Kåseri - Utmaningarna för molnadoption

Senaste veckorna har varit extremt händelserika och fyllda med erfarenheter. Kan inte låta bli att reflektera lite över frågor om molnets vara eller icke-vara. Jag har själv en lång resa bakom mig fram till idag och det här inlägget är ett litet kåseri om min egen resa. Den började i oktober 2006 då jag höll ett "keynote"-tal på en internationell konferens i Goa, Indien. Hösten 2008 uttrycker jag en första skepsis i bloggilnlägget "Avskaffa personligheten och segla in i molnen". För att göra något eget bidrag var jag arkitekt till Cloud Sweden för lite drygt ett år sedan. Ett blogginlägg från 9 mars 2010 visar på en förväntansfull attityd.

Vad är dagsstatus? Beror på vilken sida du står på.

Tillhör du skaran molnfantaster som har sett möjligheterna och sprider nu evangeliet? Det finns ett antal mänskliga effekter som du behöver ta hänsyn till:

• Många förstår över huvudtaget inte. Vi är människor och vänjer oss vid att saker ska fungera på ett visst sätt och i den lunken är det svårt att förstå varför något annat sätt skulle vara nödvändigt. En utvecklingschef på Facit sa följande: "Aldrig någonsin kan en elektronisk räknemaskin ersätta Facits högkvalitativa mekaniska räknemaskiner!"
• Många har legitima frågor om säkerhet och risker. Kontrollmöjligheterna är mindre i molnet, men ansvaret är fortfarande fullständigt. Säkerhet, format, integritet och regleringar är saker som inte kan kompromissas med.
• Nymodigheten molnet hotar jobbet. Oro för att bli av med jobbet och inte vara behövd är vanligt. Oavsett vad någon som påverkas påstår finns inga facit skrivna idag. Växeltelefonisten som kopplar samtal försvann "över en natt" när den digitala telefonväxeln lanserades (som ett exempel).
• Acceptansen kommer, men användningen uteblir under lång tid. När Internet var ett relativt nytt begrepp för gemene man insåg många värdet med att söka efter information, publicera information och på annat sätt nå insikter/fördelar. När internetbanken lanserades insåg många nyttan med att slippa stå i köer, fylla i lappar och passa snävt tilltagna öppettider. Ändå dröjde det ett bra tag innan den stora massan började använda sig av internetbanken. 

Tillhör du istället skaran skeptiker som inte har sett värdet med molnet? Det finns ett antal saker att ta hänsyn till:

• Alla vill äga begreppet, men få förstår hur. Som med varje hajp kommer många att kalla sina produkter/tjänster för det namn som rådande hajpen handlar om. Att måla läppstift på en gris och marknadsföra den som fotomodell gör inte grisen mindre grisig. Knepet är att hitta långsiktiga samtalspartner som lämnar grisen hemma.
• Förklaringsmodell som utgår ifrån just dina behov saknas. Molnet är elastiskt, skalbart, behovsstyrt, kräver inga investeringar och en hel massa andra superlativ. Du saknar vettiga argument som tar hänsyn till din organisations förhållande till omvärlden (SWOT), kompetensbasen, kärnprocesser, indirekta nyttoeffekter och ifall du egentligen behöver något annat än fluff för just den specifika lösningen.
• Säkerheten är fortfarande otydlig. Mängder av frågetecken, tips, idéer och teorier presenteras titt som tätt. Fortfarande saknas handfasta råd om praktisk säkerhetsledning, styrning och uppföljning.

Resan fortsätter och jag inser att både fantaster och skeptiker ser molnmigreringen som ett pågående skifte. Ser fram emot att få reflektera över det hela två år från nu.

When the shift hits the fan

Stora skiften har hänt, händer och kommer att fortsätta hända. Varje större skifte innebär enorma risker för vissa, oanade möjligheter för andra och en permanent ändrad uppfattning för samtliga när förändringen väl har satt sig. Ånga till el. Telegraf till telefon. Löpande bandet - tjänstesamhälle. Massmedia - unikmedia. Exemplem är många, men det finns två gemensamheter med alla skiften:

1. De som mest hårdnackat förnekade skiftet blir till skrattmaterial när skiftet väl har inträtt. 
2. De som drivs av nyfikenhet och modet att våga förändra belönas.

