Wie op zoek gaat naar een managed (cloud) services provider (msp), raakt gemakkelijk de weg kwijt. Het aanbod aan dienstverleners en diensten is enorm. Daarnaast hanteert iedere dienstverlener andere termen, wat de kans op verwarring alleen maar vergroot. Waar moet je op letten als je op zoek gaat naar een msp?
In deze bijdrage laat ik de – in mijn ogen – zeven belangrijkste criteria de revue passeren.
Outsourcer of outtasker?
Traditionele outsourcing richt zich op het overnemen van mensen, middelen en processen voor een langere periode. Daarbij beschrijven de twee partijen nauwkeurig welke diensten de outsourcer onder welke voorwaarden levert aan de klant. Prijs is een belangrijke drijfveer. Doel van de klant is meestal om goedkoper te werken. Dit model raakt verouderd omdat het belangrijke nadelen met zich meebrengt. Door de sterke sturing op prijs en langjarige afspraken is er weinig tot geen ruimte voor innovatie. Het alternatief is outtasking – ook wel selective outsourcing genoemd. Bij outtasking staat kwaliteit boven prijs. Niet mensen en middelen, maar een specifieke bedrijfstaak wordt uitbesteed. Daarbij houdt de klant de regie. Hij kan blijven sturen en zo onder meer intern kennis opbouwen en borgen. Doordat de outtasker focust op de taak, is er volop ruimte voor innovatie. Partijen zitten niet opgesloten in langjarige, in beton gegoten contracten, maar werken op basis van de uit te voeren taak.
Wat is het profiel van de dienstverlener?
Wie een taak of taken wil uitbesteden, zoekt zekerheid en continuïteit. Daarom heeft een dienstverlener allereerst een behoorlijke schaalgrootte nodig. Alleen dan is hij in staat om de investeringen op te brengen die nodig zijn om te beschikken over de nieuwste technologie. Daarnaast is een hoog niveau van technologische kennis noodzakelijk. Voor een efficiënte inzet van complexe infrastructuren is expertise nodig die zich in de praktijk bewijst door het aantal certificeringen en gecertificeerde medewerkers. Voor internationaal opererende bedrijven is geografische spreiding van locaties van belang met het oog op lokale support (in de eigen taal en in de eigen tijdzone). Verder is de vestigingsplaats van de serviceprovider een overweging voor bedrijven die niet willen dat hun data onder de Amerikaanse Patriot Act vallen. Door te kiezen voor een Europese partij valt de data onder de Europese regels en heeft de Amerikaanse overheid geen toegang.
Hoe ziet het portfolio van de serviceprovider eruit?
Hoe meer flexibiliteit het portfolio van de serviceprovider biedt, hoe beter. Een hybride model is daarbij het meest effectief vanuit het oogpunt van de klant. Hierbij heeft de klant de meest brede keus uit locatie van (delen van de) de infrastructuur, het eigenaarschap en het beheer. Door mix & match zijn allerlei varianten mogelijk, van eigen apparatuur bij de serviceprovider tot alles uitbesteed behalve het beheer, of alle it-infrastructuur in eigen huis en beheer behalve de storage. Een moderne serviceprovider kan elk model invullen op basis van standaard bouwblokken.
Welke ervaring heeft de serviceprovider met transities?
Bij veel organisaties bestaat koudwatervrees voor het inschakelen van een msp omdat in de meeste gevallen een ingrijpende transitie nodig is op het gebied van infrastructuur. De angst dat het flink misgaat met de it-dienstverlening tijdens zo’n transitie, is groot. Dat is overigens begrijpelijk, nu organisaties meer dan ooit afhankelijk zijn van een goed werkende it-infrastructuur. Daarom heeft een msp ruime ervaring in transities die vlekkeloos moeten verlopen. Daarbij zijn betrouwbare roll-back- en fall-back-scenario’s een eerste vereiste. Die voorzien erin dat een klant op een vooraf bepaald moment nog de keus heeft om de oude situatie te herstellen. Dat kan zich voordoen bij onverwachte situaties tijdens een transitie.
Hoe vult de serviceprovider zijn dagelijkse bedrijfsvoering in?
Voor de meeste serviceproviders is ITIL een open boek. Dat geldt niet voor zaken als ‘continuous service improvement en rapportering. Een eigentijdse serviceprovider werkt voortdurend aan vernieuwing en verbetering van de dienstverlening en rapporteert op zo’n manier dat klanten op elk moment inzicht hebben in de dienstverleningniveaus. Dat betekent onder meer volledige transparantie van alle processen. Een moderne serviceprovider laat klanten bijvoorbeeld meekijken met alles wat er bij de servicedesk gebeurt, van calls tot afhandeling.
Aan welke beveiligingsstandaarden voldoet de serviceprovider?
Security lijkt op het eerste gezicht geen issue. Veel organisaties gaan er min of meer vanuit dat ze op dit terrein weinig vragen hoeven stellen. Toch is het verstandig om goed na te gaan welke fysieke en digitale maatregelen een serviceprovider heeft getroffen om de data van klanten optimaal te beschermen. Voldoet de leverancier aan ISO27001? Hoe is de fysieke beveiliging ingericht? Hoe staat het met de beveiliging van het netwerk? Zijn medewerkers gescreend? Hoe richt de leverancier de beveiliging van zijn multitenancy-platform precies in? Belangrijke vragen die een goed antwoord verdienen.
