Det strategiske grunnlaget handler om hvordan virksomheten får merverdi av skyleveransen. Les hvordan du etablerer struktur og forretningsmål, og sikrer at skyimplementeringen støtter den overordnede digitaliseringsstrategien.
Det er essensielt å forstå virksomhetens mål og strategi idet du planlegger å etablere skytjenester. Dette bidrar til verdiskaping, forretningsdrevne beslutninger, reduserte moderniseringsutfordringer og kontinuerlig forbedring av strategi.
Følgende bør være tydelig definert i virksomheten:
- Forretningsmål for sky – hvorfor skal dere flytte tjenester/infrastruktur til skyen
- Forventede resultater – hva dere ønsker å oppnå
- Økonomiske hensyn – kostnader og investering
- Tekniske hensyn – infrastruktur, sikkerhet, integrasjon og lagring
- Kompetanse – tilgjengelig kunnskap og kompetansebehov
Forretningsmessige drivere for skybruk
Forretningsmål for skybruk kan være:
Kostnadseffektivitet
Kostnadseffektivitet går ut på å flytte fra forhåndsinvesteringer i maskinvare og infrastruktur til en driftsmodell hvor det kun betales for ressursene som faktisk brukes. Virksomheten slipper kostnader for vedlikehold av datasentre, strøm, kjøling og maskinvare, og kan heller prioritere investeringene på tjenester som skaper verdi for brukere. Virksomheten unngår også syklusen for oppgradering av maskinvare, ettersom det er anbefalt å utføre hvert 3.–5. år.
Redusere forretningsrisiko
Å redusere forretningsrisiko innebærer å ta i bruk tjenester innen redundans og katastrofegjenoppretting for å sikre oppetid/kontinuitet. Du kan iverksette robust datastyring for å sikre compliance og sikkerhet. Minimer compliance-risiko ved å ta i bruk policier som blokkerer eller varsler handlinger som ikke er i tråd med virksomhetens regulatoriske krav.
Skalerbarhet
Skalerbarhet tar for seg virksomhetens evne til å tilpasse kapasitet etter faktisk behov, både opp og ned. I tradisjonelle miljøer må man forberede for maksimal belastning av tjenester, men med skytjenester kan dette automatiseres. Det gjør at det blir en automatisk økning av serverkapasitet ved høy pågang, og så går kostnaden ned når det nedskaleres for perioder med mindre aktivitet. Det er likevel viktig å ha et aktivt forhold til å styre skaleringsaspektet, slik at kapasitet, ytelse og kostnader blir optimalt håndtert.
Innovasjon
Innovasjon tar i bruk løsninger innenfor kunstig intelligens, IoT, analyse og utvikling. Ved å bruke innovative skytjenester kan virksomheter få tilgang til toppmoderne teknologi uten å måtte foreta seg store forhåndsinvesteringer. Der tradisjonelle miljøer bruker måneder på å anskaffe maskinvare og etablere utviklingsmiljøer, kan nye skytjenester lanseres på dager eller uker. Dette gir virksomheten en bedre evne til å respondere på brukerbehov og samfunnsutfordringer.
| Scenario | Anbefalinger |
|---|---|
| Har lite teknisk modenhet, manglende kompetanse i skyarkitektur og drift | Jobb med kompetansebygging, opplæring og pilot-prosjekter |
| Har lite dokumenterte forretningsmål | Definer klare forretningsmål (tidsbesparelse, skalerbarhet, kostnadsreduksjon) |
| Har planlagt og bestemt det økonomiske, men kostnadsoverskridelser forekommer | Jobb med kostnadsstyring, overvåkning av bruk og optimalisering av ressursbruk (FinOps). |
Tradisjonell og skybasert drift
Tradisjonell IT-drift er preget av store investeringer og totalansvar for drift og vedlikehold. Dette gir virksomheter større kontroll over sine ressurser, men det resulterer også i mindre fleksibilitet, og at det går langsommere å utføre endringer.
