Smart Governance voor IT

We kennen ze allemaal wel, de strategische adviezen, architecturen, governance documenten en andere goedbedoelde stukken rond IT-oplossingen die niet of maar deels toegepast worden of zelfs in een la verdwijnen. En we blijven er geld aan uitgeven en ons afvragen waarom het niet goed werkt. Hoe kunnen we dit wél effectief maken?

In de IT zijn we erg goed in het automatiseren van allerlei processen om het de beheerder of de ontwikkelaar makkelijker te maken, maar het geautomatiseerd controleren en afdwingen van beleid lijkt ons nog steeds niet zo goed te lukken. Waarin zit hem dat nou precies?

Zero touch beleid

In het cloud tijdperk is het het grootste doel om zero touch te werk te gaan. Alles wat met testen, uitrollen, beheren en monitoren te maken heeft gebeurt op basis van scripts. Dit kan niet anders in een continuous integration and deployment (CI/CD) omgeving waar time-to-market heilig is en cloud ontwikkelingen steeds sneller op ons af komen. De ontwikkelaar en beheerder wordt het op deze manier gemakkelijk gemaakt.

Maar of wat er ontwikkeld en in productie wordt genomen voldoet aan de strategie, principes, architectuur en overig IT- beleid wordt tot op de dag van vandaag nog grotendeels handmatig en steekproefsgewijs gecontroleerd, met in de ene hand het beleidsdocument en de andere hand met opgestoken wijsvinger.

Automatische governance

Het wordt tijd dat ook het toepassen van beleidsregels verregaand geautomatiseerd wordt. Zodat de regels die ooit bedacht zijn zo volledig mogelijk automatisch worden gecontroleerd. Niet alleen steekproefsgewijs of ingebed in een proces, maar real-time en automatisch.

Smart governance

Beleid automatiseren kan niet door het in documenten te blijven beschrijven. Dit moet gebeuren in uit te voeren code (scripts) die onder versiebeheer ontwikkeld is. Net als dat er smart contracts zijndie op blockchains draaien, moet er smart governance komen.

Dat betekent dat, net als dat beheerders hebben moeten leren ontwikkelen om beheertaken te kunnen automatiseren, dat architecten en beleidsmakers moeten leren om tools en talen te gebruiken waarin ze hun principes en regels in modellen en code kunnen ontwikkelen die vervolgens automatisch kunnen worden toegepast.

Gedocumenteerde Governance automatisch toepassen

Op zich zijn er al wel tools waarmee (deels) in formele regels beleid kan worden beschreven, maar die blijken nog lang niet toereikend genoeg en worden nog te weinig gebruikt. Ze worden met name gebruikt om, daar is-ie weer: te documenteren. En dit gedocumenteerde staat dan weer los van hoe het in de cloud omgeving soms geautomatiseerd wordt toegepast.

Bijvoorbeeld: in het beleid staat dat het opschalen van een cloud resource bij meer dan 25% groei per week eerst goedgekeurd moet worden. En vervolgens wordt dit door een beheerder in een policy geschreven die automatisch wordt toegepast door de cloud service. Wat zou het fijn zijn als dat gewoon vanuit de zelfde bron beschreven als toegepast kan worden. Zodat er geen mismatch meer kan zijn, en het altijd gebeurt.

Wat we nodig hebben is dus zero touch beleid door middel van smart governance!

Shadow IT uit de schaduw halen