Inloggen
Open menu
Digitale weerbaarheid
Artikel

Digitale autonomie uitbesteden? Tegenstrijdig en noodzakelijk voor cloud

Beeld: Shutterstock
29 oktober 2024

“Ik heb geen verstand van ICT”. Dat is wat Michael Stoelinga vaak hoort in gesprekken met opdrachtgevers, bestuurders en producteigenaren; in ieder geval binnen de overheid. Ook in cloudvraagstukken wordt dit vaak gezegd. Te vaak, wat hem betreft. Externe factoren en de voortdurende cyber-wedloop maken dat ‘digitale autonomie’ een thema is – en juist daarvoor is kennis van zaken cruciaal. Naast digitale autonomie horen we ook de nog wat scherpere term soevereiniteit. Waar het om gaat: hoe bewaakt u de onafhankelijkheid van uw organisatie in onze volledig verknoopte wereld?

Soeverein ben je als je als middeleeuws heerser gewoon ‘de baas bent’ in je eigen gebied. Een soeverein weet waar zij of hij staat en heeft overzicht over zijn ‘rijk’. Echter, alleenheersers bestaan vooral op Netflix. In het echt is iedereen van anderen afhankelijk voor zijn bestaan – zeker in onze hoogtechnologische samenleving. Want, ga maar na: niemand maakt zijn eigen chips, niemand is eigenaar van alle glasvezelkabels die hij benut, niemand wekt zijn eigen elektriciteit op.

Cloud maakt ons minder soeverein

Echt onafhankelijk zijn we geen van allen. En net als iedere technologische ontwikkeling maakt de cloud ons weer wat afhankelijker. Er komt een ‘laag’ bij. Alleen als die laag goed genoeg gestandaardiseerd is, als er externe experts zijn en interne controlemechanismen en expertise, kunnen we de laag verantwoord en met vertrouwen uitbesteden – want dat we zullen moeten uitbesteden is evident.
Met dat in het achterhoofd is het cruciaal dat je echt weet waar je afhankelijk van bent, zodat je daar richting aan kunt geven. Opdrachtgevers ontkomen er niet aan te investeren in de basiskennis die daarvoor nodig is.

Maak gebruik van expertise

Aanbieders van cloud begrijpen de behoefte aan soevereiniteit. Het verbaast dus niet dat we bij de drie dominante Amerikaanse hyperscalers aanbiedingen voor ‘soevereine clouddiensten’ aantreffen.
Als opdrachtgever is het cruciaal om in de onderhandelingen met dergelijke partijen ook uw deel van het gesprek te voeren. Richting geven vereist kennis van het aanbod. Helaas laten we voor onze ict-infrastructuur nog steeds te vaak verleiden tot onverstandige keuzes, ingegeven door enthousiaste pleitbezorgers in de eigen organisatie. Het oordeel van externe experts en certificeringen zou zwaarder gewogen moeten worden.

Wet- en regelgeving

Bestaande wetgeving voor (vitale) infrastructuur en regelgeving rond cybersecurity geldt uiteraard ook bij gebruik van cloudinfrastructuur. Specifieke wet- en regelgeving voor cloud komt daarbovenop. Voor aanbieders, maar vooral ook wetgeving voor uw organisatie. U bent zelf verantwoordelijk om hieraan te voldoen. Doe dat proactief, afschuiven kan niet.

Soevereine cloud als ‘beter compromis’

In de eerste golf van het naar de cloud brengen van voorzieningen waren wendbaarheid, innovatie en schaalbaarheid belangrijker dan soevereiniteit. Dit verklaart ook waarom commerciële organisaties voor meer dan 50 procent gebruikmaken van de publieke cloud bij de grote hyperscalers, terwijl overheidsorganisaties terughoudend blijven. De logische volgende stap is om ‘hybride’ te gaan, echter de ervaring van hyperscalers met het specifiek voor overheden of grote bedrijven inrichten van afgeschermde private cloud-omgevingen is op z’n best wisselend.

Het nu snelgroeiende soevereine cloud­aanbod is een andere invulling van de balans. De basisgedachte is dat uw stukje cloud binnen een hyperscale cloud zodanig georganiseerd, beveiligd, dichtgetimmerd en gemonitord wordt dat u voldoende soevereiniteit terugkrijgt om in de nieuwe wereld uw eigen richting te bepalen. Zo blijft u in control – ondanks afhankelijkheden die onvermijdelijk zijn.

Goed opdrachtgeverschap

Naast marketing bestaat het soevereine cloud-aanbod op het eerste gezicht uit veel technische termen. Zolang dat zo blijft, is het moeilijk om goed opdrachtgeverschap in te richten. Laten we proberen het aanbod met een niet-tech bril te bekijken.

 

  1. Juist om een eenzijdige techfocus te voorkomen helpt het om te constateren dat soevereine cloud in de eerste plaats een contract is. Bij sterk gestandaardiseerde, meer op public cloud gebaseerde vormen is het één contract; wel een ingewikkeld contract overigens. Doet u meer zelf dan zijn het vaak veel contracten, voor ieder deel een ander. Goed contractmanagement is dus sowieso essentieel.
  2. Goede operationele soevereiniteit vereist dat u goede dashboards heeft die continu aangeven hoe de infrastructuur vandaag functioneert, inclusief de afhankelijkheden van anderen (zoals de netwerkaanbieder) en de compliance met uw eisen en met cybersecuritynormen. Een kwartaalrapportage op basis van globale service-level KPI’s is dan onvoldoende. Een goede soevereine cloud-voorziening geeft u daarom steeds de actuele stand van zaken.
  3. Datasoevereiniteit betekent dat u erop kunt vertrouwen dat onbevoegden niet bij uw informatie kunnen. Grondige encryptie is daarvoor essentieel, evenals goede diensten voor het beheer van sleutels en wachtwoorden. De nieuwste soevereine cloud-voorzieningen werken met CPU’s (chips) die intern veilige verwerking mogelijk maken; het zogeheten confidential computing. Binnen een aantal jaren zal dit gemeengoed zijn. Als opdrachtgever moet u hierop kunnen doorvragen.
  4. Soevereine cloud implementeert technologie ‘inwisselbaar’. De aanbieders benutten technologie en standaarden. Veel daarvan is zelfs open source. Het belang om lock-in te beperken ligt bij u als afnemer. Het is dus logisch dat het uw eigen expertise vergt (aangevuld met externe ogen die dwingen) om cloudvoorzieningen zo standaard mogelijk te gebruiken. Zo voorkomt u dat overstappen onmogelijk wordt.

Auteur bijdrage: Michael Stoelinga, Chief Architect Public Sector bij Capgemini.

Over Capgemini
Dit is een artikel van Capgemini. U kunt meer lezen van deze partner op deze pagina.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren

Meer van Capgemini

Overheid in Transitie | Capgemini
Verduurzaming geen prioriteit in jouw organisatie? Onthoud dan: groen is poen
Digitale Weerbaarheid | Capgemini
NIS2: Een nieuwe standaard voor cybersecurity in Europa
Capgemini
Society 5.0: Overheid als launching customer, of toch niet?

Whitepapers

  1. 1.
  2. 2.
  3. 3.
  4. 4.
  5. 5.