Tekst Alexandra Claessens
Foto Wim van Beek
Veilig en efficiënt kunnen werken is belangrijk voor rijksambtenaren, zeker in deze tijd van toenemende (cyber)dreigingen. Goede beveiliging is een doorlopende prioriteit voor de honderden applicaties in beheer van SSC-ICT, die dagelijks door duizenden collega’s op verschillende apparaten gebruikt worden. In 2021 startte SSC-ICT het DAM-programma (Datacenter en Applicatie Modernisering) op, met als doel het borgen van de veiligheid en gebruikersvriendelijkheid van applicaties door middel van goed lifecycle management. In 2023 is dit programma overgestapt op een meer agile manier van werken, waarbij in een versneld tempo alle applicaties (en de omgevingen waarin ze draaien) van de nodige updates worden voorzien. Maar om dit te kunnen doen, moeten de applicaties eerst naar een nieuwe, veilige infrastructuur worden verhuisd.
Geschatte leestijd:
7 minuten
Toen het DAM-programma van start ging, lag er een enorme berg aan werk. Het doel van de verhuizing en daaropvolgende updates is om alle applicaties voor de lange termijn veilig, robuust en stabiel te houden. Zo zijn de klanten van SSC-ICT gegarandeerd van een omgeving waarin ze hun werk goed kunnen doen en voorbereid zijn op toekomstige ontwikkelingen. Maar dit was (en is) een omvangrijke opgave vanwege het grote aantal applicaties dat SSC-ICT levert. Al deze applicaties – en de omgevingen waarin ze draaien – moeten voortdurend van de nodige updates worden voorzien. Dit is nodig om continuïteit van de dienstverlening te kunnen waarborgen en te blijven voldoen aan de eisen die SSC-ICT en de klanten aan de applicatie(s) stellen.
‘Er lag een plan, maar er waren ook veel vragen: hoe pakken we dit project aan? Welke klant maakt gebruik van wat? Hoe maken we optimaal gebruik van zowel de capaciteit die we zelf hebben, als van de capaciteit die we aan de klantkant nodig hebben? We moesten natuurlijk niet alleen rekening houden met de technische randvoorwaarden die we zelf stellen, maar ook met de eisen en wensen van onze klanten. We hebben als gezamenlijk doel om de applicaties voor de lange termijn werkbaar te maken én te houden,’ legt Ruud Peeters uit. Ruud begon in augustus 2023 als Programmamanager transformatie bij de business unit IT Applicatie Services (BAS), en is verantwoordelijk voor applicatie lifecycle management bij SSC-ICT.
Wat is lifecycle management?
Lifecycle management (LCM) is het managen van het onderhoud gedurende de levenscyclus van een product: van implementatie en updates tijdens het gebruik tot de uiteindelijke uitfasering of vervanging. LCM is van toepassing op alle onderdelen van een omgeving. Denk aan (virtuele) hardware zoals servers, routers, switches en het netwerk, maar ook aan software zoals besturingssystemen en de applicaties zelf. Er worden voortdurend en gepland updates of patches uitgevoerd die nodig zijn om aan nieuwe veiligheidseisen te voldoen, of om de levenscyclus van de applicatie(s) te verlengen. Soms moet er groot onderhoud uitgevoerd worden, zoals het vervangen van volledige delen van het netwerk. Het kan ook zo zijn dat er nieuw ontwikkelde componenten in omgevingen moeten worden aangebracht. LCM is een doorlopend proces: zolang de applicatie in gebruik is, zijn er continu updates nodig.
Gedeelde verantwoordelijkheid
‘Lifecycle management werkt niet als je niet vanaf het begin goed samenwerkt met alle betrokken partijen, zowel intern als extern,’ stelt Ruud. ‘Tenminste, niet als je wilt dat de gebruikers de applicatie uiteindelijk op de juiste én veilige manier gebruiken. We kunnen als beheerder van alles bedenken om een applicatie veiliger te maken. Maar als het effect van al die aanpassingen betekent dat gebruikers niet meer goed met een applicatie kunnen werken, en vervolgens andere manieren zoeken om hun werk te doen, dan doe je iets niet goed.’
