Cloud Computing & GRC (Governance, Risks & Compliance)

Keskiviikko 24.2.2010 klo 14:13 - Esa Toivonen, Senior Advisor, CGEIT, CISA, LJK

Pilvipalveluihin tyytyväiset asiakkaat kokevat saavansa vaivattomasti käytettävyyttä, skaalautuvuutta ja konkreettista mitattavaa hyötyä vastineeksi kuukausittaisista palvelumaksuista.

Jotta nämä asiakkaiden keskeiset vaatimukset kyetään täyttämään, tulisivat pilvipalveluiden hyvät hallintotavat, riskienhallinta sekä joustavuus olla palvelutoimittajalla hallinnassa.

Hyville hallintotavoille löytyvät viitekehykset tutuista malleista mm. ITIL ja COBIT viitekehyksistä. Riskienhallintaan löytyy viitemalleja samoin kuin joustavan ja ketterän palvelutuotannon toteuttamiseen. Kaikki tarvittavat elementit ovat siis kaikkien saatavilla ja olemassa. Mutta kun tarkastellaan perinteistä palvelutuotantomallia, jossa asiakkaalla on rajapintana palvelupäällikkö tai Account Manager päästääkin ytimeen.

Ole oma palvelupäällikkösi

Nämä henkilöt ja roolit tulevat pilvipalveluissa muuttumaan varsin virtuaalisiksi. Vastuiden määrittely yhdessä toimittajana kanssa RACI-matriisiin ei onnistu. Rajapinta onkin asiakkaalle itsepalvelumalli.

Hyvä hallintotapa vaatii siis pilvipalveluiden toimittajan innovointia, jotta asiakas todella kokee vaivattoman palveluelämyksen.

Valitettavasti tähän tämän hetken standardit ja viitekehykset eivät nimeä pilvipalveluiden viitemalleja, kontrollit kyllä osataan identifioida mutta toimintatavat ovat nyt rakentumassa.

Tilanne on pitkälle sama mikä se oli IT-ulkoistuspalveluissa noin kymmenen vuotta sitten kun ITIL ja COBIT tyyppiset mallit olivat vielä pitkälle rajatun asiantuntijajoukon visioita tulevaisuuden palvelumalleista.

Uskallan nähdä, että tällä kertaa saavutetaan sama hyvä kypsyystaso voidaan saavuttaa nopeasti, jopa 2-3 vuoden sisällä.

Riskienhallintaa itsepalveluna

Pilvipalvelu on asiakkaan arkkitehtuurivalinta halutulle palveluympäristölle, tämä tarkoittaa sitä, että asiakkaan tulee itse ottaa vastuu arkkitehtuurin sovittamisesta omaan tieto-, sovellus- ja teknologia-arkkitehtuuriin.

Arkkitehtuurivastuuta ei kanna palvelutoimittaja tai ei kukaan mukaan organisaation ulkopuolella. Paras ennakoiva riskienhallinnan kontrolli onkin Enterprise Cloud Architecture (ECA) malli, jonka olemassa olo varmistaa oikeiden palveluvalintojen teon.

Mikäli sen määrittäminen on haastavaa tai jopa mahdotonta voisi ehkä kokemuksesta sanoa, että organisaatio ei ole riittävän kypsä hyödyntämään pilvipalveluita.

Joustavuus – köydenveto vai pelivara?

Joustavuus on osatekijöiden summa, se ei siis synny pelkästään hinnoittelumallista, nopeasta käyttöönotosta tai skaalautuvuudesta. Joustavuudessa on kysymys palvelun sovittamisesta osaksi yritysarkkitehtuuria.

Kukaan ei anna anteeksi junan myöhästymistä sääolosuhteiden vuoksi, siksipä anteeksiantoa on vaikea saada myöskään epäonnistuneen muutoshallinnan tai ketterän testauksen vuoksi.

Jokaisen organisaation tulee määritellä oman liiketoimintansa ajurien (KGI, Key Goal Indicators) kautta mitä joustavuus merkitsee ja arvioida sen jälkeen mitkä pilvipalvelut täyttävät nämä odotukset ja vaatimukset.