Home Klantcases Zoek

Zoekresultaten klantcases

  • Sectoren

  • Categorie

  • Klantnaam

Claranet migreert ERP-applicatie van Kerridge CS naar eigen IaaS-platform

0
Claranet migreert ERP-applicatie van Kerridge CS naar eigen IaaS-platform

Kerridge Commercial Systems, een leverancier van ERP-software, benaderde Claranet Benelux met de opdracht het platform waarop een van de ERP-systemen draait, te migreren naar de IaaS-propositie die Claranet biedt. “Het IT-team van Kerridge CS beschikte niet over de capaciteit om de hele onderlaag, dus het IaaS-deel, zelf in te richten,” geeft Peter van den Broek, Sales Specialist bij Claranet Benelux aan. “Daarvoor wilden ze een partij inschakelen die er dagelijks mee bezig is en er verstand van heeft.” Claranet bouwde het platform en beheert de onderlaag, dus de hardware en VM’s, terwijl het team van Kerridge CS de hele applicatielaag beheert. “De twee teams werken dagelijks heel intensief samen,” legt Van den Broek uit. “Dit om te zorgen dat die klantomgevingen goed werken en getweakt worden.”

Over Kerridge Commercial Systems

Opdrachtgever Kerridge Commercial Systems, vaak afgekort tot Kerridge CS of KCS, is een Britse leverancier van ERP-systemen. Bij deze samenwerking met Claranet Benelux gaat het om een bedrijfsonderdeel dat tot 2020 deel uitmaakte van Unit4, als Unit4 Wholesale B.V. Dit onderdeel levert ERP-oplossingen voor de groothandel, logistiek en bouw.
“Kerridge Commercial Systems is mede door overnames uitgegroeid tot een leverancier van 29 ERP-systemen die wereldwijd gebruikt worden onder de Kerridge CS-vlag,” zegt Arjan de Later. Hij is Head of Global Cloud Platform Operations bij Kerridge Commercial Systems en is met zijn team nauw betrokken bij de samenwerking met Claranet Benelux.
Een ander bedrijfsonderdeel van Kerridge CS, MAM Software, werkte in het Verenigd Koninkrijk al samen met de Britse tak van Claranet. Zo kwam ook de samenwerking in Nederland tot stand.

De achtergrond van de case

Zoals gezegd nam Kerridge CS het bedrijfsonderdeel Unit4 Wholesale B.V. over van Unit4. “Net als Kerridge CS had ook Unit4 veel businessunits die zich richtten op specifieke branches. Los van sectorgerichte oplossingen in de verschillende ERP-systemen die men leverde, waren er ook generieke vragen die bij alle oplossingen speelden,” vertelt De Later. “Een belangrijk thema was daarbij de behoefte aan een cloud based oplossing.”
In de praktijk ging het bij de software-oplossingen, die de onderdelen van Unit4 (toen) leverden, om producten die eigenlijk niet cloud-ready waren. “Het waren nog geen webbased applicaties. Ook waren ze meestal niet geschikt als SaaS-oplossing,” blikt De Later terug. “Het waren in feite native Windowsapplicaties.”
De vorige moedermaatschappij richtte een aparte Cloud-Services-divisie op. Die afdeling leverde cloudservices aan de verschillende zusterbedrijven. Op een gegeven moment is het moederbedrijf door een private equity-firma van de beurs gehaald met de intentie het geheel vroeg of laat te verkopen. “Uiteindelijk is gekozen het bedrijf op te knippen en de verschillende onderdelen, waaronder Unit4 Wholesale B.V., los te verkopen. Zo is dit onderdeel bij Kerridge CS terechtgekomen.”
De vraag die toen ontstond was: hoe moet het verder met de divisie Cloud Services? De Later: “Zij waren onderscheidend door hun klantenkring. Er is toen gekozen het personeel van deze divisie dat zich primair bezighield met een specifiek bedrijfsonderdeel over te plaatsen naar de verschillende bedrijfsonderdelen. “Zo is een aantal van die mensen ook in mijn team terecht gekomen.”
Het team van De Later bestaat uit momenteel uit elf medewerkers die zich met het platform in Nederland bezighouden, naast vijf mensen die het platform in Engeland beheren en een team van zes mensen die zich bezighouden met de technische werkzaamheden rondom de verschillende ERP-producten in de Benelux.

De concrete case

Met de acquisitie van Unit 4 Wholesale nam Kerridge CS ook de klanten mee die gebruik maakten van de diensten die geleverd werden door Unit4 Cloud Services. “Daar moesten we dus iets mee, want het platform, dat draaide in een datacenter van Unit4, moest naar een andere provider verhuisd worden. De deadline daarvoor was december 2021.”
De keuze viel daarbij op Claranet, omdat die onderneming in het Verenigd Koninkrijk al had bewezen de daarvoor nodige kennis in huis te hebben.
Kerridge CS nam IT Value als IT-adviesbureau in de arm om samen met de eigen cloud-specialisten tot input te komen voor het ontwerp van een nieuw platform. De Later: “Het uitgangspunt moest zijn dat de klanten zo eenvoudig mogelijk gemigreerd konden worden. Voor die klanten hoefde de verhuizing immers niet, ze zouden er ook niet voor betalen, dus de transitie moest snel en efficiënt kunnen verlopen.”
Het initiële ontwerp was eind 2020 klaar. In januari van 2021 begon Claranet te bouwen en leverde de hardware-omgeving op, met een VMWare hypervisor-laag erboven op. “Toen kwamen wij erbij met ons team en gingen het platform bouwen op die hypervisorlaag. Initieel vooral door IT Value, maar mijn team pakte de bouw, het dagelijks beheer en de migraties snel verder zelf op.”
Met, zoals gezegd, een deadline per eind december 2021, omdat op dat moment de support van het voormalige moederbedrijf voor het hosten van het platform contractueel zou eindigen. De krappe deadline zorgde voor de nodige stress bij het IT-team. “Het was geen beste periode,” verzucht De Later. “Maar het is gelukt. In de tweede week van december 2021 zijn de laatste bits en bytes bij het voormalige moederbedrijf weggehaald en draaide het platform én alle klanten bij Claranet.”

De huidige situatie

In de oude situatie stond de hardware bij Digital Realty, nu draait alles in het datacenter van Interconnect, in de corridor van Claranet. De Later: “We hebben daar, vergeleken met andere samenwerkingen met IaaS-providers wat afwijkende afspraken over kunnen maken.” Zo heeft men dedicated hardware voor de ruim 400 VM’s. “Die draaien op een select gedeelte van de fysieke servers die Claranet beschikbaar heeft voor ons. En daar draaien dan uitsluitend VM’s van ons op.”
Volgens De Later is dat nodig omdat gebruik gemaakt wordt van Citrix, en wel Citrix Provisioning. “Vanuit Citrix laten we VM’s genereren en opspinnen. Om dat te kunnen heb je directe toegang tot de hypervisor nodig, tot Vsphere. Daarvoor moet je eigenlijk een eigen hypervisor-omgeving hebben, een eigen cluster. En dat heeft Claranet ook zo voor ons gebouwd.”

We stellen De Later de vraag of een migratie naar een Public Cloud-omgeving mogelijk was geweest. “In theorie wel,” luidt het antwoord. “Ware het niet dat wij geen applicaties leveren vanuit de cloud. Kerridge CS levert echt een volledige managed desktop.” Dit heeft een historische achtergrond, legt de Head of Global Cloud Platform Operations uit. “De meeste ERP-applicaties hebben een historie van decennia, die zijn niet geschikt om in een cloud-omgeving te draaien. De systemen vereisen een desktop met op diezelfde machine ook koppelingen met Outlook, Word, Excel en naar bijvoorbeeld WMS-systemen die gebruikt worden.”
De verschillende applicaties hebben elkaar nodig op die werkplek. “Dit realiseren wij door het leveren van een virtueel bureaublad. Dat doen we dus op basis van Citrix. De hyperscalers waren lange tijd niet echt realistische opties vanwege de slechte performance die vaak gepaard ging bij het draaien van het soort omgevingen dat Kerridge gebruikt.”
Een bijzonder aspect van de diensten die Kerridge levert is het feit dat oudere versies van de software lang ondersteund wordt. De Later: “De policy van Kerridge is dat we niet tegen klanten die met een van onze ERP-applicaties werken, zeggen dat na een paar jaar de stekker uit een applicatie wordt getrokken. We voorzien uiteraard in migratiepaden, naar betere en / of nieuwe oplossingen, maar daar wordt zelden een deadline aangehangen. Het is aan de klant of en wanneer hij overstapt.”
Dit betekent een extra belasting voor het team en een extra complexiteit in het platform. “De uitdaging is dan om met al wat oudere technologie toch steeds de modernste ondersteuning te blijven bieden.”
Inmiddels is het aantal managed desktopklanten van Kerridge verder gegroeid. De Later: “De hele IT-infrastructuur van onze klant draait op het IaaS-platform. Per klant betekent dit dat de eigen domaincontroller, de printserver, alle applicatieservers, de Citrix-server en de databaseserver, maar ook de hele directory en filestructuur in hun klantcontainer binnen ons platform bij Claranet draait.” Lokaal heeft de klant niet meer nodig dan print- en werkplek-devices, naast een internettoegang en een VPN-tunnel naar het platform.

De rolverdeling tussen Kerridge CS en Claranet

“Wat Claranet verzorgt binnen de samenwerking is eigenlijk dat we op het IaaS-platform voldoende resources hebben waar VMware op draait en waar we via de Vsphere bij kunnen,” geeft De Later aan. “We kunnen daar VM’s starten, stoppen, vergroten en verkleinen.”
Claranet levert Vsphere en de toegang daartoe, en vooral ook de back-up. De Later: “Met Veeam maken ze Application-Aware back-ups van alle VM’s die wij hebben draaien.” Dat is een gedeelde verantwoordelijkheid, want De Later moet er met zijn team voor zorgen dat de Veeam-agent aanwezig is met de juiste service-accounts op die VM. De back-up landt bij Claranet en wordt gerepliceerd naar een datacenter van Digital Realty in Amsterdam. “Dat stuk staat helemaal in beheer bij Claranet.”

Het proces

Terugblikkend geeft De Later aan dat de migratie een complex proces is geweest. “De grote onbekende was natuurlijk het nieuwe platform, dat volledig nieuw moest worden opgebouwd. In eerste instantie samen met IT Value, een partij die wij voor dit project niet kenden.” Daar kwam bij dat het oorspronkelijk platform ook niet perfect was. “Dan moet je tijdens het proces dus steeds afwegen of je die handicaps herstelt of in eerste instantie toch overneemt. Daarmee ontstond eigenlijk een te grote workload voor het team dat ervoor verantwoordelijk was.”
Over de samenwerking met Claranet is De Later tevreden. “We kenden de organisatie niet, maar we waren en zijn heel blij dat we met hen werken.” De Later reageert op de slogan ‘Big enough to deliver, small enough to care’ van Claranet. “Dat past goed bij ons. Men heeft alle technologie in huis, maar zorgt ook voor persoonlijk contact. De organisatie is flexibel en denkt met de klant mee.” De Later geeft aan dat zijn team ook niet alles wist en dat het team van Claranet daarbij goed ondersteunde.
“Aan de andere kant heeft het ‘small enough’ soms ook nadelen. Dan meenden wij dat alles onder controle was en bleken er toch hiaten te zijn. Maar de bijbehorende pragmatische werkhouding paste dan ook weer bij ons, problemen werden soepel opgelost.”

