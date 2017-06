Hoe kan je mee in de digitalisering van je organisatie als je nog vastzit aan verouderde infrastructuur? Met die vraag worstelen nog verrassend veel Nederlandse bedrijven, instellingen en overheden. Maar soms is die legacy nog nodig om aan bepaalde regelgeving te kunnen voldoen, en soms is vervanging door bijvoorbeeld de cloud (IaaS, PaaS) niet gewenst of niet mogelijk.

CIO's discussiëren met elkaar tijdens de CIO Summit Series.

Dat bleek uit de eerste editie van de CIO Summit series, een aantal bijeenkomsten van IT-leiders in Nederland, georganiseerd door IDG Nederland, de uitgever van onder meer CIO.nl, in samenwerking met IDC Nederland. Meer dan 20 CIO's, CISO's en IT-managers uit de top van het Nederlandse bedrijfsleven gaven hun visie op de digitalisering van de markt, de branche en de eigen organisatie en beschreven openhartig de obstakels daarin.

Ron van Gool, CIO van Royal Cosun: "Legacy kan handig zijn, als alles goed blijft draaien kan je geld vrijmaken voor andere zaken"

Cloud nog ver weg

Daaruit bleek dat de mate van digitalisering van de organisatie vaak afhangt van een aantal factoren: de legacy in de infrastructuur, de staat van de digitalisering in de branche en de wijze waarop de klant kan meegaan in de digitalisering, zeker in B2B-omgevingen. Daarnaast blijken veel organisaties afhankelijk van wat IT-leveranciers te bieden hebben, en dat brengt al kopzorgen genoeg mee. "In onze markt zijn slechts een aantal aanbieders", zegt Simon Does, CIO van de gemeente Arnhem. "Ik ben dus in grote mate afhankelijk van hetgeen de aanbieders ontwikkelen."

Een lokale overheid als Arnhem kent nog veel legacy. Zo vertelt Does dat de gemeentelijke organisatie werkt met "1500 mensen en 1500 applicaties." De grootste zorg daarin is de koppelingen tussen die applicaties, "hoe knopen we het aan elkaar". De inzet van de cloud is daarin geen optie. Ook bij retailgroothandel Makro is dat het geval, zo blijkt uit de woorden van Hendrik Schuszler, Head of Information Services bij Makro Nederland.

Hendrik Schuszler (midden), Head of Information Services bij Makro Nederland.

"De cloud is voor ons nog ver weg. We staan nu wel voor de vraag: hoe gaan we om met onze legacy? In onderhoud wordt dat nu al te duur. Gaan we het vervangen of niet? Maar elke handeling hierin kan een grote impact hebben. We zijn immers actief in 27 landen en de impact op de business kan groot zijn. Het speelveld waarin je je dan bevindt is fragiel. We staan eigenlijk met de rug tegen de muur."

Amand Veltmeijer, CISO bij KPMG: "De kroonjuwelen staan on-premise. Dat zijn immers data van de klant"

Maar legacy hoeft niet altijd een probleem te zijn, betoogt Ron van Gool, CIO van Royal Cosun, een agro-industrieel concern met bedrijven als Suiker Unie en Aviko. "We hebben in sommige fabrieken nog Windows XP draaien met Windows Server 2003. En als Microsoft de ondersteuning niet had ingetrokken, hadden we er nog veel meer draaien. Legacy kan handig zijn, als alles goed blijft draaien kan je geld vrijmaken voor andere zaken. Maar als je legacy hebt zal je daarvoor wel een strategie moeten ontwikkelen."

Wet- en regelgeving

Veelal zijn vraagstukken over de beveiliging van data en regulering reden van het zoveel mogelijk vermijden van de cloud, zo blijkt uit de gesprekken tijdens de CIO Summit. Met name bij de overheid en in de financiële dienstverlening wordt gewezen naar de privacy- en databeschermingswetten. Vandaar dat vrijwel geen enkele organisatie er onderuit komt vooral gevoelige data on-premise te houden, zelfs als dat betekent dat daardoor de legacy infrastructuur in stand moet worden gehouden.

Menno Schoonhoven, riskmanager bij ING Bank: "Hoe blijf je aantoonbaar in control, dat is de crux"

Dat is zeker het geval met de gemeente Arnhem, waar data van de inwoners goed afgeschermd moet worden en dus on-premise wordt bewaard. Maar ook een organisatie als KPMG heeft dergelijke afwegingen. "De kroonjuwelen staan on-premise. Dat zijn immers data van de klant", zegt Amand Veltmeijer, CISO bij KPMG.

