Van traditioneel naar software-defined: de impact op capaciteitsplanning en ESG-rapportage
Auteurs: Milou van Vliet MSc RE en Jalal el Mansouri MSc RE
De snelle digitalisering van de samenleving vergroot onze afhankelijkheid van data, waarmee de vraag naar rekencapaciteit uit datacenters toeneemt. Tegelijkertijd staan datacenters steeds meer onder druk door maatschappelijke aandacht voor duurzaamheid. Veel organisaties kiezen daarom voor een overstap van traditionele datacenters (TDC’s) naar software-defined datacenters (SDDC’s). Deze overgang biedt kansen op het gebied van flexibiliteit, schaalbaarheid en duurzaamheid, maar brengt ook nieuwe uitdagingen mee voor capacity planning en ESG-rapportage. Welke gevolgen heeft deze ontwikkeling voor IT-auditors?
Een veranderend speelveld: van hardware naar software
In een SDDC worden alle onderdelen van de infrastructuur – computing, opslag en netwerk – volledig gevirtualiseerd en centraal aangestuurd via software. Waar in een traditioneel datacenter fysieke hardware en handmatige processen domineren, maken virtualisatie en automatisering in een SDDC een flexibele inzet van resources mogelijk. Organisaties kunnen hierdoor sneller en efficiënter opschalen of afschalen, passend bij hun veranderende behoeften.
Virtualisatie leidt in theorie tot efficiënter hardware gebruik, maar in de praktijk ontstaat soms juist bewust overprovisioning. Organisaties configureren meer virtuele capaciteit dan nodig is om performance-risico’s te vermijden of om clusters gelijkmatig te belasten. Daardoor blijft de fysieke bezettingsgraad vaak hoger dan de werkelijke vraag doet vermoeden.
Een vernieuwde aanpak voor capaciteitsplanning
De overstap naar software-gedreven infrastructuur vraagt om andere inzichten en andere stuurinformatie. In het onderliggende onderzoek is een capaciteitsplanningsmodel ontwikkeld dat specifiek is toegesneden op SDDC-omgevingen en vier onderdelen centraal stelt:
- Workload balancing
Waar workloads in een traditioneel datacenter nog handmatig worden verdeeld, zorgt de automation-laag in een SDDC voor continue, dynamische herverdeling. Dat voorkomt knelpunten, maar kan leiden tot een “comfort-zone” waarin extra capaciteit wordt aangehouden om migraties soepel te laten verlopen. Dit maakt transparante rapportage over daadwerkelijke bezettingsgraden belangrijker. - Energievoorziening en koeling
Daarnaast kunnen in SDDC’s workloads geconsolideerd worden. Hiermee kan apparatuur vaker in energiezuinige modi draaien of zelfs tijdelijk worden uitgeschakeld. Ook kunnen automation platformen resources automatisch in- en uitschakelen op basis van vraag. Maar het voordeel ontstaat pas echt wanneer ongebruikte fysieke hardware daadwerkelijk wordt uitgezet of uitgefaseerd. - Groeipotentieel
Daarbij constateren we dat SDDC’s het mogelijk maken om snel op- en af te schalen zonder grote hardware-investeringen. Dat is relevant bij tijdelijke projecten of seizoensgebonden belasting. Door te plannen op basis van scenario’s, en niet alleen op hardware, kunnen organisaties hun capaciteit beter laten meebewegen met hun business. - Bedrijfscontinuïteit en disaster recovery
Tot slot maakt het gebruik van virtualisatie in SDDC’s het eenvoudiger om failover-processen te automatiseren en testbaar te houden. Hierdoor verbeteren hersteltijden en wordt de impact van incidenten kleiner. Wel wordt de afhankelijkheid van de orchestration-laag groter, wat nieuwe risico’s vraagt om andere monitoring en controls.
ESG-rapportage: kansen en uitdagingen
Hoewel het capaciteitsmodel laat zien dat SDDC’s duidelijke duurzaamheidsvoordelen kunnen bieden, is dat niet vanzelfsprekend. Virtualisatie maakt hogere densiteit en betere benutting van hardware mogelijk, maar het daadwerkelijke effect hangt sterk af van hoe de omgeving is ingericht en beheerd.
Milieu (E)
Onderzoek laat zien dat de milieuwinst vooral ontstaat wanneer organisaties fysieke capaciteit actief afschalen. Een SDDC kan namelijk net zo goed draaien op oudere, minder efficiënte hardware. Als servers na consolidatie niet worden uitgezet of uitgefaseerd, blijft het energieverbruik onnodig hoog en vallen de duurzaamheidsvoordelen grotendeels weg. De winst zit dus niet alleen in virtualisatie, maar vooral in het nemen van daadwerkelijke stappen om overcapaciteit te verminderen.