De toekomst

Naar de toekomst toe wil Kerridge CS de ERP software ook als published app kunnen leveren. “Dat zijn we nu verder aan het ontwikkelen. De Wholesale applicatie is inmiddels beschikbaar als published app. Het betekent in dat geval dat we bij Claranet op VM’s alleen de applicatie leveren aan klanten in plaats van een volledige Citrix-desktop.” Deze oplossing zou het geheel nog makkelijker schaalbaar maken. “Daarnaast speelt op hoger niveau binnen Kerridge CS de vraag of met bepaalde diensten een overstap naar een hyperscaler niet toch overwogen moet worden.”
Dat ziet De Later voor het bestaande platform voorlopig nog niet gebeuren. “En als dat gaat gebeuren, zijn ze bij Claranet in goede handen, met een compleet Elastic Architecture-migratieproject via onze Solution Architects en engineers,” vult Peter van den Broek van Claranet aan.

Woningcorporatie KleurrijkWonen zet in op Security Awareness

0
Woningcorporatie KleurrijkWonen zet in op Security Awareness

Woningcorporatie KleurrijkWonen houdt kantoor in Tiel. De organisatie verhuurt meer dan 15.000 woningen, garages, parkeerplaatsen en bedrijfsruimten. Men richt zich op de regio’s Rivierenland en Alblasserwaard-Vijfheerenlanden. Hierin vallen zes gemeenten: Buren, Culemborg, Molenlanden, Tiel, Vijfheerenlanden en West Betuwe. Bij de corporatie werken ongeveer 190 mensen, die twee dagen per week vanuit huis mogen werken. Daarnaast zijn er functionarissen, zoals de verhuurmakelaars, die op locatie inspecties van woningen verzorgen. Zij gebruiken daarvoor een iPad, waarop ze niet alleen koppelingen hebben naar applicaties zoals het ERP-systeem, maar ook mail kunnen ontvangen – en dus ook malware.

De situatie

KleurrijkWonen is sinds 2020 klant bij Claranet. “De organisatie neemt via ons de dienst Security Awareness af, gebaseerd op het platform van KnowBe4,” legt Twan Willems, Prospect Specialist bij Claranet Benelux, uit. “De corporatie heeft dit contract onlangs met drie jaar verlengd.” KnowBe4 genereert voor trainingsdoeleinden automatisch phishing-mailtjes en andere spam die heel gericht, en in een opmaak en stijl die moeilijk van echt te onderscheiden is aan medewerkers van de corporatie.

Het streven

KleurrijkWonen koos er drie jaar geleden voor om met KnowBe4 het securitybewustzijn van de medewerkers te verhogen. “Dat deden we gelukkig niet omdat we gehackt waren,” geeft Marc den Hartog, Architect & Informatiebeveiliger bij KleurrijkWonen, aan. Hij stelt daarbij eerlijk dat het nooit uit te sluiten is dat je een incident meemaakt. “Ik onderscheid twee soorten organisaties: partijen die al gehackt zijn en organisaties die nog gehackt zullen gaan worden.” Wel realiseerde Den Hartog zich, dat het belangrijk is medewerkers te wijzen op de risico’s. “Zo willen we de weerbaarheid van de organisatie vergroten.”

De praktijk

In 2020 ging KleurrijkWonen via Claranet met KnowBe4 aan de slag. “In het begin voelden onze medewerkers zich toch wel een beetje gecontroleerd,” blikt Den Hartog terug. De organisatie wist echter al snel duidelijk te maken dat het doel van de ‘nep’-malware-berichten niet was om mensen in een kwaad daglicht te stellen, of hen verwijten te maken. “Het ging en gaat er puur om mensen te helpen alerter te worden op de gevaren van malware die via hun mailbox probeert de systemen binnen te dringen.” Het gaat er daarbij zeker ook om in een begeleidend programma te schetsen wat de gevolgen van malware kunnen zijn. “Van cybercriminelen die hun weg hopen te vinden in de computers van onze huurders, tot vervelende berichten in de media over ons als organisatie.”

Als mensen toch klikken op een link zoals die in een mail van KnowBe4 staat, dan krijgen ze een bericht op hun scherm met de mededeling dat het betreffende bericht een phishing mail was. Den Hartog: “En dat niet alleen, ze zien ook meteen hoe ze hadden kunnen herkennen dat het om phishing ging.” Vervolgens zal KnowBe4 automatisch vaker vergelijkbare berichten sturen om zo de kennis op het gebied van phishing bij de medewerker te vergroten.

KleurrijkWonen stuurt de phishing-mailtjes die KnowBe4 genereert aan alle medewerkers, dus van directeur tot receptioniste. Wie goed scoort krijgt geen medaille of zichtbare prijs, maar er is wel een andere individuele beloning. Den Hartog: “Vorig jaar hebben we security tot een gratificatiedoel gemaakt.” De corporatie heeft meerdere gratificatiedoelen voor de werknemers. Die volgen uit het ondernemingsplan en hebben onder meer betrekking op het veilig communiceren met de klanten. “We hebben het cyberbewustzijn van alle medewerkers getest met een aantal phishing-mails. Op die manier maak je mensen wel heel alert.”

Veel meldingen

De informatiebeveiliger geeft aan dat de noodzaak om de bewustwording te vergroten vorig jaar nog groter was dan nu. “We hadden toen een veel minder goed spamfilter, het liet meer spam binnendringen.” De medewerkers reageerden daar heel goed op. “Alles wat men tegenkwam werd keurig gemeld. Men klikte er dus niet op, maar meldde vooral ook verdachte berichten.”

Den Hartog brengt dat niet voor niets naar voren. “We doen hier bewust niet aan naming & shaming,” benadrukt hij. “We willen juist de schaamte rond het onderwerp wegnemen. Iedereen kan een mailtje verkeerd beoordelen, maar als je het meteen meldt, kan het IT-team erger voorkomen.” Wie echter uit angst een incident niet meldt, houdt een adequate reactie tegen.

Den Hartog is tevreden over het systeem en de samenwerking met Claranet. “Er wordt veel minder geklikt op verkeerde berichten,” geeft hij aan. “Soms ontdek je wel interessante patronen. Mensen die, bijvoorbeeld buiten het pand, op een smartphone hun mail lezen klikken veel sneller op een verdacht bericht. De weblink is daarop namelijk veel minder makkelijk te controleren dan op een pc, notebook of tablet.”

De bredere scope

De inspanningen op het gebied van security gaan bij KleurrijkWonen overigens verder dan de phishing-berichten die KnowBe4 genereert, legt Den Hartog uit. “De twee Privacy Officers van de organisatie en ik als informatiebeveiliger lopen ook regelmatig door het pand.” Als zij dan laptops onbeheerd open zien staan dan gebruiken ze dat moment om via een Gmail-adres een reply te genereren met als boodschap dat de betreffende medewerker bedankt wordt voor zijn of haar bestelling. “We komen het product binnen een uur afleveren, wilt u meteen betalen?”

Den Hartog, met een glimlach: “Dan hebben medewerkers na de lunchpauze echt wel door dat iemand aan de laptop heeft gezeten. Zeker in het kader van de AVG- en (volgend jaar) de NIS2-regelgeving moeten we ook op deze bewustwording sterk sturen.” De informatiebeveiliger weet dat een dergelijke actie los staat van KnowBe4, maar wel hoort bij de strategie van de organisatie om op een leuke en niet al te dwingende manier om te gaan met bewustwording op het gebied van security.

Uiteindelijk blijken ook de medewerkers van KleurrijkWonen mensen van vlees en bloed. “We verstuurden buiten KnowBe4 om een bericht over een personeelsfeest. Daar had iedereen wel zin in en men vulde massaal het zakelijke mailadres en het wachtwoord in om deel te kunnen nemen.” Het gaf weliswaar een indicatie over de populariteit van de feesten bij de corporatie, “maar het toonde ook de noodzaak continu te investeren in bewustwording en training.”

De toekomst

Tot op heden gebruikt KleurrijkWonen het platform vooral voor het versturen van de phishing-mailtjes. “Er bestaat ook de mogelijk KnowBe4 in te zetten als trainingsmodule. Daar gaan we op korte termijn mee aan de slag en dan specifiek voor mensen die nieuw bij ons in dienst treden,” legt Den Hartog uit. “Zo weten zij wat ze kunnen verwachten en vooral ook wat wij als organisatie van hen verwachten op het gebied van security.”

Claranet houdt de IT van Schipper Groep al tien jaar bij de tijd

0
Claranet houdt de IT van Schipper Groep al tien jaar bij de tijd

Al in 2013 maakte Schipper Accountants de overstap naar de cloud. De onderneming maakt onderdeel uit van Schipper Groep, een full-service accountants- en advieskantoor dat met negen vestigingen actief is in Zuidwest Nederland en al ruim 80 jaar bestaat.

Schipper Accountants heeft dit jaar precies tien jaar een relatie met IT-dienstverlener Claranet. Concreet startte Schipper Accountants in 2013 een partnership met Quinfox, een Nederlandse IT-dienstverlener die in 2018 werd overgenomen door Claranet, met het Nederlandse hoofdkantoor in Eindhoven. Een aantal Claranet-medewerkers dat al voor de overname samenwerkte met Schipper Accountants, is nog steeds betrokken bij het partnership.

De betekenis van een partnership

We vragen Patrick de Jong, ICT Manager bij Schipper Groep, wat hij concreet van het partnership met een IT-dienstverlener verwacht. “Eigenlijk geef je zelf het antwoord al,” reageert De Jong. “Ik verwacht een echt partnership, en dat behelst meer dan de standaardrelatie met een leverancier.” Het is voor de ICT Manager zaak gezamenlijk met de dienstverlener bij vraagstukken op te trekken. “Ik zoek dus niet een partij die anoniem uren draait en een product oplevert. Maar werkelijk persoonlijk contact, met de ruimte om eerlijk en open tegen elkaar te zijn. Ook als een keer iets niet helemaal lekker loopt. En we uitdagingen die we tegenkomen gezamenlijk oplossen.” Een echt partnership dus, en dat vond De Jong destijds bij Quinfox en dat bleef bij Claranet.

Schipper zocht een partner met omvang en kennis

Het ligt in de natuur van IT’ers en IT-afdelingen om met de dagelijkse uitdagingen bezig te zijn én na te denken over de nieuwste technische ontwikkelingen. Terugkijken, en zeker tien jaar terugkijken, is minder gebruikelijk. Maar om het partnership met Claranet te onderzoeken, werpen we toch een blik over onze schouder.

“Voordat we de samenwerking met Quinfox startten hadden we alle hardware in huis,” geeft De Jong aan. “Wel is het traditie bij ons om de technische kennis in te kopen.” Hij bedoelt daarmee, dat er steeds een externe partij was die de omgeving installeerde en beheerde, “maar we hadden de complete stack zelf in eigendom. Een en ander draaide in één van de onze eigen vestingen.”