Så här, fredagen till ära, har jag förberett en uppsättning principer som vi kan kalla "ABSONIK-manifestet" (ABSOlut uNIK). Tanken är att stimulera nyfikna och modiga att kliva fram och leda i förändringstider:

1.     Du skall veta att du är något.

2.     Du skall veta att du är fullgod

3.     Du skall sträva efter att bli klokare med åren.

4.     Du skall veta att du kan bli bättre än andra tror.

5.     Du skall sträva efter att alltid veta mer i morgon än du visste idag.

6.     Du skall vara viss om att du är minst lika god som någon annan.

7.     Du skall alltid veta att du duger som du är.

8.     Du skall få dig ett gott skratt då och då.

9.     Du skall veta att någon bryr sig om dig.

10.  Du skall sträva efter att dela med dig av din kunskap.

SpotCloud på radarskärmen

Hade en förmiddagsfika med Johan Christenson på CityCloud. Under en dryg timmes fika på mitt kontor i City gick diskussionerna varma. Två personer som brinner för sin sak leder onekligen till intressanta diskussioner. Johan kom in på SpotCloud och jag var tvungen att stoppa honom för att höra mer. Hade helt missat företeelsen. Efter vårt möte knappade jag genast in adressen i min favoritwebbläsare. Första utsagan som SpotCloud gör är:

SpotCloud is a Cloud Capacity Clearinghouse & Marketplace
A secure central platform for buying or selling unused cloud capacity based on location, cost and quality.


Jag tittar runt på informationen för köparen och ser att de erbjuder en geoanpassad leverans för datakraft. Ihop med ett enhetligt gränssnitt som täcker in samtliga leverantörer känns konceptet intressant. Behöver läsa på lite mer om hela modellen och tar tacksamt input från de som redan har använt sig av SpotCloud.

Creative Commons och katastrofen i Japan

Det kom ett mejl från Lawrence Lessig häromnatten (jag återger det sist i mitt korta inlägg). Ungefär samtidigt kom ett SMS från Telenor om möjligheten att bidra. Den här omtanken gör mig glad som människa och kund/partner.

Dear Fellow Creative Commoner:

A week ago, Japan suffered its most devastating earthquake and tsunami in modern history. This disaster has left thousands of people dead, many others injured and displaced, and an estimated 1.5 million more without access to power. Furthermore, the compounding catastrophe with the country’s Fukushima Dai-ichi nuclear power plant will affect the environment for decades.

Japan has long been at the core of the Creative Commons movement. It was the first country to port our licenses. Many of the most important commoners, including Yuko Noguchi, Chiaki Hayashi, Tomoaki Watanabe, Dominick Chen, and CC’s chairman, Joi Ito, have come from Japan.

All of us send our prayers to the Japanese people. But if you can send more than prayers, it would mean a great deal. Japan needs urgent help. Please do what you can. Your support will help in concrete ways, and will also be critical to raising the spirits of the Japanese people as they face the challenges ahead.

There are several worthy aid organizations to select from on Google’s Crisis Response page. And please consider contributing to Architecture for Humanity’s Japanese reconstruction effort.

Thank you,

Lessig and the Creative Commons Team

Varför är vi i värdegapet?

Efter IDGs artikel "De stora företagen är inte redo för molnet" har jag fått en del frågor. Flera handlar om att stora företag redan idag använder sig av molntjänster och att jag således är ute och cyklar. Precis innan intervjun med IDG skrev jag ett kort inlägg om värdegapet. Kommer strax tillbaka med kopplingen.

Att större organisationer redan idag köper molntjänster är inte underligt. I flera fall har en verksamhetsgren kunnat hämta hem flera vinster genom att välja molntjänst framför att lägga "beställning" till den interna it-funktionen (egen eller outsourcad). Utmaningen kommer senare på vägen när molntjänsten börjar bli viktig för fortsatta framgångar för den verksamhetsgrenen. Ofta händer det att någon form av integration med befintliga system behöver göras och tidigare vinster börjar ätas upp av anpassningskostnaderna.

