Datacenters en clouddiensten spelen een cruciale rol in het maatschappelijk verkeer en de processen van bedrijven, zo veel is genoegzaam bekend. Daarom zijn audits uitermate belangrijk bij de keuze voor een ict-dienstverlener.
Nederland speelt een belangrijke rol als internationaal internetknooppunt. Grote toonaangevende ict-dienstverleners hebben Nederland gevonden als uitvalsbasis voor innovatieve internet- en netwerkdiensten. De trend naar de cloud en hosting brengt echter ook een kwetsbaarheid voor het bedrijfsleven met zich mee. Ondernemingen zijn in toenemende mate afhankelijk van die diensten en zijn mogelijk kwetsbaar voor onderbrekingen in de dienstverlening. Met steeds meer ict-aanbieders is het moeilijk voor bedrijven om de kwaliteit van de aanbieder te bepalen. Hoewel de meeste aanbieders zich aan Nederlandse en internationale regulering en standaarden conformeren, is het goed om te onderzoeken of die bedrijven ook echt voldoende continuïteit kunnen bieden. Audits en certificering zijn daarin belangrijke hulpmiddelen.
Veel bedrijven nemen tegenwoordig met het grootste gemak abonnementen op hosted diensten. Ook kleinere bedrijven gebruiken diensten zoals online crm- en boekhoudpakketten, cloud backup en ip-telefonie. Ze shoppen naar goedkope aanbieders, sluiten een abonnement af en hoppen vrolijk verder als ze een vergelijkbare dienst elders goedkoper kunnen krijgen. Zonder enig besef van de details, voorwaarden of contracten van de nieuwe leverancier. Dat ze hun bedrijf sterk afhankelijk maken van die aanbieders beseffen (te) veel ondernemingen helaas niet.
Grotere organisaties beoordelen wel degelijk de audits die ict-dienstverleners ondergaan. Zeker als hun core business volledig afhankelijk is van it en internet, zoals banken die internetbankieren aanbieden of bedrijven met webshops. In hun beoordeling van it-leveranciers vragen ze om gedetailleerde informatie over downtime van de systemen, financiële stabiliteit, policies ten aanzien van het opslaan van data en het operationeel management in het algemeen. Ze doen nauwkeurige screenings en dat is verstandig.
Certificering
Als het om certificering gaat, stellen standaardisatieorganisaties zoals ISO, Ansi en onderzoeksinstituten zoals Datacenter Dynamics normen waar de sector (en zeker de groep grotere ict-dienstverleners) zich aan conformeert. Technisch gezien moeten datacenters voldoen aan de ISO 27001-norm en die schrijft onder meer voor dat locaties eens per drie jaar grondig worden gecontroleerd door een certificeringsinstituut. In het geval van mijn werkgever worden al onze locaties jaarlijks ook nog getoetst door onze interne audit afdeling. Deze toetsing is gericht op de technische installaties en de interne bedrijfsprocessen. Een voorbeeld van zo’n toetsing; van alle apparatuur is de te verwachte technische levensduur van zowel het apparaat zelf als van de individuele componenten vastgesteld. De levensduur van specifieke onderdelen van systemen, zoals bijvoorbeeld condensatoren, is doorgaans korter en dus moeten die preventief tussentijds worden vervangen. Ongeacht of ze defect zijn. De audit afdeling dient te controleren of dit ook daadwerkelijk gebeurd.