Sociaal (S)
De overgang naar een SDDC verandert het werk van IT-teams ingrijpend. De focus verschuift van fysiek beheer naar automatisering, platformbeheer en data-analyse. Dit vraagt om nieuwe vaardigheden, opleidingstrajecten en aangepaste rolverdelingen. Daarnaast zorgt de afhankelijkheid van geautomatiseerde processen en platformen voor nieuwe vragen rond werkdruk, continuïteit en verantwoordelijkheden – onderwerpen die een plek dienen te krijgen binnen de sociale component van ESG-rapportages.
Governance (G)
Binnen governance verandert het risicoprofiel door de introductie of uitbreiding van een orchestration-laag. Deze laag wordt vaak geleverd door een beperkte groep technologie- en private cloud software leveranciers. Dit vergroot de kans op vendor-lock-in en contractuele afhankelijkheden. Tegelijkertijd stijgt de complexiteit rondom toegangsbeheer, logging en API-koppelingen. Interne beheersing verschuift daarom van vooral fysieke maatregelen naar grip krijgen op geautomatiseerde processen, identity-management en platformconfiguraties.
De rol van de IT-auditor
De opkomst van SDDC’s betekent voor IT-auditors een verschuiving in het auditobject en de benodigde expertise. Traditionele controlemethoden zijn vaak niet toereikend voor de dynamiek van software-gedreven infrastructuren. Automatische provisioning, resource orchestration, workload balancing en lifecycle-management worden kritieke processen die niet meer handmatig te volgen zijn. Auditors moeten kunnen beoordelen of deze processen betrouwbaar werken en of de inrichting aansluit op de governance-kaders. Daarnaast wordt het werkveld rond ESG-verantwoording breder. Auditors moeten vaststellen of gegevens over energieverbruik, CO₂-uitstoot en sociale aspecten volledig en herleidbaar zijn, ook wanneer deze afkomstig zijn van externe datacenter- of cloud leveranciers. De complexiteit van hybride rapportages vraagt daarom om nieuwe auditprocedures.
Bovendien veranderen de beveiligingsrisico’s: van fysieke toegang tot datacenters naar toegangsbeheer op softwarelaag, identity management en logging binnen gedeelde omgevingen. Vendor risk management wordt daarbij een belangrijker onderdeel van een audit, net als het beoordelen van compliance-afspraken in cloud- en SDDC-contracten. IT-auditors zullen daarom hun kennis moeten blijven ontwikkelen op zowel IT-infrastructuur als ESG-standaarden om hun rol goed te kunnen blijven vervullen.
Conclusie
De overstap van TDC’s naar SDDC’s biedt kansen voor efficiëntere capaciteitsplanning, betere inzet van energie en scherpere ESG-sturing. Maar deze voordelen worden alleen gerealiseerd wanneer organisaties hun fysieke capaciteit actief afschalen en hun governance proces aanpassen aan een software-gedreven omgeving.
Voor IT-auditors betekent dit een duidelijke verbreding van hun rol. Zij moeten inzicht krijgen in de werking van automatische processen, de betrouwbaarheid van energie- en ESG-data beoordelen en de risico’s rond op software gebaseerde datacenter platformen en leveranciers goed kunnen duiden. Zo kunnen zij organisaties helpen om de transitie naar een SDDC niet alleen technisch, maar ook duurzaam en verantwoord te realiseren.
Milou van Vliet MSc RE
Milou is IT Risk Manager bij BNG (Bank Nederlandse Gemeenten). Naast haar werk bij BNG is Milou onderzoeks-coördinator bij de postmasteropleiding IT Audit, Compliance & Advisory (ITACA) aan de Vrije Universiteit Amsterdam.
Jalal el Mansouri MSc RE
Jalal is Manager IT Audit & Advisory bij Forvis Mazars en sinds 2020 actief binnen het IT auditvak. Hij voert IT audit, IT advies en cybersecurity opdrachten uit voor organisaties in onder andere de financiële sector, het publieke domein en energiesector. Dankzij zijn brede ervaring adviseert hij organisaties op een praktijkgerichte en sectoroverstijgende manier over digitale weerbaarheid en IT-risicobeheersing. Daarnaast is hij als voorzitter van de opleidingscommissie en gastdocent verbonden aan de Vrije Universiteit Amsterdam voor de postmaster IT Audit, Compliance & Advisory (ITACA).