Het risico dat dan bestaat, en waar Schipper Accountants tegenaan liep, is dat de omgeving veroudert. “Je vervangt weliswaar steeds weer bepaalde onderdelen, maar je ontkomt uiteindelijk niet aan de grote vervangingsronde.” Daarnaast werd de organisatie eigenlijk te groot voor de IT-partijen waarmee het bedrijf tot dan werkte. “Het ontbrak hen aan bepaalde expertise.” Deze combinatie van factoren zorgde ervoor dat Schipper een RFP uitschreef, waarop verschillende IT-partijen reageerden.

Vraag naar cloud-oplossingen

“Het opvallende is, dat bij al die inschrijvingen toch uitgegaan werd van een on-premise oplossing,” herinnert De Jong zich. “Dat was reden voor ons om een tweede ronde uit te schrijven en daarbij expliciet een aantal cloud-partijen aan te sporen hun visie te delen, en daar is Quinfox uitgekomen.” De Jong geeft aan dat die dienstverlener niet alleen met een goed concept kwam, maar dat het ook een partij leek die qua cultuur en manier van werken bij Schipper paste. “Dat bleek inderdaad zo te zijn.” De dienstverlener stond in de accountancy-branche goed bekend en was ook vertrouwd met de specifieke applicaties die in de sector gebruikt worden, een aspect dat na de overname door Claranet niet veranderde.

Kennis van de markt

Met de keuze voor deze dienstverlener kwam ook het besluit alle IT buiten de deur te brengen. “Quinfox bouwde de gehele omgeving in het datacenter dat ze zelf huurden, en wij namen de dienst af en betaalden naar gebruik.” Claranet werkt nog steeds samen met Interconnect als het gaat om colocatie-diensten, en dat was 10 jaar geleden niet anders. “De betreffende hardware stond in het datacenter van Interconnect in Den Bosch, de plaats overigens waar Quinfox ook gevestigd was.”

Quinfox was, zoals gezegd, een partij die in de accountancy-markt goed bekend stond en dat is Claranet nog steeds. De Jong: “Ze hebben kennis van onze applicaties. En nog belangrijker: ze hebben ingangen bij onze applicatieleveranciers.” Dat is van belang omdat de IT-partner ook verantwoordelijk is voor het technisch applicatiebeheer. “Heel specifiek geldt dit voor Caseware, een applicatie die veel door accountants gebruikt wordt.”

De Jong voegt eraan toe dat los van Caseware, dat nog geen volledige cloudpropositie heeft, het technisch applicatiebeheer tegenwoordig minder spannend is dan in het verleden. “De leverancier biedt het immers zelf aan vanuit de cloud.”

Daarmee verandert ook de rol van de IT-dienstverlener, stelt de ICT Manager van Schipper Groep. “Die moet ons nu eigenlijk vooral helpen met het adopteren van moderne technieken. En ook daarvoor kunnen we bij Claranet heel goed terecht.” Op dit moment speelt Claranet bijvoorbeeld een belangrijke rol bij het begeleiden en adviseren van Schipper op het gebied van security.

Betalen naar gebruik

Als we constateren dat een zo forse stap naar de cloud in 2013 nogal vooruitstrevend was, relativeert De Jong dit. “Wat is cloud? Tot dat moment hadden we de hardware in Goes staan en alle vestigingen van Schipper Groep logden daarop in. Dat was ook al een vorm van cloud.” Het was dus, in letterlijke zin, in 2013 een overstap naar managed services. “Het voorkomt dat je steeds weer een grote investering moet doen, die bij de tijd moet houden maar er toch niet aan ontkomt na verloop van tijd de hardware te vervangen. IT is niet de core business van onze onderneming, dus in deze vorm zijn we zeker van een up-to-date omgeving en betaal je naar gebruik.”

Intern IT-team

De stap naar managed services brengt overigens niet met zich mee dat Schipper geen intern IT-team heeft. De Jong: “al voor onze samenwerking met Claranet startte, verzorgden we zelf de eerstelijns support, en dat is nog steeds zo.” Het technisch beheer ligt, zoals beschreven, bij Claranet, maar een stuk functioneel beheer wordt zeker nog bij Schipper intern gedaan.

Claranet verzorgt daarnaast het onderhoud op het Azure-platform, waarop een aantal on-premise applicaties draait. “Azure Virtual Desktop gebruiken we om een applicatie als Caseware te publiceren naar de laptops van de medewerkers.” In de praktijk betekent dit dat de medewerker zijn browser opstart en dan naar de verschillende applicaties gaat. “Het beheer van de laptops doen we zelf, vanuit Microsoft 365.”

De Jong gaat verder in op de manier waarop de accountants hun werk kunnen doen via de browser van een laptop. Accountants werken doorgaans met heel zware bestanden. “Onze medewerkers werken met veel data, maar die staan in de applicaties die ze gebruiken,” legt De Jong uit. “De data komen niet op de laptop terecht, maar staan in het Azure Platform dat Claranet gebouwd heeft en beheert in het geval van bijvoorbeeld Caseware, of ze staan bij de applicatieleverancier, zoals ons CRM-systeem AFAS.”

Uiteindelijk blijven er bestanden over, die niet in een applicatie zitten. “Voorheen bevonden die zich in de fileserver van Citrix, maar die hebben we in de laatste moderniseringsslag gemigreerd naar SharePoint.” Daarmee zijn feitelijk ook die data in de cloud gekomen. “Dus op de laptops staan in feite weinig data. Deze manier van werken zorgt voor een hele goede gebruikerservaring.”

Make modern happen

“Schipper is precies zo’n klant waarbij we samen optrekken in de continue ontwikkeling(sreis) op gebied van IT”, zegt Twan Willems, die als Prospect Specialist bij Claranet intensief met Schipper Groep samenwerkt. “Dit is eigenlijk ook het fundament van onze strategie om klanten in hun continue reis naar nieuwe en moderne IT te begeleiden. We make modern happen, noemen we dat zelf.” Willems geeft aan dat de ontwikkelingen in de IT razendsnel gaan. “En wij zorgen ervoor dat onze klanten bijblijven. Het maakt daarbij niet uit waar ze in het transformatietraject zitten of op welke manier ze een digitaliseringsslag willen aanpakken.” Claranet zorgt ervoor naast én achter de klant te staan, om ze die volgende stap te laten maken. Willems: “Dit doen we voor Schipper nu inmiddels al ruim tien jaar, en ik verwacht nog vele jaren in de toekomst.”

Voorbereid zijn op de toekomst

Zoals eerder gezegd gaat het De Jong bij de samenwerking met Claranet zeker ook om het samen onderzoeken hoe de toekomstige IT-strategie eruit moet zien. “Op dit moment kijken we voornamelijk naar de cyberweerbaarheid van de organisatie. En daarnaast onderzoeken we zeker ook wat we qua datawarehousing en datascience kunnen oppakken. We hebben heel veel data en zouden daar wellicht meer mee kunnen doen in de toekomst.” Ook staat een ISO 27001-certificering op de agenda, waarbij nauw met IT-partners zal worden samengewerkt.

Claranet audit en pentest IT-security bij Bergopwaarts

0
Claranet audit en pentest IT-security bij Bergopwaarts

Bergopwaarts is een woningcorporatie in Zuidoost-Brabant, die aan ruim 5300 huishoudens woningen biedt in de driehoek die gevormd wordt door de plaatsen Deurne, Helmond en Asten. Bergopwaarts heeft ongeveer 40 medewerkers in dienst.

IT-dienstverlener Claranet, die binnen Claranet Cyber Security Nederland specialisten op het gebied van security samenbrengt, werd als onafhankelijke auditor gevraagd de status van de (cyber)security te onderzoeken. Waar Bergopwaarts het platform KnowBe4 al langer inzet om het security-bewustzijn van de medewerkers te trainen, daar ging het bij de audit om het beoordelen van de technische kwaliteit van de cybersecurity. De audit werd in het eerste kwartaal van 2023 uitgevoerd. Zowel medewerkers van Claranet in Eindhoven, als internationale collega’s, bekend onder de naam van Claranets’ dochteronderneming NotSoSecure, waren betrokken bij deze opdracht.

De achtergrond van de audit

“De reden een audit op de IT-security te laten uitvoeren hing niet samen met een incident”, geeft Sebastiaan van de Ven, Adviseur Informatisering & Automatisering bij Bergopwaarts, aan. “Wij denken in onze organisatie dat we goed beveiligd zijn, met alles dat we voor de medewerkers organiseren en zelf technisch installeren, maar we wilden dat beeld graag toetsen.”
Natuurlijk wordt door de accountant elk jaar wel een EDP (Electronic Data Processing)-audit gedaan. Een aantal elementen met een belangrijk financieel karakter wordt dan getoetst, maar nooit het complete beeld. “Dat vonden we wel heel belangrijk”, geeft Van de Ven aan. “We wilden weten of er blinde vlekken waren in de opzet van onze security.”
De corporatie wilde een audit laten uitvoeren door een dienstverlener met een goede staat van dienst op het gebied van IT-security, die bij Bergopwaarts verder als IT-bedrijf geen rol had in de technische beveiliging van de IT-omgeving. “We wilden dus nadrukkelijk een onafhankelijke partij die de audit zou uitvoeren.”

De keuze voor Claranet

Dit betekent niet dat Claranet onbekend was bij de IT-afdeling van Bergopwaarts. “Zij leveren als reseller en Premier Partner al de licenties op het platform van KnowBe4, waarmee we de security-awareness bij de medewerkers trainen, onderhouden en monitoren. Dat betreft dus de medewerkers-zijde van de IT-security. Nu vroegen wij hen de technische-zijde te checken en hun bevindingen met ons te delen.”
Daarbij was het, om de onafhankelijkheid van de audit te waarborgen, niet de bedoeling dat Claranet ook invulling zou geven aan de uitvoering van eventuele mitigerende maatregelen die als gevolg van de audit nodig zouden zijn. “Het is aan ons om te bepalen of wie iets met die adviezen doen en bij wie we een eventuele opdracht dan beleggen”, zegt Van de Ven. “Dit betekent dat ook in de toekomst Claranet als onafhankelijke partij audits voor ons kan blijven verzorgen.”
“Voor Claranet is het uitvoeren van pentesten en het verzorgen van andere onderdelen van een security audit relatief nieuw in Nederland”, vertelt Peter van den Broek, Senior Account Manager bij Claranet. “Wereldwijd voeren we elk jaar ruim 10 duizend pentestdagen uit, en zijn daarmee een van de grotere aanbieders. Vorig jaar zijn we gestart met de businessunit Claranet Cyber Security Nederland. Sindsdien hebben we zeker bij woningcorporaties flink aan de weg getimmerd.” Van den Broek bevestigt dat KnowBe4 al wordt ingezet door Bergopwaarts. “We hadden zodoende dus al een relatie met hen.”