Tillbaka till värdegapet: För att dra full nytta av molnet behöver större organisationer en orkestrerad strategi och förändringsledning som säkerställer hemtagning av vinster över hela organisationen (direkta eller indirekta vinster). Utifrån min horisont är den strategiska formuleringen något som görs sedan länge, men det är först nu som flera organisationer förstår att det inte är ett it-initiativ.

Självdeklaration


Slutligen vill jag tydligt deklarera min egen ståndpunkt: Jag tror att molnet som begrepp är ett större skifte än vi själva ser i dagsläget. Som varje skifte behövs en institutionell kunskap att förstå hur systemets samtliga bitar hänger samman. En bra liknelse är Thomas Alva Edison och hans påstådda uppfinning av en glödlampa. Sanningen är att han fokuserade på hela systemet: "Hur kan jag säkerställa att det fins infrastruktur av el som gör att alla hem har nytta av en glödlampa?", var den frågan han ställde sig. Många ser molnet som "glödlampan" och glömmer hela ekosystemet runt glöden.

Med allt det sagt påstår jag inte att jag förstår ekosystemet, men jag håller sinnet öppet och försöker att regelbundet ta en vy högt från ovan. Och om jag tar långa cykelturer då och då är det bara hälsosamt. Vyerna och vädret upplevs på nära håll från cykelsadeln ;)

Värdegap måste överbryggas

När alla intryck är smälta efter easyFairs och en kundworkshop behöver jag reflektera över frågeställningarna som har etsat sig fast. 

Först en reflektion från paneldebatten på den andra mässdagen, 17 mars. Jag fick förmånen att vara moderator för paneldebatten "Kan vi lita på molnet?" med följande deltagare:

• Bengt Berg, chef Compliance Manager Services Cybercom
• Joakim von Braun, Säkerhetsguru.
• Conny Jäverdal, it-säkerhetschef Transportstyrelsen
• Magnus Lindkvist, säkerhetsrådgivare Microsoft
• Agneta Syrén, Informationssäkerhetschef Länsförsäkringar
• Henrik Thernlund, Säkerhetsskyddschef på Fortifikationsverket

Debatten handlade om tilliten till molnet i all sin fluffighet, men deltagarna lyckades plocka ner frågeställningarna till konkreta och förståeliga områden. Ledarskap, kompetens, kritisk granskning, ansvarstagande och förnuftet är områden som återkom under debatten. Avslutningsvis enades panelen enhälligt om att begreppet "molnet" innebär ett paradigmskifte.

Värdegap och bevisföring

Gartner är ett företag som gör djupa analyser av kommande teknik och har en vedertagen metodik att beskriva teknikinnovationer genom Gartner Hype Cycle. Sommaren 2009 var Cloud Computing på absoluta toppen av kurvan. I dagsläget befinner vi oss i otakt mellan hajp och full produktivitet avseende molnet. För att värdegapet mellan löften och faktiska leveranser ska överbryggas är det ett fyra saker som måste bevisas:

1. Upp till bevis: Prestanda, effektivitet, tillgänglighet, riktighet och alla andra utlovade värden måste leva upp till utfästelserna.
2. Naturlig integration: Molnet behöver integrera väl med befintliga verksamhetsprocesser, teknik och organisationsformer.
3. Viral spridning: Isolerade tidiga initiativ behöver få spridning runt om i organisationen och uppnå en spridning över en kritisk massa.
4. Nyckeltalen stämmer: Lägre kostnader, snabbare innovationstakt, snabbare till marknaden. Oavsett motiv som nyckeltalen har kopplats till måste en utvärdering visa på att löften har uppfyllts.

Därför är det glädjande att konstatera att allt fler organisationer inser att molnet inte lever i ett vakuum. Lyckad satsning är frukterna av medveten strategi där arkitekturen (teknisk, verksamhetsmässig) har varit grundstenen för vägen framåt.

Något som jag kommer att försöka bena ut under min presentation på ITARC 2011.

Webinars om molnkompetens för beställaren

Cloud Sweden firade sin ettårsdag under easyFairs den 16 mars. Under dagen hölls ett antal seminarier av de olika arbetsgrupperna. Fyra webinars från arbetsgrupperna Affärsnytta, Infrastruktur, Juridik och Säkerhet finns på Bambuser. Dessutom finns en livesändning att se på samma kanal.

Varje webinar är runt 15 minuter långt och ger konkreta råd till dig som beställare av molntjänster.