Om aan certificering te voldoen, moeten naast de technische systemen ook alle operationele processen binnen een datacenter op orde zijn. Hiervoor gelden eveneens (internationale) afspraken en ook die worden periodiek getoetst en gecommuniceerd. Bij voorkeur hanteren datacenters zogenaamde management & operations-protocollen als managementsysteem voor alle operationele processen en voor de algehele gezondheids- en veiligheidsregels. Alle systeemdocumentatie dient op de juiste manier te worden gemaakt en veranderingen moeten steeds worden gedocumenteerd en opgeslagen. Verder zijn er versiecontroles voor alle documenten in het managementsysteem. Tot slot wordt er altijd een risicoanalyse en een gedetailleerd stappenplan opgesteld voordat werkzaamheden starten. Deze werkzaamheden moeten door de uitvoerders en sitemanager voor aanvang worden doorgenomen. Voor de meer kritische werkzaamheden dienen er voor, tijdens en na de werkzaamheden complete checklists te worden ingevuld om de mogelijkheid tot het maken van fouten te voorkomen. Goede datacenters hebben deze zaken op orde.
De menselijke factor is ook in datacenters helaas nog altijd de zwakste schakel. Liefst 90 procent van de storingen in datacenters is het gevolg van menselijke fouten. Mensen kunnen dus zelfs het betrouwbaarste datacenter plat leggen. Daarom eisen wij van al onze eigen engineers en die van onderaannemers dat ze beschikken over de vereiste trainingen en certificaten. Het gaat niet alleen om de gezondheid van de medewerkers maar ook om de continuïteit van de systemen van klanten. Klanten verwachten die expertise en eisen dat we die kunnen aantonen. Alles in datacenters moet auditable zijn, ook de mensen.
Financiële stabiliteit
Een beoordeling van de financiële stabiliteit is een laatste kritische punt. Dit is echter een lastige kwestie want die kan eigenlijk nauwelijks worden gedekt door regulering of certificering. Audits kunnen nu eenmaal niet voor 100 procent garanderen dat een bedrijf niet failliet gaat. Het is natuurlijk wel mogelijk om beursgenoteerde bedrijven te monitoren op basis van hun kwartaal- en jaarcijfers maar daar houdt het wel een beetje mee op. En nog los daarvan kan een leverancier natuurlijk van de ene op de andere dag besluiten om diens datacenteractiviteiten te verkopen aan een onbekende partij en dan ontstaat een geheel nieuwe werkelijkheid.
Begeleiden
Als bedrijven dus echt grip op hun systemen willen houden, is het raadzaam om de bedrijfskritische bedrijfsvoering onder te brengen bij een datacenter van een vertrouwde leverancier en daarbij eventueel te kiezen voor hun eigen fysieke machines. Omgekeerd is it-dienstverleners er veel aan gelegen om klanten goed te begeleiden en afspraken te borgen in contracten en service level agreements (sla’s).
Goede afspraken zijn cruciaal, zeker omdat de wereld een stuk complexer is dan een aantal jaar geleden. Het vinden van de juiste datacenterleverancier is dus een balans tussen enerzijds de technische expertise, gecertificeerde processen en financiële stabiliteit van de leverancier en anderzijds de zorgvuldigheid van bedrijven om de garanties bij hun (cloud-)diensten te onderzoeken. Bedrijven kiezen hun datacenterdiensten immers voor de lange termijn.
Voor het grootste deel ben ik het hier wel met je eens Arno. Maar wat ik steeds mee en vaker zie is het feit dat men nu opgeld aan het betalen is voor eerder gezette stappen sinds 2008.
Men heeft als een razende ingezet op het uitfaseren van senior IT staf en die vervangen door zzp-er of aanstormend talent, welke van de twee dan ook het goedkoopste was.
Door die veronachtzaming, zie je een enorme individualisering in IT waarvan men wat schade betreft, wat verlies van continuïteit betreft, wat enorme afname van kwaliteit betreft, zich geen enkele rekenschap heeft gegeven. Je ziet dit aan de enorme toename van steeds grotere incidenten met steeds grotere impact.
Dat geld ook voor hetgeen jij hier benoemt in jouw artikel. Alles voor de ‘quick win’ die geen besparing oplevert maar juist verlies van… Als je steeds meer en vaker yups aantrekt die geen enkele visie en ketenervaring binnen IT heeft, dan krijg je dit soort situaties en uiteraard reflecties zoals de jouwe.
Vrij voorspelbaar allemaal.