De selectie van testen

Nu heeft Claranet binnen het Cybersecurityportfolio een breed aanbod aan testen, het was dus zaak een keuze te maken. Van de Ven: “We zijn als organisatie cloud-georiënteerd. Er zijn veel diensten die we uit de cloud halen, zoals bijvoorbeeld de Microsoft 365-omgeving.”
Zeker nu de organisatie plaatsonafhankelijk werken nadrukkelijk stimuleert, dus niet alleen in het kantoor, maar ook thuis, bij huurders, bij dienstverleners zoals aannemers en bij stakeholders als de gemeentelijk overheid, is een goede beveiliging van belang. “Elke medewerker beschikt over een laptop en een mobiele telefoon. Die endpoints hebben we heel goed ingericht. Dus de beveiliging zit niet alleen in de cloudapplicaties en het (kantoor)netwerk, maar ook op de endpoints.”
Om de kans op datalekken en andere incidenten te voorkomen, implementeerde de corporatie bijvoorbeeld en ‘stolen device-protocol’. “Ook dat wilden we laten auditen.”

Het verloop van de audit

“Intern was er geen langdurige afstemming nodig voordat met de audit gestart kon worden”, blikt Van de Ven terug. “Als woningcorporatie zijn we gewend om regelmatig getoetst te worden door een veelvoud aan instanties. Onze directie is een groot voorstander van een audit als deze.”
Voordat de audit daadwerkelijk startte met de verschillende testen was er afstemming met de consultant bij Claranet. Van den Broek van Claranet vult aan: “Als onderdeel van het traject hebben we een collega uit India laten komen. Die heeft als ethical hacker de omgeving van Bergopwaarts benaderd.” Ook kreeg deze specialist een van de laptops mee om het Stolen Device Scenario te toetsen. “Dat moest natuurlijk wel goed afgestemd worden.”

De doorlooptijd was ruim een maand. Bergopwaarts liet daarbij de verschillende testen na elkaar plaatsvinden. Van den Broek: “We hebben vier elementen getoetst in die maand: allereerst de firewall en daarnaast het Stolen Device Scenario. Ook voerden we een penetratietest uit op de kantoorautomatisering-omgeving en werd de beveiliging van Microsoft 365 getest.”
De medewerkers waren niet vooraf geïnformeerd, hun werk ging gewoon door tijdens de audit. “De business bij onze klant gaat tijdens de audit door”, stelt Van den Broek. “Wij proberen zo goed mogelijk een situatie te creëren waarbij we onzichtbaar zijn. Tegelijkertijd zijn we dingen aan het doen die gevaarlijk kunnen zijn voor de omgeving, dus we houden wel continu in de gaten of we de omgeving niet onderuit trekken.” Dat doen de specialisten van Claranet onder meer door de performance van de IT-omgeving continu te monitoren.

De bevindingen

“Bergopwaarts heeft het goed voor elkaar”, concludeert Van den Broek. De corporatie kreeg een uitgebreid rapport. Daarin staan de bevindingen en worden mitigerende maatregelen voorgesteld. “Die kunnen ze uitvoeren en vervolgens nog eens laten testen om te kijken of de verbeteringen werken.”
Van den Broek legt uit dat bij een dergelijke audit nadrukkelijk ook wordt gekeken naar combinaties van kwetsbaarheden. “Het kan goed zijn dat een vulnerabilty (kwetsbaarheid) relatief ongevaarlijk is, maar onze hacker kan wel heel goed inschatten of die in combinatie met een andere niet heel gevaarlijke vulnerability toch een groter gevaar kan opleveren.”
De aanbevelingen die Claranet gaf, hadden betrekking op issues met een laag risico. “Bergopwaarts gaat verder op de ingeslagen weg op het gebied van security”, maakt Van de Ven duidelijk. Zijn collega’s en hij zijn zich ervan bewust dat een audit geen langdurige garantie beidt. “Het is een momentopname, maar wel een belangrijke check. We zullen de audit daarom volgend jaar zeker herhalen. De samenwerking met Claranet beviel heel goed. Hun interne securityconsultant, waarmee we contact hadden, heeft alles goed geregeld.”

Claranet geeft Boschland Accountants regie terug over IT-omgeving

0
Claranet geeft Boschland Accountants regie terug over IT-omgeving

In 2022 besloot Boschland Accountants de omgang met hun IT-omgeving volledig te veranderen. Niet langer zou een externe dienstverlener zo goed als alle beheer verzorgen, maar de interne IT-afdeling zou zelf de regie nemen. “We kunnen de business nu veel beter bedienen.”

Boschland Accountants biedt werk aan zo’n 60 medewerkers verdeeld over vier vestigingen. De IT was voor het grootste deel ondergebracht bij een externe dienstverlener. “We wilden de stack helemaal zelf gaan beheren, met zo min mogelijk tussenkomst van een IT-partij,” geeft Gerard de Groot, systeem- en applicatiebeheerder bij Boschland, aan. De IT-medewerkers waren in de oude situatie nogal beperkt, beheer konden ze niet zelf uitvoeren op de manier waarop dat gewenst was. “Eigenlijk bleef onze rol beperkt tot het resetten van wachtwoorden en het verlenen van rechten.” In overleg met de directie werd besloten dat de IT-afdeling zelf de verantwoordelijkheid zou gaan dragen voor de complete IT.
Outsourcing is voor veel bedrijven al decennia het mantra, waarom maakt Boschland een tegenovergestelde richting? “Voor kleinere ondernemingen is het volledig zelf uitvoeren van beheer vaak te duur,” legt De Groot uit. “Nu is het zo dat Boschland samen met andere bedrijven onderdeel uitmaakt van OndernemersKompas, een groep ondernemingen die samen 120 medewerkers telt en nog steeds groeit.” Dat maakte een meer zelfstandige rol niet alleen mogelijk, maar ook noodzakelijk om alle werknemers optimaal te kunnen bedienen.

Specialist om op terug te vallen

Daarbij zocht Boschland wel nog een externe partij waarmee goed samengewerkt kon worden. “Ze zochten een partij die als back-up kon dienen,” geeft Twan Willems, relatiemanager bij IT-dienstverlener Claranet aan. “En dat zowel letterlijk voor het verzorgen van een zekere redundantie, als figuurlijk: er moest een partij zijn die advies kon geven bij vragen.”
Boschland, en de overige ondernemingen binnen OndernemersKompas, kozen voor samenwerking met Claranet na een marktverkenning. Gerard de Groot: “We gingen op zoek naar een partij die het meest geschikt was, en die naar onze mening de beste kwaliteit leverde tegen een goede prijs.” Naast de toenmalige dienstverlener werden ook de proposities van drie andere partijen onderzocht, voordat de keuze op Claranet viel. “Claranet stond overigens al wat langer bij ons op het netvlies. Er was al eens gesproken over wat zij voor ons zouden kunnen betekenen,” vertelt De Groot.
In de oude situatie draaiden alle applicaties in het datacenter van de dienstverlener, die ook het complete beheer verzorgde. Twan Willems: “Wij hebben bij de meeste applicaties de migratie gedaan vanuit dat datacenter naar SaaS-applicaties.” Bij één applicatie was dat niet mogelijk, namelijk bij Caseware. Dat is software die veel gebruikt wordt door accountants en die nog geen goede SaaS-variant kent. “Caseware hebben we daarom laten landen op Azure Virtual Desktop.”
Naast Caseware richtte Claranet ook een nieuwe desktop in, werd Microsoft 365 uitgerold en hebben alle medewerkers nu een laptop die via Microsoft InTune wordt beheerd door de interne IT-afdeling.
De back-ups van de data die in Microsoft 365 staan, verzorgt Claranet wel door middel van een Veeam-oplossing. Die back-ups landen bij de dienstverlener zelf in het datacenter.

Caseware verhaal apart

Binnen het project nam de applicatie Caseware een aparte positie in. Deze applicatie wordt alleen door de medewerkers van Boschland gebruikt. De Groot: “Voor accountants is het echter een enorm belangrijke applicatie; daarmee maken ze onder meer jaarrekeningen.”
Nu is het zo dat Caseware zelf de applicatie ook aanbiedt in een cloud variant, Caseware Cloud, maar die kan door grotere organisaties, zoals Boschland, momenteel nog niet worden gebruikt. “Onze klanten hebben een bepaald dossier, dat noemen we het Caseware dossier. Daar zit het complete jaarwerk in waarmee we de jaarrekening opmaken. Caseware Cloud voorziet daar niet in voor gebruik bij grotere klanten.”
Naast een cloud-variant biedt Caseware ook Caseware-on-Azure aan. De Groot: “Dat komt neer op de traditionele Caseware-omgeving die vervolgens op Azure landt, maar wel helemaal gebouwd is volgens de standaardstructuur en templates van Caseware zelf. Die omgeving is dus niet anders in te delen en te organiseren naar de wensen van een onderneming – en dat is nou net wat we juist wel willen. Het beperkt bijvoorbeeld je vrijheid om zelf het moment te kiezen waarop je updates draait.” Toch is uiteindelijk wel voor Azure gekozen om Caseware te laten draaien, maar dan door Claranet ingericht op de door Boschland gewenste manier.

Hybride oplossing

De specialisten van Claranet attenderen klanten in de accountancy al vaker op de mogelijkheid Caseware op een eigen Azure-omgeving te laten werken. Twan Willems: “We hebben deze oplossing ontwikkeld op basis van onze ervaringen met soortgelijke applicaties in andere branches en hadden al eerder kantoren met Caseware op Azure laten landen. We waren ervan overtuigd dat de oplossing die wij bouwen ook geschikt zou zijn voor Boschland.”
Concreet komt het erop neer dat er een scheiding wordt gemaakt tussen de applicatie WorkingPapers en de plek waar alle dossiers in Caseware staan. Twan Willems: “De dossiers staan niet langer op hardware bij de klant of bij een dienstverlener, maar bevinden zich in Caseware Cloud. Dat is overigens ondergebracht bij Microsoft.” De WorkingPapers staan binnen Azure Virtual Desktop. De Groot: “Die applicatie haalt het dossier op uit de Caseware Cloud. Het is in die zin dus een hybride oplossing.”
Claranet bouwde een ’Proof of Concept’, en de medewerkers van Boschland testten deze demo-omgeving. “We hebben deze live getest met daarnaast de traditionele Citrix-omgeving. Onze variant functioneerde zeker zo goed, en vaak zelfs sneller dan wat de accountants gewend waren,” blikt Willems terug.

Samenwerking met Claranet

In de zomer van 2022 startte het project en eind november is Boschland overgestapt op het nieuwe platform. Stap voor stap gaan nu ook de andere ondernemingen van OndernemersKompas over op de nieuwe omgeving.
Wat zijn de uitdagingen die Boschland en OndernemersKompas tegenkwamen bij dit project? De Groot: “De samenwerking met Claranet verliep heel goed, afgezien van enkele interne communicatieproblemen bij hen. Daar leerden we van dat we zaken goed moeten vastleggen.”
Een groter probleem vormde de moeizame relatie met de vorige dienstverlener. Daar was sprake van een ingewikkelde opbouw van de stack, waardoor het niet eenvoudig was alles over te zetten naar de nieuwe situatie. “We hebben mede voor Claranet gekozen omdat ze alles zo konden inrichten dat wij, of een andere dienstverlener het eventueel heel eenvoudig over kunnen nemen.” Dit, nog los van het feit dat OndernemersKompas werkt met een eigen Microsoft 365-omgeving, waarvan de IT-staff zelf de beheerder is. De Groot: “Het geeft rust dat we voor 95% alles in eigen hand hebben.”
Claranet kijkt terug op een mooi project. “De doelstelling was dat wij bouwen, zij beheren en bij problemen kunnen ze zich bij ons melden. Dat is precies zoals het nu draait, en dat kan ook want hun IT-staff is erg goed. Ze zijn in staat snel te reageren op wensen uit de business.”
Nu bestaat dat team uit 2,5 FTE. Maakt dat de organisatie niet kwetsbaar, is een vraag die zich opdringt. De Groot: “Natuurlijk weten wij alles van de systemen, maar mocht het noodzakelijk zijn, dan zijn er genoeg experts bij Claranet die kunnen inspringen.”