Moderatorns sanna ansikte

Hade förmånen att vara moderator för passet "Kan vi lita på molnet?" på easyFairs den 17 mars 2011. Följande bild sammanfattar rollen väl :)

På förfrågan - Min MindMap från Fokusdagen

PaaS exploderar i år enligt Gartner

2011 är PaaS-året enligt en färsk rapport från Gartner. Det kommer att hända en hel del inom området och vi kommer att få uppleva mängder av innovationer och helt nya spelare, enligt Gartner.

Det mest intressanta är synen på utvecklingen mot molntjänster. Gartner förutspår att PaaS-explosionen kommer medföra en hybridlik cloudsourcingmodell framöver. Den stora övergången mot molntjänsterna kommer att ske genom innovationer i teknik och affärsmodeller. 2015 kommer de flesta organisationer inte kunna stå emot molnet.

Fokusdagen med SIG Security idag

Idag klockan 13.15 håller jag ett anförande på Fokusdagen, som är arrangerad av SIG Security, Dataföreningen och ISACA. För alla som inte har chansen att delta har jag lagt ut min presentation på Slideshare. Den är licensierad under Creative Commons och du kan fritt använda den, så länge som du anger mig som skapare.

Jag har använt mig av den helt nya mallen för Cloud Sweden och känner att det fungerar väl.

Varför molnet? En bild säger mer än tusen ord

Bloomberg Businessweek har gjort en extremt rolig bild som beskriver start-ups under .com och under clouderan. Träffsäkert!

IT-smartness ritar på nytt om kartorna

En stor del av min verksamhet handlar om molnet och allt som kommer med användningen av det. Skiftet mot molntjänster är i full blom och inom de närmaste 5 åren kommer alltfler av våra större organisationer att ha tydliga strategier kring cloudsourcing. Men, all innovation handlar inte om att landa i molnet. En stor del av den IT-smartness som nu utvecklas använder sig givetvis av Internet som kommunikationsmedium, men innovationerna handlar om hela grunden som nuvarande IT-funktioner står på.

NoSQL & NoOS


Strukturerade relationsdatabaser med ett strukturerat frågespråk har en fortsatt given plats, men utmanas av andra former av datalager. Enorma datamängder behöver kunna ordnas, indexeras och presenteras i realtid. Baserat på efterfrågan behöver datalagren ha intelligens nog att förutse vilken last som väntas framöver och förbereda sig för att hantera den.

Operativsystemen idag och i morgon behöver vara ultratunna, specialiserade och optimerade för specifika virtualiseringskoncept. Virtualiseringsmotorerna och webbläsarna är dagens viktigaste bränsle för informationsarbetare. Jag inbillar mig att vi bara befinner oss i ett primitivt stadium avseende möjligheterna med virtualisering. Virtualisering av datacenterfunktioner och klienter ökar lavinartat. Applikationsvirtualiseringen söker nya marker. De mest intressanta virtualiseringskoncepten kommer med stor sannolikhet att handla om tilläggstjänster till webbläsaren och säkerhetstjänster levererade via molnet. Det är orimligt för en verksamhet att hantera tusentals tillägg till webbläsarna så som utvecklingen är nu.

Kommandobryggor och trendcentra


I takt med att grunden förändras och erbjuder en högre grad av IT-smartness kommer de rent operativa tjänsterna att bli intelligentare. Det som för 20 år sedan benämndes som AI (Artificiell Intelligens) är en realitet tack vare möjligheten att hantera ofantliga mängder av information i realtid. Monitorering, övervakning, optimering, säkerhetsscanning kommer alla att skötas av självlärande system. Djupare analyser kommer givetvis att kräva mänsklig smartness, men även där kommer verktygen att erbjuda flera dimensioner än vad som hittills har varit fallet.

Internetifieringen


Molnen som begrepp msiter tjusningskraften inom närtid. IT-smartness handlar om Internet och molnet behövs inte som en krystad konstruktion för att beskriva det nya normala. Min förhoppning, i egenskapen av självpåtagna rollen som Cloud Advisor, är att vi har enats om begrepp och terminologi innan vi låter upplösningen ske.

Glöm inte att komma ihåg att Cloud Sweden håller i mängder med events under EasyFairs 16 - 17 mars i Kistamässan.