Helpt de leverancier een klant met het opstellen van de business case?
Dat het inschakelen van een gespecialiseerde msp in nagenoeg alle gevallen een positieve businesscase laat zien, is wel duidelijk. Maar hoe positief is die businesscase precies? En hoe ziet dat er na bijvoorbeeld na een jaar en na twee jaar uit? Vragen die bij klanten leven en die de leverancier moet beantwoorden. Een moderne dienstverlener beschikt over de tools, de expertise en de mensen om op alle vragen van klanten een helder antwoord te geven.
Ik zou hier graag toch voor alleerst iets willen opmerken waar klaarblijkelijk menig professional werkend in en met IT klaarblijkelijk steeds maar niet aan denkt.
In het kader van…
… de wetmatigheden van materie IT, ‘Never asume, Always verify…’
Zorg dat je je eigen IT inventarisatie eens goed op orde hebt. Als u dat niet heeft? Dan kan ik u verzekeren van heel veel te voorkomen plotseling exorbitant toegestuurde nota’s voor allerhande taken.
Aansluitend…
Is het bijzonder goed oog te hebben voor het huidige kostenplaatje want het toekomstige kostenplaatje kan alleen maar worden bepaald met een up to date inventarisatie. Wanneer u heeft voldaan aan deze twee elementen kunt u met een goed oog eens naar buiten kijken.
Voorbeschouwing
Verdiep u dan vooral in de volgende aspecten
– GEC compliance
Het is zeer raadzaam er zeker van te zijn dat uw toekomstige partner geen banden heeft met Generic Embargoed Countries
– Regelgeving vanuit de VS
Ook landenpartners van de VS hebben namelijk een eigen ruling voor waar het gaat om auteurs, portret en commerciële rechten en intellectueel eigendom. Dat betekend ook iets voor uw data eigendommen die door providers elders worden gestald.
– Verdiep u in de backbenchers van cloudproviders
Het is namelijk zo dat menig cloudaanbieder een frontoffice zijn voor. Het is zeer goed te weten wie hun partners zijn en waar datacenters zijn gevestigd.
– Stel vast wat de juridische weg en de gevolgen voor u zijn indien…
Uw cloudleverancier onverhoopt om mocht vallen. Dit is namelijk nog steeds een juridische mijnenveld.
Vooral dit laatste zou een bron van zorg en aandacht moeten zijn want er is maar summier iets geregeld betreffende eigendom van data op servers waar u eigenaar van bent maar een curator dit niet erkent of andere belangen heeft.
Advies is eerst even goed uw huiswerk doen voor u uberhaupt eens naar buiten kijkt.
In principe geldt voor een overgang naar de Cloud hetzelfde als een overgang naar een ‘ouderwets’ extern fysiek datacenter. Daarmee sluit ik mij aan bij de vorige reactie.
Graag diep ik iets verder uit op het thema Beveiliging. Ik denk dan aan twee punten:
1) Vaak zie ik dat bedrijven klakkeloos denken dat security bij hosting providers – dus ook in de Cloud – wel goed geregeld is, omdat men een ISO27001 certificering heeft. Maar dat dekt lang niet alles af. Wees kritisch en toets wat er onder beveiliging van de Cloud provider valt.
2) Daarnaast is het belangrijk om te weten waar de Cloud fysiek staat. Persoonsgegevens mogen bijvoorbeeld niet zomaar buiten Europa worden opgeslagen. En denk ook even aan de Patriot Act: als de USA (een gedeelte van) uw gegevens niet mag inzien, is de Cloud misschien niet zo’n goede keuze.
Zie voor meer verdieping hier: http://securitysander.wordpress.com/2014/01/14/security-in-de-cloud-triviaal/
Zie ook de site =cloudbewust.nl Is een initiatief van EZ en ECP, met deze checks en meer – ” hoe kies ik een cloudprovider”
http://www.cloudbewust.nl
Op zich niet zo’n heel gek verhaal maar ook een beetje een open deur want het somt veel op maar geeft eigenlijk nergens een argumentatie waarom dan aan een bepaald criterium voldaan moet worden. En dat is een beetje jammer want nu wordt de keus voor flexibiliteit of efficientie een beetje onduidelijk terwijl de klant dat natuurlijk wel wil voor de laagste prijs.
Ik ben geneigd een beetje mee te gaan in de denktrant van Ewout. Maar hier dan ook even de verwijzing naar Sander en natuurlijk mijzelf in menig reflectie.
Mensen kunnen nu eenmaal niet verwachten voor een dubbeltje op de eerste rang te kunnen zitten. Alle waar naar zijn geld. Simpel. Sander stelt een ander, me dunkt, belangwekkend ding. Men moet bij het concept cloud meer dan ooit verder kijken dan eerder een beetje het geval was.
Meer schakels betekend ook meer en beter nadenken over continuance en de rollen en verantwoordelijkheden. De kansen op hiaten in de processen en de procedures kunnen dan ook toenemen.