Menno Schoonhoven, ORM bij ING.

Die overwegingen voeren bij ING, Rabobank en ABN Amro nog niet eens de boventoon. Daar gaat het vooral om het voldoen aan wet en regelgeving. "Hoe blijf je aantoonbaar in control, dat is de crux", stelt Menno Schoonhoven, riskmanager bij ING Bank. "En als je dan weet dat de grootste cloudaanbieders Amerikanen zijn, is de vraag al helemaal gerechtvaardigd hoe je controle houdt over je data." Volgens cloudprogrammanager Jessica Slotjes van Rabobank is het voor banken zo dat zelfs als het risico in de cloud klein is, gevoelsmatig toch voor de eigen datacenters wordt gekozen.

Schuszler van Makro: "Je kan beter data bewaren bij Microsoft, want dan ligt het securityrisico ook bij hen en niet in jouw datacenter"

Schuszler van Makro gooit de knuppel in het hoenderhok: "Je kan beter data bewaren bij Microsoft, want dan ligt het securityrisico ook bij hen en niet in jouw datacenter." Dat stuit op weerstand bij zijn collega's. "AWS en Microsoft spenderen enorme budgetten aan security", zegt Schlotjes van Rabobank. "Maar voor IaaS en PaaS hebben ze maar deels daarvoor verantwoordelijkheid, de rest moet je zelf doen. Zij beheren en beveiligen slechts een deel van de dienst en ik maak me eerder zorgen over het deel dat bij ons ligt."

Simon Does, CIO Gemeente Arnhem: "Het probleem zit hem erin dat IT de medewerkers niet bij kan houden"

Shadow-IT

Wat de legacy in de eigen infrastructuur en de terughoudendheid in de cloud wel veroorzaakt is dat gebruikers hun eigen weg gaan zoeken en hun toevlucht zoeken in eigen cloudtoepassingen, de zogeheten Shadow-IT. Elke deelnemer aan de CIO Summit had daar op één of andere wijze wel last van. "We zien soms aan het e-mailverkeer dat iemand een SaaS-oplossing heeft ingeschakeld", zegt Makro's Schuszler, "omdat ze daarvoor hun zakelijke e-mailaccount hebben gebruikt. Dat gaat dan helemaal buiten IT om, en er zit helemaal geen controle op."

Simon Does, CIO bij de gemeente Arnhem.

Ook Does van de gemeente Arnhem en Veltmeijer van KPMG herkennen dat. Tussen Veltmeijer en Schuszler ontstaat enige discussie. "Zo krijgen mensen elders in de organisatie toch ook meer IT-expertise", vindt Veltmeijer. "Maar er is ook veel IT-ignorantie", vindt Schuszler, "vooral op het gebied van security." Volgens Schuszler geeft vooral de jongere generatie medewerkers in het gebruik van IT kopzorgen. "Ze gedragen zich in je organisatie hetzelfde als op Facebook, zonder enige bedenkingen. Ze delen alles, zonder besef van security. Privacy heeft voor hen een andere betekenis."

Harm Wesseling, Directeur ICT Martini Ziekenhuis in Groningen: "We hebben onlangs elke medewerker een brief gestuurd met de melding dat er zware sancties staan op het versturen van patientgegevens via -email of Dropbox"

Wat de CIO's en CISO's vooral opvalt is het gebruik van diensten als Dropbox en Google Drive. "Het probleem zit hem erin dat IT de medewerkers niet bij kan houden", vindt Does van de gemeente Arnhem. "Ze willen alles morgen hebben, dat kan ik niet bijbenen." Ook Van Gool van Royal Cosun herkent dat. "Als er Shadow-IT ontstaat dan kan je blijkbaar als IT niet voldoen aan de vraag, aan de behoefte aan innovatie. Maar IT moet dat wel begeleiden." Dat laatste wordt door vrijwel elke collega onderschreven.

Ron van Gool van Royal Cosun.

Bij het Martini Ziekenhuis in Groningen hebben ze een VDI-infrastructuur die zoveel als mogelijk Shadow-IT tegengaat, maar dan nog zijn er incidenten. "We hebben onlangs elke medewerker een brief gestuurd met de melding dat er zware sancties staan op het versturen van patiëntgegevens via email of Dropbox", zegt Harm Wesseling, Directeur ICT. "Het is niet zo dat mensen kwaad in de zin hebben, maar het ontstaat uit behoefte en het security- en privacydenken zit niet voldoende in het gedrag ingebed van de medewerkers", vult Van Gool aan.