Molnets immunsystem och personuppgifter

Datainspektionen inleder en granskning av offentliga organisationers användning av molntjänster och efterlevnad av PUL. Förhoppningsvis kommer granskningen leda till en vägledning och praxis för personuppgifter och molntjänster. Datainspektionen självt har satt målet att öka medvetenheten om vad som gäller i outsourcing- och cloudsourcingsammanhang avseende krav på personuppgiftsbehandlingen.

I väntan på utfallet vill jag ge en liten överblick kring närbesläktade frågor: Molnets immunsystem, säkerhetstro och kontrollpunkter.

Nätverkets immunsystem


IT-resurser i en organisation har ett antal tekniska skyddsåtgärder som lättast kan ses som antikroppar som skyddar mot de flesta kända hot. Brandväggar, filtrering, intrångsintelligens, skydd mot elak kod, säkerhetsuppdateringar och lösenord bildar ett djupgående skydd mot massepidemier som snurrar runt på Internet. Dagliga vaccin, i form av uppdateringar, injiceras när nya epidemier identifieras. Hela maskineriet är i de flesta organisationer styrt av metodiska processer, som kan ses som kommandobryggor. Det handlar om olika former av informationssäkerhetsramverk, riskanalyser, hotbildsmodellering och efterlevnadsramverk specifika för verksamheten som tillsammans utgör kittet.

De riktigt framgångsrika organisationerna gör en årlig genomlysning som innefattar djupgående säkerhetsrevisioner. Dessutom är många medvetna om vikten av säkerhetsgranskningar innan lansering av ny funktionalitet. Säkerhet som eftertanke förlorar fort mark. Tittar vi på en sådan organisation och kopplar det säkerhetsarbetet till PUL och lämpliga säkerhetsåtgärder, enligt DIs krav:

När man gör en lämplighetsbedömning, det vill säga bestämmer vilka säkerhetsnivå man ska ha, ska man tänka på att åtgärderna ska ge en säkerhetsnivå som är lämplig i förhållande till

• tillgänglig teknik
• kostnaden för åtgärderna
• om det finns några särskilda risker med behandlingen
• hur pass känsliga uppgifterna är.

Med tillgänglig teknik menas de tekniska lösningar som i dagsläget är tillgänglig på marknaden. Det kan också ses som en referens till att i första hand använda produkter som stödjer etablerade, välbeprövade standarder.

Kostnaden för säkerhetsåtgärderna ska ställas i relation till riskerna för att obehöriga får ta del av personuppgifterna. Ju större riskerna är, desto mer omfattande ska säkerhetsåtgärderna vara.

Då ser vi att kontrollmöjligheterna är goda. Organisationen har i det läget hela makten från kommandobryggan ner till immunsystemen. 

Outsourcat immunsystem

Outsourcing som begrepp täcker in ett brett spektrum av överenskommelser. Jag väljer att förenkla världen till att tala om IT-oursourcing utifrån tre begrepp:

1. Effektiviseringssourcing i syfte att kapa kostnader
2. Förbättringsorienterad sourcing i syfte att förädla operationella processer
3. Transformativ sourcing i syfte att skapa tydliga konkurrensfördelar

Komplexitetsgraden i kontrollmekanismerna skiljer sig avsevärt i varje specifik modell. För svensk offentlig sektor underlättas tankegångarna av att de flesta verksamheterna är nationella till sin natur (eller har EU/EES som marknad). Dessutom finns inga incitament att skapa konkurrensfördelar gentemot annan myndighet. Då återstår idén om sourcing för effektivisering och/eller förbättring. I de fallen finns ofta upplägget att sourcingpartner har folk både "in-house" och centralisering av drift/övervakning till eget operativt center. Oftast är det även den egna personalen som övergår till sourgingpartnern inom avtalet. 

Kontrollmöjligheterna kan avtalas och finns i viss mån fortfarande kvar "som förr". Dessutom kan avtal slutas om att ingen funktionalitet flyttas utanför landet (eller EU/EES).

