeholders zal van grote invloed zijn op het succes van een cloud traject.

And there you have it. Acht inzichten en tips die mij hebben geleerd te onderzoeken waar cloud spanning vandaan komt en hoe je met deze spanning om kunt gaan. In veel gevallen heeft het toepassen van deze take aways een doorslaggevende rol bij succesvolle cloud implementaties. Bij het eerstvolgende cloud overleg heb ik nu de munitie om tijdig in te grijpen en meer te sturen. En jij ook.

Ben je blij met deze tips en inzichten? Heb je zelf nog een goede tip? Of een inzicht dat je wilt delen? Reageer hieronder. Op zoek naar meer inspiratie? Lees ook de blogs van mijn collega experts, aanraders zijn ‘Waarom bewustwordingscampagnes niet werken’ en ‘Vooruitkijken naar de toekomst’ is zo eenvoudig niet’.