Een toenemend aantal organisaties maakt gebruik van cloud- of SaaS-diensten. In dit artikel besteed ik aandacht aan continuïteitsplanning voor private cloud- en SaaS-diensten. Dit artikel is tot stand gekomen op basis van ervaring die ik in het 'Business Continuity'-project bij de bakkerij-organisatie Bakkersland opdeed.
Gezien het belang van it voor de bedrijfsvoering vormt het een essentieel onderdeel voor de continuïteitsplanning. Wij zien dat er in veel gevallen wel de aandacht is voor technische maatregelen, maar dat de organisatorische/juridische maatregelen niet worden genomen of overwogen. Mijn stelling voor dit artikel is dat voor cloudgebaseerde oplossingen met name het organisatorisch en juridisch aspect aandacht behoeft. Alvorens in te gaan op organisatorische en juridische aspecten volgt een kort overzicht van de technische maatregelen.
Technische maatregelen
Uitgaande van private cloud infrastructuur diensten, waarbij de infrastructuur voldoet aan de specifieke eisen van een organisatie, kunnen uitgebreide maatregelen worden genomen voor het bieden van beschikbaarheid. Onderstaande lijst geeft een overzicht van mogelijke technische maatregelen:
– Het 'Twin data center'-concept, waarbij zowel data als systemen vanuit twee data centers beschikbaar zijn.
– Zorgen voor een flexibele infrastructuur. Bijvoorbeeld door te kiezen voor virtualisatie, zodat er relatief eenvoudig tussen datacenters kan worden gemigreerd.
– Door virtualisatie worden infrastructuren ‘storage centric'. De flexibiliteit van de gekozen storage diensten zijn dan ook essentieel.
– Virtualisatie kan ook helpen om een infrastructuur een optimale beschikbaarheid te geven.
– Etc…
Organisatorische en juridische maatregelen
In de praktijk wordt over de technische maatregelen over het algemeen goed nagedacht. Er worden op dat vlak weloverwogen beslissingen genomen. Voor de organisatorische en juridische maatregelen is dit veelal niet of minder het geval. De vraag die moet worden gesteld is wat gebeurt er met mijn applicaties/diensten als, in het ergste geval, de cloud leverancier er niet meer is. Onderstaande opsomming geeft een overzicht van mogelijk maatregelen voor het beperken van de 100 procent afhankelijkheid van de cloud leverancier:
– Door een co- of multisourcing strategie worden de risico's beperkt. Door de diensten bijvoorbeeld vanuit twee onafhankelijke data centers aan te bieden, ben je niet afhankelijk van één leverancier.
– Door een data center onafhankelijke architectuur toe te passen en in contracten het recht op te nemen om in geval van calamiteiten te mogen verhuizen en het beheer over te nemen, wordt bovenstaande ook bereikt.
– Een meer complexe methode (maar soms noodzakelijk) is te beschrijven hoe het eigendomsrecht van apparatuur en onderliggende contracten in bepaalde situaties kan overgaan naar de klant (exit en transitieprocedure).
– Door onderscheid te maken tussen primaire en secundaire applicaties, kan er een differentiatie, voor te nemen maatregelen, worden toegepast. Dit beperkt de noodzaak voor grote budgetten.
Door gebruik te maken van een aantal van bovenstaande mogelijkheden heeft bijvoorbeeld Bakkersland ook op organisatorisch en juridisch vlak continuïteit gewaarborgd. In hun geval is dit gecombineerd met het actualiseren van de technische uitwijk voorzieningen. Met dit traject kan Bakkersland de klanten ook in geval van calamiteiten blijvend van dienst zijn.
Bakkersland
Bakkersland is met zeventien bakkerijen en enkele duizenden medewerkers in Nederland een van de grote industriële bakkerijen. Het bedrijf maakt al enige tijd gebruik van de diensten van Multrix waarbij het zowel de SaaS-diensten als een dedicated platform (private cloud) afneemt. Beide onderdelen van de omgeving worden door de it-dienstverlener beheerd. Inframotion is daarbij verantwoordelijk voor de projectleiding van het 'Business Continuity'-project.