Cloudsourcingens immunologi

En aktör inom molntjänster som vill leda utvecklingen gör enorma investeringar i infrastruktur, processer och personal. Rent nätverksimmunologiskt har de ett enklare jobb än de flesta större organisationer av följande anledningar:

• Extrem specialisering: Datacentren levererar en grundplattform, specialiserad utvecklingsplattform eller extremt avgränsad applikationsfuktionalitet. Det innebär att all logik, tjänster och funktionalitet specialiseras för en enda uppgift. Till skillnad mot ett datacenter för en verksamhet som behöver leverera 100-tals olika applikationer med 10.000-tals tillhörande systemtjänster.
• Avskalad infrastruktur: Serversystemen är extremt designade med full kontroll ner på komponentnivå. Operativsystemen är konfigurerade med exakt de tjänster som behövs. Virtualiseringsmotorerna likaså. Det innebär att gränsytan för angripare är extremt mycket mindre än motsvarande system i en vanlig verksamhet.
• Hyperdubblering av kapacitet: El, kyla, bandbredd. Allt kommer i mångdubbla uppsättningar och riskerna för logiska "single point of failure" är mycket små.

Så långt kan det kännas rätt tryggt. Utmaningarna kommer då kunder vill mappa sina kommandobryggor och strukturer in i molnleverantörens immunsystem. Hur kan varje enskild kund särskilja attacker som generellt riktas mot leverantörens system, men ändå kan ha specifik påverkan för just den kundens funktionalitet? Det här området kommer att ge prov på mängder av innovationer, enligt min uppfattning. Informationssäkerhetshubbar, analystjänster och realtidsmätningar mot uppsatta nyckeltal är bara några exempel på tjänsteområden som jag ser som nödvändiga. 

Personuppgifter då?

Hösten 2010 gjorde jag en första liten enkel lathund för att komma igång med frågeställningarna avseende informationshantering i molnet. Den är extremt enkel, på gränsen till larvigt simplistisk, men är ändå en viktig startpunkt. I flera steg handlar en god säkerhet om kryptering och hantering av kryptonycklar. Frågan är hela tiden: Vad är gott nog? Ett delsvar kommer förhoppningsvis till sommaren avseende PUL och molntjänster.

Extremt bra information

Cloud Security Alliance har en mycket bra guide för molntjänster och säkerhet.

Cloud Swedens Säkerhetsgrupp har en bra checklista för molnsäkerhet.

Cloud Sweden firar ett år

Cloud Sweden är ett nationellt kompetenscenter som verkar för hög beställarkompetens och svenskt ledarskap i molnet. Den 16 mars är det ett år sedan Cloud Sweden formerades och under EasyFairs 2011 på Kistamässan kommer en hel del aktiviteter att gå av stapeln. En översikt finns på bloggen.

Alla som har ett intresse kring molnfrågor är välkomna att kostnadsfritt gå med i Cloud Sweden. Du kan vara molnoptimist, molnoptimist eller molnagnostiker; det finns rum för oss alla i diskussionerna. Är det något som är otydligt tar jag gärna emot frågor på predrag[at]mynethouse.se

Google Apps eller Office 365 är inte frågan

Computer Sweden har gjort en artikel om samverkan som molntjänster. Fokus i artikeln ligger på granskningen av Google Apps vs Microsoft Office 365. Jag uttalar mig kortfattat i en sidoartikel om det hela. Min grundfilosofi är enkel: Dokumenthantering och samverkansfunktioner (collaboration) är vitala funktioner i en organisation. Därför behövs en strategisk genomgång av samverkansprocesserna inom organisationen, internetmognad hos användarna, format för informationsbearbetning/lagring och en hel del annat. När den genomgången är gjord kommer nästa fas: En strategisk safari bland verktygen och genomgång av funktioner och avtalsformer.

Efter den strategiska safarin kommer då läget för utvärderingen. Mellan Google och Microsoft skiljer sig det mesta åt i filosofi. Den ena aktören kommer från en lång tradition av mjukvaruutveckling för olika former av organisationer. Den andra utvecklar Internettjänster som dimensioneras för ett antal miljoner användare. Den ene aktören arbetar efter en traditionell licensmodell. Den andra släpper mycket under öppen källkodslicenser. Gränssnitten skiljer sig åt avsevärt mellan de båda. Så, även om funktionaliteten är likvärdig för grundprodukterna finns mängder av andra mjuka värden som påverkar valet.