Het grootste knelpunt in het DAM-programma is volgens Ruud het afstemmen van de planningen van het lifecycle-proces. ‘Het is een gedeelde verantwoordelijkheid van SSC-ICT en de klanten,’ stelt Ruud. ‘Prioriteiten kunnen verschillen en beschikbaarheid van kennis en mensen is vaak moeilijk op elkaar af te stemmen. Ook moet de financiering vooraf goed zijn geregeld. Er is immers niet altijd direct budget beschikbaar. We kunnen een succesvol LCM-traject alleen waarmaken als dit goed is geregeld.’
Daarnaast moet de beschikbare kennis goed op elkaar afgestemd worden. Ruud legt uit: ‘In veel gevallen kan alleen de klant inhoudelijke vragen beantwoorden. Het technische team van SSC-ICT weet vaak niet hoe een applicatie in de praktijk precies wordt gebruikt en tegen welke problemen gebruikers aan lopen, omdat deze vragen niet bij SSC-ICT terecht komen. Het is noodzakelijk om continu de vinger aan de pols te blijven houden en goed de ontwikkelingen bij SSC-ICT en bij de klanten in de gaten te houden.’
Vanwege het grote aantal applicaties dat SSC-ICT levert – met elk een eigen eisenpakket op gebied van techniek en functionaliteit – hebben afnemers op hun beurt ook veel vragen. Ruud: ‘Om de aanpak van dit programma behapbaar te maken voor zowel het team van SSC-ICT als voor de klanten, hebben we ervoor gekozen om een nieuwe werkwijze te implementeren: agile werken. Veel van de betrokken teams werken sinds enige tijd volgens deze methode.’
Agile werken bij SSC-ICT
Het DAM-programma is het tweede grote initiatief waarbij er binnen SSC-ICT agile wordt gewerkt, en is een samenwerking tussen de business units Applicatie Services (BAS) en Infrastructuur Services (BIS). Agile betekent wendbaar. In het DAM-programma worden de LCM-trajecten opgeknipt in kleinere tussenstappen. De betrokken teams, die samen de zogenaamde Agile Release Train (ART) vormen, werken daarin nauw samen. Lifecycle management van applicaties valt bij SSC-ICT in de Agile Release Train Klantleveringen. Binnen deze ART zijn zo veel mogelijk ook de stakeholders van andere afdelingen (o.a. Security, Relatiemanagement, Service level management) betrokken. Op deze manier kunnen mogelijke vragen van klanten al in een vroeg stadium gesteld en beantwoord worden, om het proces van de applicatiemigratie soepeler te laten verlopen. Ieder kwartaal wordt tijdens het Planning Interval-event (PI-event) een haalbare en gedetailleerde planning gemaakt voor de komende drie maanden. Hierbij wordt direct rekening gehouden met onderlinge afhankelijkheden, maar ook met capaciteiten en gestelde prioriteiten. Na het PI-event wordt vervolgens in de teams zo veel mogelijk kort cyclisch gewerkt.
Wat is de SAFe agile methode?
SAFe staat voor Scaled Agile Framework. Als teams agile werken, wordt het werk in zogenaamde sprints van meestal twee weken opgeknipt. Per sprint wordt een deel van het eindproduct opgeleverd. SAFe is een methode die ervoor zorgt dat agile werken opgeschaald wordt naar een grote organisatie, zoals SSC-ICT. Per traject wordt er een Agile Release Train ingericht. In deze ‘trein’ stappen alle teams in, die betrokken zijn bij het desbetreffende product/onderwerp. Een keer per kwartaal komen de teams bij elkaar tijdens een PI-event en maken binnen twee dagen een haalbare planning voor het aankomende kwartaal. Deze planning wordt direct onderling én met de betrokken interne en externe stakeholders afgestemd. Aan het einde van elk kwartaal worden de opgeleverde resultaten tijdens een demo getoond.