Referentiecase voor Claranet

Claranet realiseerde een interessante implementatie bij OndernemersKompas en meer specifiek bij Boschland, waar Caseware gebruikt wordt. “Dit is een vrij unieke opzet waarbij wij het voor elkaar hebben gekregen dat Caseware als een traditionele applicatie toch in een (public) cloud-omgeving draait,” stelt Twan Willems. “Het mooie van dit traject is voor ons ook dat we bevestigd zijn in onze overtuiging dat deze optie uit te voeren is met Caseware. De Boschland-organisatie kan nu moeiteloos op- en afschalen. De oplossing werkt snel en naar tevredenheid. Voor ons is het een perfecte referentiecase.”

GX traint security-bewustzijn en compliance met KnowBe4

0
GX traint security-bewustzijn en compliance met KnowBe4

Steeds vaker verlangen opdrachtgevers dat leveranciers hun security en compliance beleid formaliseren, bijvoorbeeld in het kader van een ISO 27001-certificering. Het trainingsplatform van KnowBe4 kan een rol spelen bij het borgen van de kennis in de organisatie, zo ook bij GX.

“GX heeft een rijk klantenbestand binnen verschillende sectoren, met grote merken en echt hele grote organisaties”, geeft Mark Driessen, Managing Director Cloud & Digital bij GX, aan. “Onder onze klanten bevinden zich ook organisaties in de financiële sector en de onderwijssector.”

Steeds vaker eisen deze klanten dat leveranciers een gedegen beleid hebben als het gaat om de omgang met bedrijfsgevoelige informatie en de IT- en cybersecurity. “Daarnaast zien we dat medewerkers van GX ook rechtstreeks op de vloer actief zijn bij onze klanten en ze software ontwikkelen voor deze ondernemingen,” legt Mark uit. De software van GX wordt al jaren gepentest door een gerenommeerde partij. Daarnaast laten klanten ook met regelmaat de software in livesituaties pentesten door externe partijen. Om als bedrijf het onderwerp security naar een hoger niveau te tillen besloot GX te starten met het formaliseren van de processen volgens ISO 27001 en daarmee het certificeringstraject in te gaan.

Juist in de periode dat GX hiermee bezig was, bracht IT-dienstverlener Claranet het platform van KnowBe4 onder de aandacht. Mark: “Daarmee hadden we een antwoord op de vraag hoe we de security awareness van onze medewerkers op peil konden brengen en houden via trainingen en het vastgestelde beleid konden borgen in de organisatie.”

Continue training met SaaS-oplossing

“Dit speelde in 2020”, vertelt Twan Willems, Prospect Specialist bij Claranet. “We benaderden GX, omdat we al verwachtten dat het platform geschikt voor hen zou zijn.” De medewerkers van Claranet kenden de organisatie al wat langer, hielden contact en stuurden uitnodigingen voor specifieke security events. “Zodoende zijn we verder in gesprek geraakt en wisten we waar ze mee bezig waren.”

Twan Willems legt kort uit hoe KnowBe4, dat Claranet zelf ook gebruikt om de eigen medewerkers te trainen, werkt. “Het gaat in feite om een continue training door middel van een SaaS-oplossing.” De training, die Claranet inmiddels al vier jaar aanbiedt, gaat duidelijk verder dan alleen het geven van informatie over de gevaren van verschillende aanvalsvormen die cybercriminelen gebruiken. “Het programma bestaat uit verschillende elementen. Er zijn instructievideo’s die je kan delen met (een deel van) de medewerkers. Vervolgens kan je, onder meer door het versturen van gesimuleerde-phishingmails, checken of de gebruikers de boodschap van de instructie begrepen hebben en ernaar handelen.” Zo leren medewerkers in de organisatie ransomware, CEO-fraude en valse e-mails sneller te herkennen.

Hoge graad van automatisering

Nog voordat GX de ISO-certificering had behaald, startte de inzet van KnowBe4. “Binnen een maand hadden we alles opgetuigd; het platform is voor een organisatie met een technische oriëntatie, zoals wij, niet ingewikkeld”, blikt Mark Driessen terug.

“Eerst werden documenten die de medewerkers moesten bestuderen nog echt naar hen gestuurd en werd aan de hand van reacties getoetst of alles gelezen was. Nadat we KnowBe4 hadden ingericht konden we daarvan afstappen. Het platform neemt ons werk uit handen door de vele automatiseringsmogelijkeden.” Mark legt uit dat ongeveer eens per maand wordt gekeken of er mensen zijn die achterlopen bij het volgen van trainingen of het lezen van documenten. “Dat valt in de praktijk reuze mee. Iedereen krijgt alerts en herinneringen als een training nog niet is gevolgd. Het werkt fantastisch, juist vanwege de hoge mate van automatisering.”

Cyberawareness verhoogd

In de praktijk zorgt het werken met het platform daadwerkelijk voor nog beter bewustzijn, is de ervaring. “Je ziet dat de phishingtests echt goed werken. Het feit dat je phishingmails uit kan laten sturen binnen je eigen organisatie, zorgt dat medewerkers alert blijven op verdachte e-mails.” Het klikken op foute links is naar de mening van Mark Driessen een van de belangrijkste risico’s op dit moment voor organisaties.

Maandelijks krijgt elke medewerker op een willekeurig moment een random mail vanuit het platform. “Dan zie je toch dat het meteen tot gespreksstof leidt aan de lunchtafel.” GX heeft het zo ingericht dat bij het onverhoopt op de link klikken, meteen een training aangeboden wordt. “Op die manier vergroot je op een hele natuurlijke manier het securitybewustzijn.”

Twan Willems herkent dit. “Wat inderdaad goed werkt, is dat je een verstuurde phishingcampagne geautomatiseerd kan opvolgen. Stel dat iemand drie keer op een link klikt in een phishingmail, dan wordt voor de betreffende medewerker automatisch een andere training gestart om de gemaakte vergissing nog nadrukkelijker te adresseren. Gaat het dan nog steeds fout, dan kan er een mailtje naar de leidinggevende van deze persoon gaan, zodat die begeleiding kan aanbieden.” Dat is ook de manier waarop GX ermee omgaat. “We zijn in deze organisatie geen voorstander van Naming and Shaming, maar we gaan wel met iemand in gesprek die te vaak op een verdachte link klikt.”

Berichten erg geloofwaardig

Mark geeft aan dat de berichten die medewerkers ontvangen niet alleen heel realistisch zijn, maar zich ook aanpassen aan het niveau van de ontvanger. “Er zitten veel templates in het systeem; die worden continu aangepast.” Zo ontvingen meerdere medewerkers kort na een lockdown een bericht waarin ze welkom terug geheten werden, met de vraag naar hun lunchwensen. “Dat gaat natuurlijk mis,” stelt Mark. “Ook van vaste leveranciers, zoals onze leverancier van koffie, kunnen de templates aangepast worden. Zo maak je de mails met wat kleine handelingen nog geloofwaardiger.”

Aanvullende training voor aantal medewerkers

Alle medewerkers van GX worden geschoold, inclusief de stagiaires. “We brengen iedereen die hier start naar een bepaald basisniveau.” Ook krijgt elke werknemer op de eerste werkdag een gesprek met de security officer. “Dan wordt niet alleen verteld dat ze de training zullen gaan doen, maar ook dat ze de eerste spammailtjes waarschijnlijk al in hun inbox hebben zitten.” Twan legt uit dat KnowBe4 zo in te richten is dat bepaalde medewerkers aangepaste trainingen krijgen. “Denk daarbij aan financials.” Mark reageert: “We hebben voor een aantal technische mensen specifieke trainingen klaargezet, maar de basis is voor iedereen gelijk. Alle medewerkers worden getraind op phishing en iedereen wordt getraind op basis securityregels. Daarnaast bieden we via KnowBe4 eigen documenten aan die over het beleid van de onderneming gaan. Dat zijn namelijk stukken die elke medewerker moet lezen en op deze manier kunnen we het centraal aanbieden.”

Adoptieconsultant optioneel

Doorgaans biedt Claranet ook een adoptieconsultant aan bij de implementatie en het gebruik van KnowBe4. Twan: “Deze specialist helpt onze klanten bij het inrichten van het platform en heeft vooral de taak om het gebruik van het platform aan te jagen en alles eruit te halen.” Aangezien GX zelf genoeg technische kennis in huis heeft, was dat voor hen niet nodig. “Er zijn echter ook organisaties die geen mensen beschikbaar hebben of waarbij de kennis ontbreekt om het platform in gebruik te nemen. Voor die organisaties is het wel prettig om ondersteuning te krijgen.”

Claranet ondersteunt securitybewustzijn bij woningcorporatie Idealis

0
Claranet ondersteunt securitybewustzijn bij woningcorporatie Idealis

In de dagelijkse praktijk worden veel organisaties op dit moment scherp gehouden door cybercriminelen. En dat is geen goed nieuws! Steeds weer blijkt het namelijk lastig te zijn het gedrag van medewerkers, als het gaat om veilig digitaal werken, duurzaam te veranderen en het cyberbewustzijn te vergroten. En daarom zijn het vaak de eigen medewerkers die de zwakste schakel vormen bij security. Idealis anticipeert op deze onveiligheid en vergroot het bewustzijn in de organisatie door de medewerkers zelf proactief scherp te houden. Het gebruikt daarvoor het platform van KnowBe4, dat geleverd wordt door IT-dienstverlener Claranet.

“Onze doelgroep is jong, inspirerend en houdt ons scherp. Dat maakt het werken bij Idealis zo leuk,” schrijft Bart van As, directeur/bestuurder van woningcorporatie Idealis op de eigen website van de organisatie. Idealis richt zich bij de activiteiten op studenten en PhD’ers die op kamers willen (gaan) wonen in Wageningen of Ede. Idealis biedt werk aan 39 medewerkers en verhuurt 5600 kamers en appartementen. Het heeft kantoren in Wageningen en Ede.

Achtergrond van de case

Twee trends hebben de aandacht voor digitale veiligheid en de beveiliging van de IT-omgeving versterkt en noodzakelijk gemaakt. Ten eerste de AVG-wetgeving, die sancties stelt aan het lekken van persoonlijke data door organisaties. Daarnaast is ook het aantal cyberincidenten sterk toegenomen.