Skybasert drift benytter seg av en tjenestebasert modell hvor kapasiteten og funksjonaliteten har en dynamisk skalering. Virksomheter betaler for bruken, og leverandør er ansvarlig for å håndtere større deler av infrastrukturen. Dette øker fleksibiliteten og hastigheten på innovasjon, men det krever nye styringsmodeller, kompetanse og bevissthet rundt kostnader og sikkerhet.
| Aspekt | Tradisjonell IT-drift | Skybasert drift |
|---|---|---|
| Anskaffelse | Store investeringer i maskinvare og datasenter | Ressurser kjøpes som tjenester |
| Kostnadsmodell | Kapitalkostnader med flerårige investeringssykluser | Driftskostnader med løpende betaling basert på faktisk bruk |
| Skalerbarhet | Oppskalering krever nye investeringer og leveringstid | Nærmest ubegrenset skalerbarhet på minutter/timer |
| Drift og vedlikehold | Alt ansvar ligger hos virksomheten – maskinvare, strøm, kjøling og oppdatering | Leverandøren er ansvarlig for infrastruktur og plattform, virksomheten har ansvar for konfigurasjon og bruk |
| Fleksibilitet | Fast kapasitet som ikke utnyttes fullt | Dynamisk kapasitet som går opp eller ned basert på behov |
| Tilgjengelighet | Avhenger av den lokale infrastrukturen, og maskinvare | Global infrastruktur med redundans og høy Service Level Agreement (SLA) |
| Sikkerhet | Full kontroll – fullt ansvar | Delt ansvar hvor leverandør sikrer infrastrukturen, mens virksomheten sikrer konfigurasjon, egen bruk og data |
Overordnede mål og prinsipper
Skyimplementering må ha konkrete mål og styrende prinsipper som knytter tjenestevalg til forretningsverdi. Uklare mål som "modernisere IT" er ikke spesifikt, målbart eller tidsbestemt.
Eksempler på konkrete mål:
- Redusere tiden for å etablere nye miljøer fra 3 uker til 1 dag
- Oppnå 99,9 prosent oppetid for kritiske tjenester
- Lansere tre nye KI-drevne tjenester innen 2027
- Redusere totale IT-driftskostnader med 20 prosent over 3 år
Dette er konkrete mål, og de bør følges opp regelmessig. Ta gjerne i bruk dashboard som visualiserer fremgang.
Styrende prinsipper kan anses som en kompassretning for skyreisen. De gjør at ansatte i virksomheten kan ta beslutninger uten å måtte eskalere hver avgjørelse til ledelsen. Disse prinsippene må være tydelige, prioriterte og godt kommunisert i virksomheten.
Eksempler på styrende prinsipper i en skystrategi:
- Sky først – nye tjenester/applikasjoner vurderes for sky før andre alternativer
- Skalerbarhet – løsninger må kunne skaleres opp eller ned i forbindelse med behov
- Automatisering – infrastruktur og utrulling skal være så automatisert som mulig
- Sikkerhet først – løsninger må designes med sikkerhetsprinsipper
- Miljøbevissthet – hensyn til miljøpåvirkning ved skybruk
- Kostnadsinnsikt – kostnadene til løsningene skal kunne spores og rapporteres
Skystrategien bør være tett integrert med virksomhetens overordnede digitaliseringsstrategi og forretningsmål. Dette bidrar til at valg av teknologi er i tråd med retningen virksomheten ønsker å bevege seg i.
| Digitaliseringsstrategi | Skystrategi |
|---|---|
| Brukerne skal ha digitale tjenester som er selvbetjente og tilgjengelig 24/7. | Vi skal sikre høy tilgjengelighet med 99,9 % oppetid, global tilgang og skalerbarhet. |
| Data skal brukes med formål om å forbedre tjenestekvalitet. | Vi skal ta i bruk tjenester innen analyse, kunstig intelligens og maskinlæring. |
| Samarbeidet med andre virksomheter/etater skal forbedres. | Vi skal ha åpne standarder, API-først design og felles plattformer i sky. |
Roller og ansvar
En skyimplementering krever at roller og ansvarsområder er tydelig definerte. IT-roller i et tradisjonelt miljø må ofte tilpasses og tilegnes nye kompetanseområder som er spesifikt for sky. Ansvar må fordeles mellom sentrale team og produkteiere/team.