Na de start van de nieuwe werkwijze in september 2023 kon de samenwerking tussen de teams stap voor stap geprofessionaliseerd worden. ‘Je kunt zo’n nieuwe werkwijze natuurlijk niet in één keer implementeren,’ stelt Ruud. ‘In principe blijf je ermee bezig: de teams van de ART Klantleveringen werken nu waar mogelijk planmatig agile, maar tot nu toe lag de focus erg op de interne samenwerking. Inmiddels zijn we klaar voor de volgende stap. Doordat complexe projecten in kleine, werkbare taken worden opgesplitst en de lijntjes kort zijn wordt de werkwijze transparanter en voorspelbaarder. Beetje bij beetje kunnen we klanten meer betrekken bij de nieuwe manier van werken. Zo kunnen we het proces steeds meer verbeteren en uiteindelijk efficiënter maken,’ legt Ruud uit.
Dat betekent echter niet dat klanten tot voor kort helemaal niet bij het project betrokken waren. In maart van dit jaar gaf Ruud samen met Ron Roozeboom (COO SSC-ICT) een webinar rondom applicatie lifecycle management voor de departementen. Samen legden ze het plan uit om alle bestaande applicaties gezamenlijk te toetsen, van de nodige updates te voorzien en naar de nieuwe infrastructuur te verhuizen voor een veilige werkomgeving. Na de webinar volgden gesprekken met de departementen, waarin de applicaties geïnventariseerd en geprioriteerd werden. Zo kon het team van Ruud rekening houden met de prioriteiten en planning bij de klant, voordat een applicatie door de ART opgepakt werd.
Oplevering applicaties
Inmiddels heeft SSC-ICT enkele tientallen applicaties van de nodige updates voorzien en verhuisd naar de nieuwe omgevingen. Het proces verloopt steeds sneller, en ook de afstemming met de klant gaat volgens Ruud steeds makkelijker: ‘De teams van de ART weten de contactpersonen bij de klant (beter) te vinden. En omdat de plannen afgestemd zijn met de klant, kunnen vragen ook snel beantwoord worden. Iedereen weet wie wanneer waarmee bezig is,’ vertelt Ruud. ‘Maar we zijn er zeker nog niet. In het ideale scenario zijn de externe stakeholders aanwezig tijdens het PI-event. Het PI-event is er al, en we kijken nu hoe we externe stakeholders op een productieve manier kunnen betrekken.’
Vaste onderhoudscyclus om achterstallig onderhoud te voorkomen
Als de ART Klantleveringen een applicatie heeft opgeleverd betekent dit niet dat er de komende jaren niets mee gaat gebeuren. Als onderdeel van het migratietraject wordt er per applicatie een vaste onderhoudscyclus ingeregeld. Door van tevoren af te stemmen wanneer er weer naar de LCM-status van een applicatie wordt gekeken, kan achterstallig onderhoud worden voorkomen. Onderhoud wordt zo een doorlopend proces. Mogelijke problemen of risico’s kunnen op deze manier op tijd worden gesignaleerd. Dan kan er actie ondernomen worden, zowel vanuit de technische experts bij SSC-ICT als vanuit de inhoudelijke experts bij de klant.
‘Door het stijgende externe dreigingsniveau kunnen we het ons niet permitteren om achterstanden op te lopen,’ stelt Ruud. ‘We horen steeds vaker hoe alert we moeten zijn om hackers buiten te houden. Iedere organisatie is zo sterk als de zwakste schakel. Als we een applicatie en haar omgeving te lang niet updaten, kan het een veiligheidsrisico worden. Door goede afspraken te maken en regelmatig te toetsen en te updaten, kunnen we het risico zo klein mogelijk houden. Met dit migratietraject zijn we nu volop onderweg. We zetten daarmee een stevige basis neer, die we in toekomst – samen met de klant – veilig kunnen houden,’ besluit Ruud.