“Woningcorporaties beschikken over een grote hoeveelheid aan privacygevoelige gegevens, legt Carolien Filippo, Business Information Specialist bij Idealis, uit. Dat is interessant voor criminelen. “Daarnaast straalt een incident negatief af op de reputatie van de corporatie en leidt het tot geschonden vertrouwen in de relatie met de huurders.”

Dat een woningcorporatie kwetsbaar is, bleek eerder dit jaar, toen acht organisaties werden getroffen door een cyberaanval. “Wij waren toen al intensief met security en het trainen van onze mensen bezig, daar was gelukkig geen incident voor nodig,” geeft Carolien Filippo aan, “maar de cyberaanval bij collega-organisaties maakte wel weer het belang van security duidelijk. Het kan overal gebeuren, ook bij ons.”

Bij veel organisaties zijn security-trainingen net zo talrijk als ontruimingsoefeningen – en net zo voorspelbaar. De opgedane kennis beklijft vaak niet. Tijdens Corporatieplein, een IT-innovatiebeurs voor woningcorporaties, kwam Carolien Filippo in contact met Claranet, businesspartner van KnowBe4 met de hoogste status (premierpartner). “Mijn interesse werd gewekt en ik vroeg om een demonstratie.” Toen de kracht van de applicatie duidelijk werd, sloot Idealis een contract voor drie jaar af, waarbij alle medewerkers continu getraind worden.

Het platform

Twan Willems, Prospect Specialist bij Claranet, herkent het enthousiasme over het concept van KnowBe4. “Inmiddels werken al 25 corporaties uit onze klantenkring met dit platform. De basis van de training is medewerkers echt bewust te maken van de gevaren van het internet.” De kracht van het platform zit, volgens Twan Willems, in de herhaling en de graad van automatisering die KnowBe4 biedt. “Medewerkers kunnen elk moment een e-mail ontvangen die beslist ongevaarlijk lijkt, maar wel een incident zou kunnen veroorzaken.”

Het programma bestaat uit verschillende elementen. Zo zijn er instructievideo’s die je kunt delen met de medewerkers om een zekere basiskennis op te bouwen. “Die video’s zijn heel realistisch, ze lijken erg op series van Netflix. Ook ik kijk er graag naar,” vertelt Twan Willems. Vervolgens wordt, onder meer door het versturen van nep-phishingmails, gecontroleerd of de gebruikers de boodschap van de instructie begrepen hebben en ernaar handelen. Zo leren mensen in de organisatie ransomware, CEO-fraude en phishingmails sneller te herkennen. “Voor de prijs van een kop koffie per dag per medewerker breng je de hele organisatie naar een hoger niveau van securitybewustzijn.”

Deze gesimuleerde phishingmails kunnen volledig opgemaakt worden in de huisstijl van vaste leveranciers of afnemers van de organisatie. Dus als de bakker om de hoek dagelijks het brood voor de lunch brengt, dan kan vroeg of laat een bericht in de opmaak van zijn communicatie in de mailbox van, bijvoorbeeld, de office-assistent of de financieel medewerker verschijnen. Het is een confronterende manier om medewerkers te verleiden én de ogen te openen.

De praktijk

“Nieuwe medewerkers worden meteen naar een bepaald basisniveau gebracht,” geeft Filippo van Idealis aan. “Op die manier zorgen we voor een minimumniveau aan securitybewustzijn binnen de organisatie.”

Het is daarnaast mogelijk om bepaalde medewerkers specifiek te trainen. “Zo kun je, bijvoorbeeld, de communicatie anders inzetten voor mensen met financiële bevoegdheden”, vertelt Twan Willems. Het is een feature die Idealis op dit moment nog niet gebruikt.

In veel gevallen levert Claranet de dienst inclusief regelmatig contact met een adoptieconsultant. Twan Willems: “Je merkt toch vaak dat enthousiast voor het platform gekozen wordt, maar dat de waan van de dag ervoor zorgt dat het niet, of niet optimaal gebruikt wordt. Onze adoptieconsultant fungeert dan als een soort aanjager, zodat het platform goed en direct wordt ingezet.” Omdat klanten de dienst onbeperkt kunnen gebruiken gedurende de looptijd van het contract, leidt intensief gebruik niet tot hogere kosten.

Idealis koos ervoor deze aanvullende dienstverlening van Claranet niet af te nemen. Voor Carolien Filippo is het monitoren van het gebruik van de oplossing een onderdeel van haar functie. Wel sparde ze aan het begin van de samenwerking met Claranet met een consultant van Claranet.

Sinds de dienst in gebruik is, heeft Filippo regelmatig medewerkers aan haar bureau, die lachend melden dat er weer een nep-spambericht in hun inbox belandde. “Omdat het geautomatiseerd verloopt, weet ik niet altijd wie wanneer welk mailtje krijgt.” Ook zijn er regelmatig collega’s die stellen “dat het wel wat lastiger mag zijn”. En ook dat is mogelijk binnen het platform. Je kunt het niveau van de gesimuleerde phishingmails zelf aanpassen aan het niveau van de medewerkers. Wel zo handig als je medewerkers steeds meer getraind worden.

Geen naming en shaming

Als een van de medewerkers toch op de verdachte link in een bericht klikt, dan stuurt Kno4Be4 hem of haar door naar een landingspagina. Daarop staat niet alleen dat het ging om malware, maar ook dat het in dit geval een nep-bericht betrof. Verder wordt uitgelegd hoe ze hadden kunnen herkennen dat het om een verdachte boodschap ging. Deze uitleg wordt zichtbaar als medewerkers met hun muis over het betreffende mailtje bewegen.

“We doen zeker niet aan naming and shaming binnen de organisatie,” stelt Carolien Filippo gerust. “Wel heb ik onlangs op intranet aangeven welke medewerkers goed scoren.” Op managementniveau worden ook slechts algemene scores gedeeld, zodat trends zichtbaar zijn.

“Wat goed werkt”, legt Twan Willems uit, “is dat je een verstuurde phishingcampagne geautomatiseerd kunt opvolgen. Stel dat iemand drie keer op een link klikt in een phishingmail die het platform verstuurde, dan start het systeem voor de betreffende medewerker automatisch een andere training om de gemaakte vergissing nog nadrukkelijker te adresseren.”

De kracht van het platform

Gevraagd naar de kracht van KnowBe4 geeft Carolien Filippo aan, dat vooral de variatie in de training en de automatisering ervan, zorgen voor het creëren van bewustwording. Twan Willems vult aan: “En het platform ontwikkelt zich nog, ze ontwikkelen continu nieuwe content. En ze stellen die beschikbaar. Content die zich richt op bijvoorbeeld nieuwe aanvalstechnieken.”

Er is regelmatig contact tussen Idealis en Claranet, legt Carolien Filippo uit. “Soms melden ze zich met de vraag of alles goed loopt. En of ik nog vragen heb. Dat verloopt op een aangename manier.” Al met al is Idealis content met de mogelijkheden die het platform biedt. “We beschouwen het als een van de beste investeringen die we ooit deden.”

Claranet zet platform KnowBe4 in bij woningcorporatie SSH&

0
Claranet zet platform KnowBe4 in bij woningcorporatie SSH&

Veel organisaties worstelen met het security-bewustzijn bij de medewerkers. Iedereen weet inmiddels dat wachtwoorden aan bepaalde eisen moeten voldoen, regelmatig moeten worden vernieuwd en dat het onverstandig is één wachtwoord voor meerdere applicaties en websites te gebruiken. Ook weten de meeste medewerkers dat het onverstandig is op een e-mail te klikken waarin een Nigeriaanse prins geld wil overmaken, en meldt de media bijna dagelijks ransomware-aanvallen.

Toch blijkt het lastig om gedrag van medewerkers duurzaam te veranderen en het bewustzijn te vestigen. Terwijl het in de praktijk juist de medewerkers zijn die vaak de zwakste schakel vormen bij security. Hacks, of andere aanvallen, kunnen niet alleen leiden tot reputatieschade en onderbrekingen in de continuïteit van een organisatie, ook kunnen datalekken sinds de invoering van de AVG tot forse boetes leiden. Het is daarom van groot belang dat medewerkers alert zijn en blijven op mogelijke cybercriminaliteit. Woningcorporatie SSH& heeft ervoor gekozen om Security Awareness via het KnowBe4-platform af te nemen bij Claranet.

De organisatie en haar security-uitdaging

SSH& is een non-profit organisatie met een geschiedenis die terug gaat tot 1950. Sinds 1958 wordt onder de naam Stichting Studenten Huisvesting Nijmegen (SSHN) kamers aangeboden in Nijmegen. Sinds 2016 is daar Arnhem bijgekomen en is de naam gewijzigd van SSHN naar SSH&. “We hebben als organisatie veel gegevens van studenten, woningzoekenden en bewoners”, geeft Johan Loonen, applicatiebeheerder bij SSH& aan. “We wilden die gegevens beschermen en besloten daarom een cursus te organiseren, zodat de medewerkers de gevaren beter kunnen onderkennen, herkennen en er ook adequaat op reageren.”

SSH& was zich al in een vroeg stadium bewust van het belang van security-bewustzijn binnen de organisatie. “We zijn al in 2017 begonnen met de eerste cursussen op dit gebied, toen via een cursusinstituut.” De achterliggende reden was, dat het toen al duidelijk werd dat in mailboxen en op internet steeds meer cybercriminaliteit plaatsvindt. Loonen: “De pogingen gebruikers te beïnvloeden werden steeds geraffineerder”, herinnert de applicatiebeheerder zich. “Vroeger ontving je phishing-mails met veel taalfouten erin. Die herkenden mensen wel.” Inmiddels zien die berichten er veel serieuzer uit en worden logo’s gebruikt van bedrijven waarmee medewerkers van SSH& regelmatig te maken hebben, zoals een IT-leverancier of een telecomprovider. “Het wordt steeds moeilijker om een echt betrouwbaar mailtje te onderscheiden van een onbetrouwbare boodschap.”

De eerste cursus die SSH& gebruikte leverde naar het oordeel van Loonen te weinig interactie met de gebruikers, het zorgde niet voor een blijvende bewustwording. “Onze dienstverlener Claranet wees ons toen op het platform van KnowBe4.”

De oplossing

Peter van den Broek, Account Manager bij Claranet legt uit hoe het platform van KnowBe4, dat de dienstverlener zelf ook gebruikt om de eigen medewerkers te trainen, functioneert. “Het gaat in feite om een continue training door middel van een SaaS-oplossing.” Claranet is daarbij de reseller van dit online trainingsplatform. De training, die Claranet al drie jaar aanbiedt, gaat duidelijk verder dan alleen het geven van informatie over de gevaren van verschillende aanvalsvormen die cybercriminelen gebruiken. “Het programma bestaat uit verschillende elementen,” legt Van den Broek uit. “Er zijn instructievideo’s die je kunt delen met (een deel van) de medewerkers. Vervolgens kun je, onder meer door het versturen van nep-phishingmails checken of de gebruikers de boodschap van de instructie begrepen hebben en ernaar handelen.” Zo leren mensen in de organisatie ransomware, CEO-fraude en phishingmails sneller te herkennen.