Det er anbefalt å danne en gruppe, eventuelt et team som er tverrfaglig. Denne gruppen skal bistå med koordinering og styring av skybruk innad i virksomheten. Hovedoppgaver for en slik gruppe kan være følgende:
- Utvikle virksomhetens skystrategi og prinsipper
- Evaluere skytjenester og teknologier
- Definere lover, standarder og retningslinjer
- Sikre compliance i skyplattformene
- Bistå med teknisk rådgivning
- FinOps, overvåke og rapportere kostnader i sky
| Rolle | Ansvarsområde | Kompetanse |
|---|---|---|
| Arkitekt | - Designe arkitektur - Evaluere og godkjenne arkitektur for nye systemer - Definere integrasjon mellom sky og on-premise | - Teknisk forståelse av plattformer i sky - Forståelse av nettverk, sikkerhet og data - Kjennskap til tjenestekatalog i sky |
| FinOps/kostnadsansvarlig | - Overvåke og analysere kostnader i sky - Identifisere muligheter for kostnadsoptimalisering - Produsere månedlige kostnadsrapporter | - FinOps metodikk - Kostnadsmodeller for plattformer i sky - Analyse og rapportering - Forretningsforståelse |
| CSO/sikkerhetsarkitekt | - Definere sikkerhetskrav og standarder i sky - Gjennomføre risikovurderinger for tjenester og infrastruktur - Sikre compliance med personvern og regulatoriske krav | - Informasjonssikkerhet og risikovurdering - IT-sikkerhet - Compliance rammeverk (ISO 27001, NIST, etc.) |
| Produkteier | - Prioritere funksjoner og tjenester basert på forretningsverdi - Ta beslutninger for ressurser relatert til eget produkt i sky - Ansvar for ytelse i produksjon | - Forretningsforståelse og domenekunnskap - Agile metodikk eller lignende - Forståelse av skyteknologier |
Disse rollene innenfor sky kan integreres med virksomhetens eksisterende IT-organisasjon, men dette bør gjøres uten å skape strukturer som er parallelle for å unngå siloer og eventuelt konflikter. Det finnes ulike tilnærminger for dette. Du kan ha dedikerte team for sky som har spisskompetanse og mulighet for rask utvikling av sky, eller så kan man heller gå for en integrert modell hvor kompetansen innen sky bygges inn i eksisterende team og tradisjonelle roller utvides til nøkkelrollene. Du kan også ha en hybrid tilnærming med sentral koordinering og dedikerte ressurser.
Styringsstruktur for skytjenester
For å sikre at bruken av skytjenester er konsistent, trygg og i tråd med regelverket som virksomheten følger, er det behov for en tydelig ((styringsstruktur+ Styringsstruktur er det norske begrepet for det som på engelsk kalles Governance.)). Dette gjør at fleksibiliteten er kontrollert og risiko kan håndteres på en forsvarlig måte.
Virksomheter bør ha strukturerte prosesser for evaluering og godkjenning når det gjelder bruken av skytjenester. Små endringer bør ikke kreve samme prosess som store strategiske valg.
Ved oppstart av nye prosjekter eller migrering av eksisterende løsninger, må virksomhetene sette opp gode styringsprosesser sammen med valgt leverandør.
| Aspekt | Kriterier |
|---|---|
| Tekniske krav | - Hvilke tjenester og funksjoner trengs? - Er de tjenestene i norske eller europeiske datasentre? - Dekkes integrasjoner med eksisterende systemer? - Er behovene innen ytelsene og latens definert? |
| Sikkerhet og compliance | - Dataklassifisering og lokalisering (Krav for hvor dataen skal ligge) - Sertifiseringer og attestasjoner - Tjenester og funksjoner innen sikkerhet |
| Kompetanse | - Hvilke plattformer har ansatte i virksomheten kjennskap til? - Hvordan er tilgangen til kompetansen for plattformen? - Opplæringsbehov og kostnader |
| Kostnader | - Total eierkostnad (TCO) over 3 til 5 år - Migreringskostnader - Driftskostnader |
| Strategisk | - Mulighet for å unngå låse seg ned til en leverandør? - Mulighet for multi-cloud? - Hvordan er leverandørens strategi og stabilitet på sikt? |
Det er også viktig å ta høyde for at ikke alle skytjenestene fra leverandørene er like. Noen er sikre og robuste, mens andre kan være i beta og ha enkelte risikoer. Det kan lønne seg å kategorisere tjenestene.
Kategorisering av tjenester
Forhåndsgodkjente tjenester
Med forhåndsgodkjente tjenester mener vi tjenester som har gjennomgått en godkjenningsprosess med tanke på sikkerhet, kostnader og compliance.
- Veletablerte tjenester som compute, lagring og nettverk
- Skal kunne provisjoneres uten godkjenning
- Skal følge policier og standarder
Eksempler på tjenester: Google Compute Engine, Amazon EC2, IBM Cloud Virtual Servers og Oracle Cloud Infrastructure Compute
Kontrollerte tjenester
Kontrollerte tjenester er tjenester som kan medføre betydelige kostnader og håndterer sensitiv data.
- Tjenester med sikkerhetshensyn eller kostnader
- Krever godkjenning fra sentral skyteam
- Risikovurdering må gjennomføres
Eksempler på tjenester: BigQuery (Google Cloud), Amazon SageMaker, IBM Watson AI og Oracle Autonomous Database
Begrenset eller ikke tillatt
- Tjenester i beta/preview
- Oppfyller ikke sikkerhetskrav
- Ingen datalagring i Norge/EU
Begrensede eller ikke tillate tjenester er tjenester som ikke oppfyller organisatoriske krav.
Retningslinjer og standarder
Retningslinjer og standarder skaper rammer som sikrer at bruken av sky skjer på en trygg måte, uten at dette skal ha en negativ påvirkning på innovasjonsevnen.
Retningslinjer innen sikkerhet
- Tilgangsstyring:
- Multifaktorautentisering er påkrevd for alle admin-kontoer.
- Least privilege: Brukere får minimalt med nødvendige rettigheter.
- Privilegerte kontoer krever godkjenning og logging.
- Kryptering:
- Alt av data som er i hvile, skal krypteres.
- Alt av data som er i transit, skal bruke anbefalt TLS-versjon eller høyere.
- Krypteringsnøkler skal administreres i en sikret tjeneste.
- Nettverk:
- Ingen produksjonsdatabaser skal ha direkte tilgang til internett.
- Alt av nettverkstrafikk skal gjennom godkjente soner i nettverket.
- Public IP-adresser krever godkjenning.
- Logging og overvåkning:
- Alt av administrativ aktivitet skal logges.
- Sikkerhetslogger skal beholdes i minst tolv måneder.
- Kritiske sikkerhetshendelser skal eskaleres til sikkerhetsansvarlige.
Retningslinjer knyttet til kostnader
- Budsjett og kontroll:
- Alle ressurser må merkes (tag) med kostnadssted og eier av produktet/tjenesten.
- Hvert team skal ha månedlige budsjetter.
- Umerkede ressurser slettes etter 7 dager.
- Optimalisering:
- Ressurser som ikke er i produksjon, skal skrus av utenfor kontortid.
- Ubrukte ressurser (stått stille i 30 dager) skal evalueres og potensielt slettes.
- Forhåndskjøpte sparingsplaner skal evalueres kvartalsvis eller halvårlig.
Operasjonelle retningslinjer
- Alle ressurser skal navngis på en standardisert måte.
- Obligatoriske merkinger (eier, kostnadssted, prosjekt) må oppgis før ressursen kan opprettes.
- Sikkerhetskopi:
- Kritiske systemer skal ha daglig sikkerhetskopi med 30 dagers oppbevaring.
- Viktige systemer skal ha daglig sikkerhetskopi med 7 dagers oppbevaring.
- Mindre viktige systemer skal ha ukentlig sikkerhetskopi med 7 dagers oppbevaring.