“Wat daarbij meespeelt”, vult Johan Loonen (SSH&) aan, “is dat niet alle medewerkers op hetzelfde moment hetzelfde bericht ontvangen. Er kan dus geen discussie ontstaan onderling op de werkvloer. De aard en opmaak van de berichten wisselt ook regelmatig, net als het tijdstip van verzending. Dat maakt de kans groter dat iemand erop klikt, zeker als het bericht is opgemaakt in de huisstijl en met het logo van organisaties waarmee de medewerker regelmatig te maken heeft.”

Als een van de medewerkers toch op de verdachte link in het bericht klikt, dan wordt hij of zij doorgestuurd naar een landingspagina. Daarop staat niet alleen dat het ging om malware, maar ook dat het in dit geval een nep-bericht betrof. Ook wordt uitgelegd hoe ze hadden kunnen herkennen dat het om een verdachte boodschap ging, deze uitleg wordt zichtbaar als gebruikers met hun muis over het betreffende mailtje bewegen. “We kunnen op deze manier monitoren of medewerkers de instructies begrepen hebben en of ze er adequaat naar handelen,” maakt Loonen duidelijk. Het is daarbij overigens niet de bedoeling aan ‘naming and shaming’ te doen, stellen beide heren. Loonen: “Ze moeten er iets van opsteken, maar we zetten niet op intranet welke werknemers op de link geklikt hebben. Wel geven we het aan als een bepaald bericht tot heel veel kliks heeft geleid.”

“Wat goed werkt”, legt Van den Broek uit, “is dat je een verstuurde phishingcampagne geautomatiseerd kunt opvolgen. Stel dat iemand drie keer op een link klikt in een phishingmail die de organisatie verstuurde, dan wordt voor de betreffende medewerker automatisch een andere training gestart om de gemaakte vergissing nog nadrukkelijker te adresseren.” Gaat het dan nog steeds fout, dan kan er een mailtje naar de leidinggevende van deze persoon gaan, zodat die begeleiding kan aanbieden.

Covid en security

Peter van den Broek (Claranet) geeft aan dat het vele thuiswerken tijdens de pandemie heeft geleid tot veel meer succesvolle cyberaanvallen op zakelijke gebruikers. “Ransomware en phishing schoten omhoog. De beveiliging liep nog wel eens spaak en dat maakte trainingen om het security-bewustzijn te vergroten alleen maar belangrijker.”

Omdat SSH& al in 2017 begon met het aanbieden van trainingen, was corona en het thuiswerken voor de organisatie niet de reden met trainingen te beginnen. Loonen: “Wel was de pandemie de reden om te kijken naar deze vorm van training. Dit sluit beter aan bij wat we willen bereiken.” Hij geeft aan dat in de praktijk, bij eenmalige cursussen, kennis al snel weer wegvloeit. “Hier is in feite sprake van een abonnementsvorm, met regelmatig herhalingslessen.”

Het voordeel is dat KnowBe4 continu voor updates van het trainingsmateriaal zorgt. “Zo werd tijdens de zomer aandacht gegeven aan de gevaren van openbare WIFI-netwerken in fastfoodketens of op de camping waar mensen verblijven.” Ook ransomware, dat aan een sterke opmars bezig is, wordt inmiddels nadrukkelijk geadresseerd in de trainingen. “Zo blijven onze mensen ermee bezig door het hele jaar”, geeft de applicatiebeheerder aan. “Het moet bij de medewerkers een ingesleten patroon worden kritisch naar berichten te kijken.”

Van den Broek herkent zich in die opmerking. “Mensen denken vaak dat de IT-partner alles goed heeft geregeld en de omgeving veilig is.” Natuurlijk zorgt die dienstverlener voor de puur technische beveiliging, denk aan firewalls of antivirus, “maar de persoon tussen stoel en beeldscherm moet weten welke gevaren hij moet herkennen.”

De rol van Claranet

Zoals hierboven al gemeld, is Claranet de reseller van het platform dat KnowBe4 ontwikkelde. “We doen echter meer”, geeft Van den Broek aan. “We trainen de IT-staff van de klant en leren hun hoe ze bepaalde lessen op welke manier aan welke medewerker kunnen aanbieden.” Ook is een adoptieconsultant van de IT-dienstverlener bij het proces betrokken. “Die helpt onze klant bij het inrichten van het platform.” En vooral heeft die adoptieconsultant de taak om het gebruik van het platform aan te jagen en alles eruit te halen. “Die zet meteen in het begin campagnes klaar voor de medewerkers. Dat zorgt voor een kickstart en betere resultaten.” Inmiddels zijn ongeveer 65 medewerkers van SSH& getraind.

Johan Loonen voegt er aan het eind van het gesprek nog een bijzondere noot aan toe. “Medewerkers hebben er ook privé baat bij, want ook in de thuissituatie krijgen ze te maken met malware.”

Virtuele servers Claranet als fundament voor ISV Batavia Groep

0
Virtuele servers Claranet als fundament voor ISV Batavia Groep

Batavia Groep is een Independent Software Vendor (ISV) die sinds 1999 oplossingen levert voor woningcorporaties. Met twee producten, de VastgoedCloud en Portfolio- en Assetmanagement Model (PAM) helpt de leverancier woningcorporaties met het verbeteren van hun vastgoedsturing. Zo krijgen deze organisaties inzicht in de financiële en maatschappelijke prestaties van hun vastgoed, op strategisch, tactisch en operationeel niveau. Aan de basis van de relatie met Claranet stond de wens bij Batavia Groep om over te stappen op virtuele machines en daarmee de hosting op eigen servers stop te zetten. “Wij waarderen de persoonlijke houding van de specialisten van Claranet.”

Het begin van de samenwerking

Zestig corporaties gebruiken de software van Batavia Groep. In totaal beheren zij bijna een miljoen woningen. Batavia Groep is gevestigd in Halfweg (NH) en heeft achttien professionals in dienst. Aan de basis van de relatie met Claranet stond de wens bij Batavia Groep om over te stappen op virtuele servers en daarmee de hosting op eigen servers stop te zetten. “We hebben nog wel eigen servers, maar dan virtueel, en die draaien bij Claranet”, maakt Martin Kazen, DevOps Engineer bij Batavia Groep duidelijk. “We wilden dat, omdat je dan als relatief klein IT-team van vier man een deel van de dagelijkse zorgen niet langer hebt.” De engineer doelt daarmee op garantiebepalingen op servers, vragen over welke hardware je concreet wilt hebben en wie naar de serverkast gaat om reparaties door te voeren.

Allereerst werd intern vastgesteld wat het programma van eisen moest zijn. “Wat willen we concreet hebben, welke servers zetten we niet om, welke wel en in welk tempo. Hoe worden de IP-adressen ingedeeld,” vat Julian Preeker, ook binnen Batavia Groep werkzaam als DevOps Engineer samen. De rol van de vier DevOps-medewerkers binnen de groep bestaat uit een mix van infrastructuur, ICT en support voor de eigen applicaties die het bedrijf ontwikkelt. Support wil in dat geval ook zeggen: bug fixes.

De software die Batavia Groep ontwikkelt en die de corporaties gebruiken draait inmiddels bij Claranet in productie. Dat betekent niet, dat de organisatie afscheid nam van eigen hardware. “De OTA-straat draait er nog op,” vertelt Preeker. “De hardware is nog dusdanig goed dat we daar nog zeker twee jaar mee vooruit kunnen.”

Het proces

Het IT-team van Batavia Groep bracht niet in één beweging alle gebruikers van de software onder op de VPS’en van Claranet. Sterker nog, het proces begon ongeveer twee jaar geleden en pas onlangs zijn de laatste klanten verhuisd. “Dat had beslist sneller gekund”, geeft Kazen aan. “We hebben het geleidelijk op- en uitgebouwd en er vooral voor willen zorgen dat onze klanten er niets van zouden merken. Dat is gelukt.” Dit betekent overigens niet, dat de klanten niet weten dat de applicaties door Claranet gehost worden. “Daar zijn we heel transparant over. Klanten moeten weten waar hun data staan.”

De keuze voor Claranet als partner was in zekere zin eenvoudig te maken: de IT-dienstverlener heeft een groot aantal corporaties als klant. Kazen: “We hoefden dus naar onze klanten toe nooit uit te leggen waarom we deze keuze maakten. Zij kennen Claranet doorgaans al.”

Toen die keuze eenmaal gemaakt was, is het IT-team van Batavia Groep met de specialisten van Claranet gaan sparren, “en eigenlijk doen we dat nu nog steeds”. Peter van den Broek, Senior Accountmanager bij Claranet, herkent zich in die laatste observatie. “We zijn als partners klein begonnen en de omgeving is steeds aan vernieuwing onderhevig. We stemmen de wensen met elkaar af en wij zorgen vanuit Claranet dat zij optimaal kunnen opereren.”

Supportsite

De teams van de IT-dienstverlener en de ISV zijn in het begin, nu drie jaar geleden, samen gaan zitten om de wensen en mogelijkheden te bespreken. Dat was ook een wederzijdse kennismaking. “We deelden ideeën en gaven elkaar daarop feedback”, geeft Preeker aan. “In de praktijk verloopt heel veel via de supportsite van Claranet, bijvoorbeeld als je iets wilt veranderen in de configuratie. Ook dat gaat in gezamenlijk overleg. Als ik iets wil veranderen aan de instellingen van de firewall, geeft mijn counterpart aan of ik ook aan bepaalde aspecten heb gedacht.” Preeker is eerlijk als hij meldt dat het aanvankelijk wel even wennen was nu de firewall niet meer in de eigen ruimte staat, maar het wende snel. “En als ’s avonds tijdens onderhoud de nood aan de man is, wat tot nu toe één keer gebeurde, dan kun je gewoon een 06-nummer bellen en wordt de zaak binnen de kortste keren door Claranet opgelost. Op die manier worden we in deze samenwerking echt ontzorgd.”

Voor de duidelijkheid geeft Kazen nog aan dat de rol van Claranet los staat van de ontwikkeling, het onderhoud en de klantsupport van de eigen software van Batavia Groep. “Het is echt onze hostingpartner die ervoor zorgt dat onze klanten de applicaties kunnen gebruiken.” Peter van den Broek (Claranet) vat het zo samen: “Wat wij voor deze klant doen is zorgen dat de servers beschikbaar zijn, dat ze up to date zijn en veilig. En de rest doen zij zelf. Hun softwareapplicaties landen op het platform van Claranet en dat platform van ons wordt dan weer gedeeld met de Batavia-klanten in de corporatiesector”.

De kracht van Claranet

Kazen antwoordt op de vraag wat zo bijzonder is aan Claranet: “Er werken best veel mensen bij hen, het is een internationaal bedrijf, maar in de praktijk voelt het niet alsof je met een grote logge onderneming partnert. Het voelt steeds persoonlijk. Je kunt in noodgevallen een 06-nummer bellen en alles wordt snel geregeld.” De engineer geeft aan dat elk half jaar geëvalueerd wordt. “Ook als er eigenlijk niets aan de hand is. Dat zijn goede, en soms ook persoonlijke gesprekken. Er is echt sprake van een partnersysteem, wij waarderen dat.”

Het enthousiasme is wederzijds, als specialisten van Claranet klanten binnen de woningcorporatiesector bezoeken om bijvoorbeeld WorkSmart365 uit te rollen, dan laten ze ook zien dat de applicaties van Batavia Groep er probleemloos op draaien. “Dat doen we ook bij corporaties die nog geen klant zijn van Batavia”, geeft Van den Broek aan.

De aanpassing en verlenging van het contract

Zoals uit het voorgaande blijkt, bracht Batavia Groep de afgelopen jaren steeds meer klanten naar de VPS’en van Claranet. Van de Broek: “Hun virtuele serverpark is natuurlijk door de jaren heen gegroeid. Dan komt een moment dat het raadzaam is de overeenkomst te harmoniseren naar de praktijk en vooruit te kijken. Transparant maken van de wensen, wederzijds. Dit resulteerde in een verlenging van het contract tot midden volgend jaar. Alle verschillende onderdelen waarin we partneren zijn zo geland in een overkoepelend ecosysteem en we hebben wederzijds commitment uitgesproken.”

Wonen Zuid brengt technisch IT-beheer onder bij Claranet

0
Wonen Zuid brengt technisch IT-beheer onder bij Claranet

Wonen Zuid is een Limburgse woningcorporatie die beschikt over ongeveer 14.000 woningen en 2.000 overige eenheden zoals garages, winkels en maatschappelijk vastgoed. De organisatie kreeg de huidige vorm na een aantal fusies, en maakt gebruik van twee kantoorlocaties waar de in totaal 180 medewerkers actief zijn. Dit zijn Heerlen voor het woningbezit in Zuid-Limburg en Roermond voor de eenheden in het midden van de provincie. De medewerkers, inclusief het IT-personeel, hebben geen vaste standplaats, maar bevinden zich in het kantoor waar op dat moment het werk is, als ze niet thuiswerken. Remote werken kwam al voor de coronapandemie veel voor, medewerkers beschikken daartoe over een laptop en mobiele telefoon.

De visie op IT-sourcing van Wonen Zuid

Albert van Heugten, Manager Informatievoorziening en Automatisering bij Wonen Zuid legt uit dat de directie van de corporatie in 2018 een nieuwe IT-sourcing strategie opstelde. Zijn afdeling was op dat moment een IT-brede, maar interne, dienstverlener met onder meer eigen beheer op de datacenters.  Het operationeel technisch beheer deed de afdeling gortendeels zelf, inclusief systeem-, netwerk-, werkplekbeheer en de helpdesk. Op advanced level werden ze ondersteund door een gespecialiseerde externe partij, vooral op het gebied van networking en security.

De visie op de toekomst was dat de interne organisatie slechts dat zou doen waarin het zich werkelijk kon onderscheiden. In het geval van de IT-afdeling betekende dit: dat doen waar het team als interne IT-organisatie waarde kan toevoegen. Voor die activiteiten die van of met externe partners ingekocht konden worden, zonder aan toegevoegde waarde in te boeten, zou daarom een marktpartij worden gezocht.

Concreet betekende dit, dat alle eerstelijns ondersteuning, dus ook als het gaat om werkplekbeheer (“mijn muis doet het niet”) zou worden uitbesteed. Wel wilde Wonen Zuid dat er in de interne organisatie een tweedelijns vangnet bleef voor de branche-specifieke applicaties. “Dat past in de visie. Op dat terrein moet de interne IT-organisatie juist toegevoegde waarde leveren.” Het gaat dan bijvoorbeeld om de ERP-omgeving en het Zaaksysteem. “Dus uit onze strategie kwam heel helder naar voren dat het informatiemanagement, denk aan Business IT-Allignment, IT-Sourcing, Informatiebeveiliging en AVG in huis zou blijven.”

Het IT-team zou na de outsourcing en het implementeren van de nieuwe visie bestaan uit twee vakgroepen: een groep met een hoge digitaliseringsgraad, die zich bezighoudt met de documentaire informatievoorziening. Naast een team van applicatie- en functioneel beheerders. Daarnaast zou er een rol zijn voor een BI-specialist en een coördinator regie en projecten. Die laatste functie is, zo stelt Van Heugten, is inherent aan de stap die de organisatie zette. “Die functionaris is de intermediair tussen Wonen Zuid en de externe IT-dienstverlener.” De Manager Informatievoorziening geeft aan dat het omvormen van een team van beheer naar regie geen sinecure is. “Dat vergt andere competenties.” 

Selectie van de externe leverancier

Toen Wonen Zuid de visie voor IT-sourcing eenmaal had vastgesteld is besloten tot een aanbesteding. Die bestond in eerste ervaring uit een marktverkenning, geeft Peter van den Broek, Senior Accountmanager van Claranet aan. Zes partijen werden bekeken, een eerste analyse reduceerde het aantal tot drie kandidaten. “Die drie meest geschikte konden inschrijven en daarbij kwam Claranet uit de bus met het meest passende voorstel. Ons is de opdracht vervolgens gegund.”

Bij het gunnen van het project was het doel in de loop van 2019 live te gaan. Dat lukte niet. Van Heugten “De performance is nu heel goed en we zijn tevreden met de huidige omgeving. Maar het is een heel zwaar project geweest met ruim een jaar vertraging.”

Het project

Albert van Heugten erkent dat de complete scope van het project fors was en dat ook de ambities van Wonen Zuid er mochten zijn. “We hadden zoals gezegd interne datacenters en 180 werkplekken. An sich klonk de opdracht waarschijnlijk niet zo complex: neem dat alles volledig over. Dat mag in de cloud zijn of in het datacenter van Claranet, waarbij een cloud-first strategie wel aan de orde was.” Dus, zegt Van den Broek van Claranet ook: “De opdracht was ‘alles te migreren’”.

Wonen Zuid maakte daarbij echter wel een stevige en ambitieuze keuze. “We hebben er, mede op advies van Claranet en van een solution architect namelijk voor gekozen de hele erfenis, alle legacy, achter ons te laten en alles opnieuw op te bouwen op basis van een greenfield. Dat betekent ook dat we van elke applicatie wilden migreren naar de meest actuele versie.”

Theoretisch had de bovengenoemde visie ingevuld kunnen worden zónder alles vanaf de grond op te bouwen. Dan had Wonen Zuid de gehele stack applicatie voor applicatie naar Claranet overgebracht en was de omgeving de facto gebleven zoals het was. “Dan had je in feite van het datacenter van Claranet een externe vestiging gemaakt. Een dergelijke transitie lukt je wel in een paar maanden tijd”, is de inschatting van Van Heugten.

De Manager Informatievoorziening en Automatisering van Wonen Zuid wilde echter heel bewust “met de bezem door de kast heen”. Daarbij ging het niet alleen om een ‘greenfield-ontwikkeling’, maar is ook van elke applicatie de meest recente versie toegepast. “Of het nu ging om het bedturingssysteem, de database maar ook de applicaties, we hebben alles naar het laatste niveau overgebracht.”

Dat betekent eigenlijk een dubbele transitie: van interne IT naar een (grotendeels) externe leverancier, maar het ging daarnaast ook om een grote vernieuwingsslag. “Denk daarbij aan de overstap van een traditionele Office-omgeving naar Microsoft 365.”
Wonen Zuid wilde dat de nieuwe omgeving op het greenfield ontwikkeld zou worden op basis van de OTAP-richtlijn. “De O van ontwikkelen was bij ons niet van toepassing, dat deden en doen de leveranciers, maar de ander drie, Testen, Acceptatie en Productie hebben we nauwgezet nageleefd en ook voor de toekomst ingericht.” Dit laatste is van belang, omdat Wonen Zuid de richtlijn ook toepast bij elke nieuwe update van de gebruikte software.

Het proces

Van Heugten kijkt terug op een complex traject. “Ten eerste waren er natuurlijk veel vragen bij mijn eigen team, die te maken kregen met een veranderingsproces én een reorganisatie. Aan de andere kant heb je met Claranet te maken, die toch een behoorlijk omvangrijk en complex IT-landschap moet overnemen, waarbij ze met pakweg 35 applicaties te maken kregen van 20 leveranciers.”

In een dergelijk project is de planning, de agenda, een heel belangrijk instrument voor de interne afstemming. “Maar je loopt er gezamenlijk ook tegenaan dat kennis schaars is en dat, als je op greenfield ontwikkelt, je dan met groot aantal leveranciers de klok gelijk moet zien te houden om tot een tijdige oplevering te kunnen komen.”

Dit leidde er, na een aantal kleinere aanpassingen, toe dat Van Heugten tot twee keer toe moest constateren dat er een planning gemaakt was die absoluut niet reëel was. “We hebben die twee momenten stevige gesprekken gevoerd met Claranet. Niet op de inhoud van de oplossing, laat dat duidelijk zijn, maar wel over de haalbaarheid qua planning.”

Zelfs daarna was, ondanks de aanpassingen in de planning, bij de laatste test nog sprake van meermaals uitstel. “Dan kom je weer de complexiteit tegen. Want als je zegt: ‘ik ga op 15 november over en dat lukt je dan niet, probeer dan maar weer met al die verschillende leveranciers de agenda te trekken voor een nieuw moment.”

De oplevering

Uiteindelijk is het project halverwege februari 2020 opgeleverd, op de helpdesk na. Die volgde in juli van dat jaar. “We wilden als Wonen Zuid na de overgang nog een tijd dicht op de medewerkers kunnen zitten”, legt Van Heugten uit. Gezien de opzet van het project betekende de livegang dat medewerkers in een keer moesten werken met een nieuwe omgeving en vernieuwde applicaties. Toch verliep de overgang soepel. “Een groot deel van de mensen was al betrokken bij het functioneel testen en in de acceptatiefase.” Voor het gebruik van Microsoft 365 werd een groep van tien mensen opgeleid, die als vraagbaak konden fungeren op elke afdeling. Daarnaast werd via Goodhabitz ook eLearning aangeboden.

“We wilden al Microsoft Teams gaan gebruiken, dat hebben we aan de vooravond van de eerste Corona lock-down versneld uitgerold. Zodoende waren we vanaf dag één in staat volledig thuis te gaan werken.”

Later, tijdens de tweede coronagolf, is nog eens extra geïnvesteerd in het faciliteren van het thuiswerken. “Claranet heeft overigens nog een support-rol gespeeld bij het optimaliseren van het thuiswerken, als medewerkers bijvoorbeeld niet beschikten over een adequaat WIFI-netwerk.”

Over Claranet zegt Van Heugten: “het sterke aan de organisatie is een robuuste basis, ze leveren een degelijk systeem met een hoge beschikbaarheid. De continuïteit is prima. We hebben best wel forse discussies gehad met elkaar gehad, maar het was wel steeds een goed gesprek. Dit, zowel op operationeel niveau als binnen de stuurgroep. Er werd wederzijds geen verstoppertje gespeeld. De medewerkers kunnen niet alleen tegen kritiek, maar doen ook iets met die feedback, dat is heel gunstig. En zoals gezegd, de performance is nu prima. Er staat een solide basis waarbij we ons wederzijds inspannen de lat hoger te leggen.” Dat is ook nodig, geeft Van Heugten aan, “vanwege het managen van verwachtingen vooral naar onze gebruikers toe. Maar ook vanwege onze ambitie: over een paar jaar datagedreven werken”.

Klantcases